Staff have instructions and tools to help them report a lost physical identifier (e.g. keychain, smart card, smart sticker).
Secure areas of the organization cannot be accessed unnoticed. The premises are protected by appropriate access control. Only authorized persons have access to the secure areas.
Visitors shall have access to secure areas only with permission, after they are appropriately identified and their access rights shall be limited to the necessary facilities. All visits are recorded in the visitor log. In addition, staff have guidelines about safe operating in connection with visits.
Organization has defined the areas for handling confidential information and the operating rules that are followed in all activities that take place in the corresponding areas.
In the rules, consideration should be given to the following points:
Access to buildings containing critical systems must be constantly monitored to detect unauthorized access or suspicious activity. The following issues should be taken into account in monitoring practices:
Information related to surveillance systems should be kept confidential, as disclosure of information can facilitate undetected breaches. The monitoring systems themselves must also be properly protected, so that the recordings or system status cannot be affected without permission.
Turvallisuusluokan I tietojen suojaamisessa tulee huomioida turvallisuusluokan II tiedoista eroavat riskit ja suhteutettava nämä toteutettaviin turvatoimiin. Hajasäteilyä ja siltä suojautumisen periaatteita on kuvattu yksityiskohtaisemmin Kyberturvallisuuskeskuksen hajasäteilyltä suojautumisen ohjeessa.
On toteutettu turvatoimet hajasäteilyn kautta mahdollistuvien tietovuotojen estämiseksi, jotka on mitoitettu riskeihin ja tiedon turvallisuusluokkaan. Kohteen toimien riittävyys voidaan todentaa vyöhykemittauksella tai suojatun tilan mittauksella.
Hajasäteily voi mahdollistaa tahattomia sähkömagneettisia tietovuotoja. Organisaatio on tunnistanut ja arvioinut hajasäteilyyn liittyvät riskit. Turvatoimet tai korvaavat menettelyt on mitoitettu riskeihin, tiedon turvallisuusluokkaan ja hyväksyttävään jäännösriskitasoon.
TEMPEST-turvatoimet on suhteutettava tiedon hyväksikäytön riskiin ja turvallisuusluokkaan. Käsiteltäessä turvallisuusluokan III tai II tietoja sähköisesti, on pidettävä huolta, että elektroniseen tiedusteluun liittyviä riskejä on pienennetty riittävästi.
The organization must conduct regular exercises to test for the detection of unauthorized intrusion and for procedures to respond to unauthorized intrusion.
The organization must use access control techniques on the perimeter of the data center. Access control can consist of e.g. alarm systems, surveillance equipment (e.g motion detectors, cameras) and surveillance staff.
Access control must extend to all entry and exit points to detect unauthorized entry and exit.
The organization shall allow only pre-approved personnel access to security restricted areas.
All entry and exit points shall be blocked, documented and controlled by access control systems by default.
All access to security restricted areas must create log events and the organization must determine how long the logs will be retained.
Suojaustason IV-II tietoja voidaan käsitellä turva-alueella. Suojaustason III-II tason tietoja tulee säilyttää turva-alueella.
Teknisillä turva-alueilla noudatetaan turva-alueiden suojauskäytäntöjä sekä seuraavia lisäkäytäntöjä:
Kaikki aluelle vietävät laitteet on tarkastettava ennen niiden käyttöä alueella, joilla pidetään EU SECRET/NATO SECRET -turvallisuusluokan tietoihin liittyviä kokouksia.
Suojelupoliisi tai Pääesikunta päättää teknisesti suojattuun turva-alueeseen liittyvästä uhka-arvioinnista, riskien hallintatoimenpiteistä ja mahdollisesti tilapäisen teknisesti suojatun turva-alueen turvallisuusjärjestelyjen hyväksynnästä.
Suojaustason IV-II tietoja voidaan käsitellä turva-alueella. Suojaustason III-II tason tietoja tulee säilyttää turva-alueella.
Turva-alueilla noudatetaan seuraavia suojauskäytäntöjä:
Jos alueelle tulo merkitsee käytännössä välitöntä pääsyä sillä oleviin salassa pidettäviin tietoihin, sovelletaan lisäksi seuraavia vaatimuksia:
Alueelle on laadittu turvallisuusmenettelyt, joissa on määräykset seuraavista:
Suojaustason IV-II tietoja voidaan käsitellä hallinnollisella alueella, jos sivullisten pääsy tietoihin on estetty. Suojaustason IV tietoja voidaan säilyttää hallinnollisella alueella.
