Asiakirjojen turvaluokittelu - SecMeter

Sisältöön

Asiakirjojen turvaluokittelu

Yritysturvallisuus > Tietoturvallisuus
Asiakirjojen turvaluokituksella tarkoitetaan asiakirjan salassapitotarpeen arviointia ja sen perusteella tehtävää turvaluokitusmerkintää. Asiakirjan turvaluokitusmerkintä osoittaa ne käsittelysäännöt (tietoturvallisuusvaatimukset), joita asiakirjan käsittelyssä on noudatettava.

Turvaluokitusmerkintää ei ole laissa nimenomaisesti säädetty pakolliseksi. Tämän ohjeen tarkoitus on olla tukena harkittaessa miltä osin turvaluokitusmerkinnät ovat julkisuuslain ja muiden lakien toimeenpanon kannalta välttämättömiä tai suositeltavia.

Julkisuusperiaate
Suomen oikeusjärjestyksessä toteutuu hallinnon julkisuusperiaate asianosais-, käsittely- ja asiakirjajulkisuutena. Julkisista asiakirjoista on jokaisella henkilöllä oikeus saada tietoja.

Yksityisoikeudelliset yhteisöt kuuluvat julkisuuslain soveltamispiiriin siltä osin kuin ne hoitaessaan julkista tehtävää käyttävät julkista valtaa. Muutoin yksityisoikeudellisilla yhteisöillä ei ole lakiin perustuvaa julkisuusperiaatetta.

Arkistolaki
Arkistolaki ei velvoita luokittelemaan asiakirjoja. Laki määrittää asiakirjan ja asettaa vaatimukset asiakirjojen säilytykselle.

Arkistolaki määrittää arkistotoimen tehtäviksi huolehtia asiakirjojen käytettävyydestä ja säilyttämisestä sekä niihin liittyvistä tietopalveluista ja tietosuojasta. Arkistotoimelle kuuluu myös asiakirjojen säilytysarvon määrittely ja tarpeettoman aineiston hävitys.

Hyvä tiedonhallintatapa
Asetus julkisuudesta ja hyvästä tiedonhallintatavasta (1030/1999) luo perusteen asiakirjaturvallisuudelle.
Asiakirjaturvallisuus tarkoittaa hyvän tiedonhallintatavan toteutumista asiakirjojen käsittelyssä (asiakirjoja luotaessa, muutettaessa, siirrettäessä, arkistoitaessa, hävitettäessä tai muutoin käsiteltäessä).

Yrityksen tietoturvapolitiikka
Mikäli yritys päättää luokitella asiakirjansa, on asiakirjojen turvaluokitusvaatimus kirjattava myös yrityksen hallituksen hyväksymään tietoturvapolitiikkaan.

Turvaluokitukset ja merkinnät
Tietojen turvaluokitus koskee yksinomaan tallennettua tietoa. Tallentamaton (hiljainen) tieto esimerkiksi asiakaspalvelutilanteissa tietoon tulleita seikkoja ei turvaluokitella, ne kuuluvat salassapitomenettelyn piiriin.

Viranomaisen asiakirjojen turvaluokitus
Salassapito- ja luokitusmerkinnöistä säädetään laissa viranomaisten toiminnan julkisuudesta (23.6.2005/495) 6:n luvun 25 §:ssä seuraavaa, ”Viranomaisen asiakirjaan, jonka viranomainen antaa asianosaiselle ja joka on salassa pidettävä toisen tai yleisen edun vuoksi, on tehtävä merkintä sen salassa pitämisestä. Asianosaiselle on annettava tieto hänen salassapitovelvollisuudestaan myös silloin, kun salassa pidettäviä tietoja annetaan suullisesti.”

Lain julkisen hallinnon tiedonhallinnasta (906/2019) 4:n luvun 18 § mukaan viranomaisen asiakirjat on luokiteltava ja niihin on tehtävä turvallisuusluokkaa koskeva merkintä sen osoittamiseksi, minkälaisia tietoturvallisuustoimenpiteitä asiakirjaa käsiteltäessä noudatetaan.

Turvallisuusluokkaa koskeva merkintä on tehtävä, jos asiakirja tai siihen sisältyvä tieto on salassa pidettävä viranomaisten toiminnan julkisuudesta annetun lain 24 §:n 1 momentin 2, 5 tai 7–11 kohdan perusteella ja asiakirjaan sisältyvän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa vahinkoa maanpuolustukselle, poikkeusoloihin varautumiselle, kansainvälisille suhteille, rikosten torjunnalle, yleiselle turvallisuudelle tai valtion- ja kansantalouden toimivuudelle taikka muulla niihin rinnastettavalla tavalla Suomen turvallisuudelle.

Turvallisuusluokkaa koskevaa merkintää ei saa käyttää muissa kuin 1 momentissa tarkoitetuissa tapauksissa, ellei merkinnän tekeminen ole tarpeen kansainvälisen tietoturvallisuusvelvoitteen toteuttamiseksi tai asiakirja muutoin liity kansainväliseen yhteistyöhön. Kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa (588/2004) tarkoitettuihin asiakirjoihin on tehtävä turvallisuusluokituksesta merkintä siten kuin mainitussa laissa säädetään.

