KATAKRI versio II - Puolustusministeriö
KATAKRI versio II - Puolustusministeriö
KATAKRI versio II - Puolustusministeriö
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Kysymys<br />
A 306.0<br />
Onko koko suojattavan tiedon<br />
käsittely-ympäristö suojattu<br />
organisaation tietoturvaperiaatteiden<br />
ja tiedon merkityksen/luokituksen<br />
mukaisesti<br />
Lisäkysymykset:<br />
Kattavatko suojaukset kaikki<br />
loogisesti kytketyt tietoverkot ja<br />
-järjestelmät, joissa suojattavaa<br />
tietoa käsitellään Kattavatko<br />
suojaukset myös sellaiset tietoverkot<br />
ja -järjestelmät, joihin<br />
tietoa viedään tai joista tietoa<br />
tuodaan ilmaraon yli esimerkiksi<br />
USB-muisteilla<br />
Viranomaisvaatimus:<br />
Perustaso (IV)<br />
Kaikki suojaustason<br />
IV tiedon<br />
käsittely-ympäristöt<br />
on suojattu<br />
vähintään viranomaisvaatimusten<br />
mukaisesti.<br />
Viranomaisvaatimus:<br />
Korotettu taso (<strong>II</strong>I)<br />
Kaikki suojaustason<br />
<strong>II</strong>I tiedon käsittelyympäristöt<br />
on suojattu<br />
vähintään viranomaisvaatimusten<br />
mukaisesti.<br />
Viranomaisvaatimus:<br />
Korkea taso (<strong>II</strong>)<br />
Kaikki suojaustason <strong>II</strong> tiedon<br />
käsittely-ympäristöt on suojattu<br />
vähintään viranomaisvaatimusten<br />
mukaisesti.<br />
Elinkeinoelämän<br />
suositukset<br />
Kaikki suojattavaa tietoa<br />
käsittelevät tietoverkot ja<br />
-järjestelmät ovat organisaation<br />
tietoturvaperiaatteiden<br />
mukaisesti suojattuja.<br />
Lähde/lisätietoa<br />
Kansallisen turvallisuusviranomaisen<br />
”Kansainvälisen<br />
turvallisuusluokitellun tietoaineiston<br />
käsittelyohje”, VAHTI<br />
2/2010, VAHTI 3/2010<br />
Vaatimuksen päätavoitteena<br />
on varmistua siitä, että koko<br />
suojattavan tiedon käsittelyympäristö<br />
tulee suojatuksi<br />
asianmukaisesti, ja että esimerkiksi<br />
pääjärjestelmään kytketyn<br />
apujärjestelmän kautta ei ole<br />
luvatonta pääsyä suojattavaan<br />
tietoon. Oheistavoitteena on<br />
varmistua siitä, että suojattavaan<br />
tietoon ei ole luvatonta<br />
pääsyä esimerkiksi heikosti<br />
suojatun tilapäis-, kokeilu-, tai<br />
luvattomasti asennetun verkon<br />
kautta.<br />
Auditointitulos:<br />
OK/ poikkeama<br />
Erityisesti turvaluokitellun aineiston<br />
tapauksessa tulee koko<br />
suojattavan tiedon käsittelyympäristön<br />
olla suojattu ja hyväksytetty<br />
käsiteltävän tiedon<br />
turvaluokan mukaisesti. Vaatimus<br />
kattaa mm. kaikki verkkoon/järjestelmään<br />
kytketyt<br />
muut verkot/järjestelmät sekä<br />
kaikki käsittely-ympäristöt,<br />
joihin turvaluokiteltua tietoa<br />
viedään tai josta sitä tuodaan.<br />
(vrt. I 401.0).<br />
KANSALLINEN TURVALLISUUSAUDITOINTIKRITEERISTÖ<br />
19