Hallinnollisilla alueilla noudatetaan seuraavia suojauskäytäntöjä:
Organisaatio on määritellyt eritasoiset tietojen fyysiseksi suojaamiseksi tarvittavat alueet (hallinnollinen alue, turva-alue ja tekninen turva-alue), joissa käsitellään salassa pidettäviä tietoja. Vastuuhenkilö varmistaa, että alueilla noudatetaan suojaustason mukaisia suojauskäytäntöjä.
Alueella voidaan tarkoittaa mm. huonetta, laitetilaa, varastoa, arkistotilaa, niiden muodostamaa kokonaisuutta tai muuta rakennuksen osaa. Rakennuksissa sekä toimitiloissa voi olla useita eri turvallisuusvyöhykkeisiin kuuluvia alueita.
Suojaustason IV-II tietoja voidaan käsitellä turva-alueella. Suojaustason IV-II tietoja voidaan käsitellä myös hallinnollisella alueella, jos sivullisten pääsy tietoihin on estetty. Suojaustason IV tietoja voidaan säilyttää hallinnollisella alueella. Suojaustason III-II tason tietoja tulee säilyttää turva-alueella.
Avainten hallintajärjestelmällä on vastuuhenkilö ja menettelytavat avainten hallintaan on ohjeistettu ja dokumentoitu.
Järjestelmän menettelyt voivat olla mm.:
Avaustunnisteet annetaan mahdollisimman harvoille henkilöille ja henkilöt osaavat numeroyhdistelmät ulkoa.
Organisaatio on määritellyt toimintatavat numeroyhdistelmien vaihtamiseksi, joilla pyritään hallitsemaan riskiä numeroyhdistelmien väärinkäytöstä.
Numeroyhdistelmät vaihdetaan mm.:
Tietojen fyysiseen suojaamiseen tarkoitetut turvallisuusjärjestelmät ja laitteet ovat hyväksyttyjen teknisten standardien tai vähimmäisvaatimusten mukaisia. Järjestelmiä ja laitteita testataan säännöllisesti ja ne pidetään käyttökuntoisina.
Turvallisuusjärjestelmiä ja -laitteita voivat olla mm.:
Organisaatio suunnittelee fyysiset turvatoimet monitasoisen suojaamisen periaatetta noudattaen. Monitasoisella suojaamisella tarkoitetaan sitä, että toteutetaan joukko toisiaan täydentäviä turvatoimia.
Esimerkiksi rakennuksen ulkoseinät ja kuori voivat muodostaa ensimmäisen turvallisuustason. Kulunvalvonta muodostaa seuraavan kerroksen ja korkeamman suojaustason tietoa käsitellään ainoastaan rakennuksen sisemmissä osissa, jotta tunkeutuminen tiloihin on estetty. Turvallisuustekniset ratkaisut (säilytysyksiköt, hälytysjärjestelmät, kameravalvonta, valaistus, jne.) täydentävät rakenteellisia ratkaisuja. Suunnittelussa otetaan huomioon ikkunat, ovet ja muut aukot.
It is not possible to move around the premises without tags that record the person's movements in an electronic logbook.
Access to areas where confidential information is handled or stored should be restricted to authorized individuals through appropriate access control, e.g. using a two-step authentication mechanism such as an access card and a passcode.
People can't move around the organization's premises without a visible identifier.
Irrespective of the form in which the information is presented, personal data or other confidential information shall be processed in such a way that the information isn't disclosed for outsiders.
Conversations concerning personal data or other confidential information shall not be conveyed to adjacent premises to those who do not have the right to information.
Organisation's premises and the operating environments of the equipment are actively protected by security.
Fyysisten turvatoimien yksi tavoite on estää luvaton pääsy turvallisuusluokiteltuun tietoon. Tämä toteutetaan:
The organisation must determine and fulfill the requirements for managing supporting assets to ensure their proper handling throughout their lifecycle.
The procedures for the handling of supporting assets, which may include aspects such as:
These procedures should be clearly defined to ensure that all supporting assets are managed in a manner that maintains their integrity and security.
External support staff, such as maintenance or cleaning staff, will only be granted access to the necessary security areas and confidential data processing services they need. Access rights for external support staff are reviewed regularly.
Security personnel use camera surveillance to verify unauthorized access, sabotage, or other alarms at the organization's premises.