Turvallisuusluokittelusta, turvallisuusluokiteltaviin asiakirjoihin tehtävistä merkinnöistä ja turvallisuusluokiteltujen asiakirjojen käsittelyyn liittyvistä tietoturvallisuustoimenpiteistä säädetään tarkemmin valtioneuvoston asetuksella. Asiakirjoihin tehtävistä salassapitoa koskevista merkinnöistä säädetään viranomaisten toiminnan julkisuudesta annetun lain 25 §:ssä.

Merkintä voidaan tehdä muihinkin kuin 1 momentissa tarkoitettuihin asiakirjoihin. Salassapitomerkintä tehdään merkitsemällä asiakirjaan "SALASSA PIDETTÄVÄ" ja ruotsiksi "SEKRETESSBELAGD". Merkinnästä tulee käydä ilmi, miltä osin asiakirja on salassa pidettävä ja mihin salassapito perustuu. Jos salassapito perustuu säännökseen, jossa on vahinkoedellytyslauseke, merkintä voidaan tehdä kuitenkin niin, että siitä ilmenee vain se säännös, johon salassapito perustuu.

Asiakirjan tai siinä olevien tietojen salassapidon perusteiden lakattua, merkinnän poistamisesta tai muuttamisesta on tehtävä merkintä asiakirjaan, johon alkuperäinen merkintä on tehty. Merkinnän asianmukaisuus on tarkistettava viimeistään asiakirjaa ulkopuoliselle annettaessa. (9.8.2019/907)

EU:n turvaluokitus
EU:n tasolla yleisiä säännöksiä arkaluonteisten asiakirjojen käsittelystä sisältyy Euroopan parlamentin ja neuvoston avoimuusasetuksen (1049/2001) 9 artiklaan. Neuvoston turvallisuussäännöt on vahvistettu neuvoston päätöksellä (264/2001).

EU:n tietoturvasopimusten käsittelystä kansallisesti vastaa Suomessa ulkoasiainministeriö. EU on allekirjoittanut myös sopimuksen turvaluokiteltujen tietojen suojaamisesta Euroopan unionin ja USA:n välillä.

EU:n neuvoston pääsihteeristön turvallisuusyksikkö vastaa EU:lle toimitettujen tai sen kanssa vaihdettujen turvaluokiteltujen tietojen tai aineiston turvaamisesta.

Euroopan komission turvallisuusyksikkö vastaa turvaluokiteltujen tietojen turvaamisesta komissiossa. EU:n asiakirjojen turvaluokitus on seuraava:

  • TRÈS SECRET UE / EU TOP SECRET (Erittäin salainen) Tietoaineiston ilmitulo voi vahingoittaa poikkeuksellisen vakavasti Euroopan unionin, sen yhden tai useamman jäsenvaltion olennaisia etuja.
  • SECRET UE (Salainen) Tietoaineiston ilmitulo voi vahingoittaa vakavasti Euroopan unionin, sen yhden tai useamman jäsenvaltion olennaisia etuja.
  • CONFIDENTIEL UE (Luottamuksellinen) Tietoaineiston ilmitulo voi haitata Euroopan unionin, sen yhden tai useamman jäsenvaltion etuja.
  • RESTREINT UE (Käyttö rajoitettu) Tietoaineiston ilmitulo voi olla epäedullista Euroopan unionin, sen yhden tai useamman jäsenvaltion etujen kannalta.

Naton turvaluokitus
Naton turvallisuusyksikkö (NOS) vastaa turvallisuusjärjestelyjen kehittämisestä Natolle toimitettujen tai sen kanssa vaihdettujen turvaluokiteltujen tietojen tai aineiston suojelemiseksi ja turvaamiseksi. Naton asiakirjojen turvaluokitus on seuraava:

  • COSMIC TOP SECRET (CTS) (Erittäin salainen)
  • NATO SECRET (NS) (Salainen)
  • NATO CONFIDENTIAL (NC) (Luottamuksellinen)
  • NATO RESTRICTED (NR) (Käyttö rajoitettu)

Saksalainen DIN-turvaluokitus

  • DIN 1 julkiset asiakirjat
  • DIN 2 sisäiset asiakirjat
  • DIN 3 luottamukselliset asiakirjat
  • DIN 4 salaiset asiakirjat
  • DIN 5 erittäin salaiset asiakirjat

Yksityisoikeudellisen yhteisön turvaluokitus
Yritykset kuuluvat julkisuuslain soveltamispiiriin siltä osin kuin ne hoitaessaan julkista tehtävää käyttävät julkista valtaa. Muutoin yrityksillä ei ole lakiin perustuvaa julkisuusperiaatetta.

Yrityksiin ei kohdistu lakiin perustuvaa asiakirjojen turvaluokitteluvelvollisuutta. Yritys voi tarvittaessa itse määritellä operatiiviseen palvelu- ja liiketoimintaansa soveltuvan asiakirjojen turvaluokituksen.

Yrityksissä asiakirjojen käsittelysääntöjä ei ole käytännön syistä yleensä laadittu. Niissä harvoissa tapauksissa, joissa käsittelysäännöt ovat olemassa, ne ovat yrityksen omia sisäisiä ohjeita. Käytännössä on erittäin ongelmallista, ellei mahdotonta edellyttää vastaavia käsittelysääntöjä yhteistyökumppaneilta.

Turvaluokituksesta huolimatta yrityksen asiakirjat eivät nauti rikosoikeudellista salassapitorikoksen suojaa, koska yrityksen omien asiakirjojen kohdalla ei pääsääntöisesti ole kyse laissa tai asetuksessa säädetty taikka viranomaisen lain nojalla erikseen määräämä salassapitovelvollisuus. Yrityksen asiakirja voi saada rikoslain suojaa yrityssalaisuuden perusteella. Tämä edellyttää kuitenkin lainsäädännössä mainittujen kriteerien samanaikaista täyttymistä.

Yritys voi ilmaista salassapitointressinsä yhteistyökumppanille salassapitosopimuksessa, jossa on kuvattu salassapidon kohteena olevat asiakirjat ja ne asiakohdat, jotka ovat salassapidon kohteena. Epäselvien sopimustulkintojen välttämiseksi tulisi myös salassapitoaika määritellä.

Käytännössä salaisuuden paljastamisesta aiheutunutta vahinkoa on vaikea todistella ja näyttää toteen. Tämän johdosta salassapitosopimuksesta tulisi ilmetä sanktio, eli yksiselitteinen rahallinen korvaus, jonka toinen (saava) osapuoli sitoutuu korvaamaan, jos salaisuus osapuolen toimesta paljastuu.

Yrityksen allekirjoituksen lisäksi myös kaikkien tietoon oikeutettujen henkilöiden tulisi allekirjoittaa salassapitosopimus. Toimenpide selkiyttää salassapitovelvollisuuden todistelua tietyn henkilön osalta.

Toimintojen rooli
Toiminnoilla on tiedon omistajuuteen liittyvä hallinnollinen rooli (vastuu tietojen käytöstä). Asianomainen toiminto päättää omien asiakirjojen yksityiskohtaisista luokituskäytännöistä, jotka tulee huomioida myös sähköisessä asiakirjahallintajärjestelmässä. Tiedon omistajan hallinnolliseen roolin liittyviä tehtäviä ovat mm.

  • tiedon merkityksen arviointi
  • salassapitointressin arviointi
  • tiedon turvaluokitus
  • turvaluokitellun tiedon käsittelysäännöistä päättäminen.

Turvaluokituksen päivittäminen
Asiakirjan luottamuksellisuusastetta ei voida jälkikäteen nostaa, mutta sitä voidaan laskea.

Milloin turvaluokitusta ei merkitä
Asiakkaille ja viranomaisille lähetettäviin asiakirjoihin ei merkitä turvaluokitusta, koska asianosaisella henkilöllä on oikeus käsitellä itseään koskevia tietoja haluamallaan tavalla. Viranomaisia koskee lakiin perustuva salassapitovelvollisuus.

Turvaluokitusmerkintään liittyvät käsittelysäännöt
Yritys voi soveltaa viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta annetussa asetuksessa mainittuja hyvän asiakirjaturvallisuuden periaatteita. Näiden periaatteiden pohjalta prosessin omistaja, tiedon tuottaja tai viime kädessä tiedon käsittelijä päättää yksityiskohtaisista asiakirjaa koskevista käsittelytavoista.

Hankinta-asiakirjat
Laki julkisista hankinnoista velvoittaa hankintayksiköitä soveltamaan hankinta-asiakirjojen julkisuuteen lakia viranomaisten toiminnan julkisuudesta (621/1999).

Hankinta-asiakirjojen osalta tarjouksia koskevat asiakirjat ovat sopimuksen teon jälkeen julkisia. Viranomaisen velvollisuutena on suojata tarjouskilpailuun osallistuneiden liike- ja ammattisalaisuudet hintatietoja lukuun ottamatta. Tältä osin asiakirjojen turvaluokituksen käyttö on perusteltua.

Henkilötiedot
Asiakirjaturvallisuutta henkilötietojen käsittelyssä ohjaa henkilötietolaki (523/1999). Henkilötietolaki asettaa rekisterinpitäjälle erityisen huolellisuusvelvoitteen. Asiakirjojen turvaluokitus on osa tätä huolellisuusvelvoitetta ja myös tämän vuoksi perusteltua.

Henkilötietolain yleisvelvoitteita ovat tarpeellisuus- ja virheettömyysvaatimukset sekä huolellisuus- ja suojaamisvelvoitteet, jotka on otettava huomioon kaikessa henkilötietojen käsittelyssä.

Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön