Tyypillisiä fyysisen turvallisuuden uhkia ovat esimerkiksi tuli-, sähkö- ja vesivahingot, sekä varkaudet, väärinkäytökset ja ilkivalta. Jälkimmäisiin liittyen, fyysisen turvallisuuden keinoin pyritään estämään luvaton fyysinen kontakti (ja siten mahdollinen tunkeutuminen/luvaton käyttö) tietoverkkoihin tai laitteisiin sekä muuhun fyysiseen aineistoon (esim. työasemat, palvelimet, verkkokytkimet, tulostetut asiakassopimukset jne.).
Fyysisen tietoturvallisuuden suojauskeinot ja niiden mitoitukset pohjautuvat hallinnollisen tietoturvallisuuden tavoitteisiin, riskiarviointeihin, organisaatioiden välisiin sopimuksiin, sekä myös lainsäädäntöön erityisesti silloin kun suojataan viranomaisen turvaluokittelemaa aineistoa.
Fyysisen tietoturvallisuuden näkökulmasta huolellisten riskiarvioiden laatiminen on erityisen tärkeää, sillä myös esimerkiksi toimitilojen sijainnilla ja pohjaratkaisuilla on merkitystä siihen, miten suojaustoimet voidaan (tai joudutaan) toteuttamaan. Merkittäviä vaikutuksia on muun muassa seuraavilla: Missä kerroksessa toimitilat sijaitsevat, onko rakennuksessa muita toimijoita, kulkeeko tilojen läpi muiden organisaatioiden poistumisreittejä ja minkälaiset fyysiset seinä-, lattia- ja kattorakenteet tiloissa on valmiina?
Mitä fyysinen tietoturvallisuus sisältää?
Fyysinen tietoturvallisuus pitää sisällään ne keinot, joilla tärkeää tietoa suojataan fyysisiltä uhilta. Perustan muodostavat tiedon käsittely- ja säilytystiloja suojaavat ympäröivät fyysiset rakenteet sekä esimerkiksi tarvittavat näkösuojat ja äänieristykset.
Suojauskeinoina voidaan käyttää myös sähköisiä turvallisuusjärjestelmiä, kuten kameravalvonta-, kulunvalvonta- ja rikosilmoitinjärjestelmiä, sekä lukitus- ja paloilmaisinjärjestelmiä ja vartiointipalveluita. Turvallisuusjärjestelmien käytön ja niiden laajuuden tulisi pohjautua suoritettuun riskiarviointiin, jolloin voidaan varmistua siitä, että kohteeseen suunniteltavat turvallisuusratkaisut ovat riskeihin nähden riittäviä, mutta ei ylimitoitettuja.
Suojattaville tiloille olisi suositeltavaa määritellä turva-alueet (tunnetaan myös nimellä vyöhykkeet), joita hyödynnetään suojauksen toteuttamisessa. Turva-alueiden määrittelyllä saadaan muodostettua kehämallinen suojaus, jonka keskiössä on tärkein suojattava tila, esimerkiksi serverihuone tai tila, jossa säilytetään turvaluokiteltua aineistoa.
Pääsy turva-alueiden rajojen yli tulisi olla rajattu kiinteiden esteiden (seinät jne.) lisäksi esimerkiksi kulunvalvonta- tai lukitusjärjestelmien avulla siten, että tilaan pääsevät vain ne henkilöt, joilla katsotaan olevan tiedonsaantitarpeensa perusteella aito tarve päästä tilaan. Näin pyritään ennalta ehkäisemään ilkivaltaa, vahinkoja ja väärinkäytöksiä, jonka lisäksi rajat helpottavat selvitystyötä, mikäli tilassa tapahtuu jokin poikkeama, rikos tai väärinkäytös.
Kulun- ja pääsynhallintaa suunniteltaessa ja toteutettaessa on kiinnitettävä erityistä huomiota teknisen toteutuksen lisäksi myös avainten ja/tai kulkutunnisteiden hallinnan toteutukseen, sillä vahvinkin ovi avautuu helposti siihen sopivalla avaimella.
Tuotanto- ja toimitilojen riskiarvioon perustuen voi olla tarpeellista, että tiloihin määritellään tietyt vierailijakäytänteet osana hallinnollista tietoturvallisuutta, mutta varsinainen vierailijahallinnan toteutus on luonnollinen osa fyysistä tietoturvallisuutta. Vierailijahallinnan avulla voidaan vähentää erityisesti tietoon kohdistuvien rikosten ja muun ilkivallan todennäköisyyttä. Vierailijakäytänteitä voivat olla esimerkiksi vieraan vastaanottaminen tietyssä tilassa ja saattaminen kaikissa tai joissakin tiloissa, vierailijakortit, sekä vieraiden kirjaaminen. Näitä käytänteitä voidaan hyödyntää myös esimerkiksi huoltohenkilökunnan ja muiden sidosryhmien liikkumiseen tiloissa.
Tärkeä osa fyysistä tietoturvallisuutta on myös olosuhteilta suojautuminen, erityisesti tuleen, veteen ja sähköön liittyviltä uhilta. Näihin voidaan vaikuttaa esimerkiksi riittävällä ilmanvaihdolla, palokuorman vähentämisellä tiloissa, palonilmaisu- ja sammutusjärjestelmillä ja UPS-laitteilla. Tärkeintä on valita tilaan ja tarkoitukseen sopivat ratkaisut. Myös rakennusautomaatiojärjestelmien mitoituksella, säädöillä ja toiminnalla on merkitystä fyysisen tietoturvallisuuden varmistamisessa (lämpötila, ilman kosteus jne.).
Miksi fyysinen tietoturvallisuus on tärkeää?
Yleisesti voidaan todeta, että tieto on useimmille organisaatioille yksi tärkeimmistä, ellei jopa tärkein suojattava asia (liike)toiminnan jatkuvuuden kannalta. Sen vuoksi on tärkeää, että kaikki tietoturvallisuuden osa-alueet on huomioitu yhtenä kokonaisuutena ja riskeihin varaudutaan huomioiden kaikki tietoturvan näkökulmat. Pelkästään yhteen tietoturvallisuuden osa-alueeseen keskittyminen ei siis riitä, vaan tietoturvallisuuden varmistaminen vaatii kaikkien osa-alueiden huomioimisen.
Sen lisäksi, että organisaation tietoja suojataan liiketoiminnan jatkuvuuden turvaamiseksi, tiedon suojaamiselle on olemassa vaatimuksia myös lainsäädännössä. Varsinkin turvaluokitellun tiedon suojaamiseksi lainsäädäntö määrittelee vähimmäisvaatimukset suojauskeinoille, jotka tulee täyttyä, esimerkiksi suojausvyöhykkeet. Juuri päivitetty Katakri 2020 on hyvä viitekehys tietoturvallisuuden ratkaisujen suunnittelemiseen ja auditoimiseen. Lisäksi VAHTI 2/2013 voidaan käyttää toimitilojen tietoturvallisuuden toteuttamisen tukena. Se antaa suuntaviivoja ja ehdotuksia toimitilojen tietoturvallisuuden parantamiselle. Sen avulla organisaatiot pystyvät ottamaan huomioon lainsäädännön vaikutukset toimitilojen turvallisuudelle
Fyysinen tietoturvallisuus ilmentyy jokapäiväisessä työssä pieninä asioina, jotka kuitenkin tukevat kokonaisuutta. Näitä ovat esimerkiksi työaseman lukitseminen työpisteeltä poistuttaessa, puhtaan pöydän politiikka, sekä kannettavan tietokoneen asianmukainen säilyttäminen kotona, työmatkalla ja työpaikalla, sekä asiakirjojen oikeaoppinen käsittely ja säilytys. Henkilöstö on tärkeää saada sitoutettua noudattamaan fyysisen tietoturvallisuuden toimintaohjeita, jolloin ohjeiden kannattaa myös olla mahdollisimman käytännönläheisiä ja yksinkertaisia.
Esimerkkejä yleisesti käytetyistä viitekehyksistä
Katakri 2020
- Katakri on tietoturvallisuuden auditointityökalu viranomaisille. Sitä voivat käyttää myös muut organisaatiot oman tietoturvallisuutensa arvioinnin tukena.
VAHTI 2/2013
- Vahti 2/2013 on valtionhallinnon toimitilojen tietoturvaohje. Ohje antaa suuntaviivoja ja ehdotuksia toimitilojen tietoturvallisuuden parantamiselle. Sen avulla organisaatiot pystyvät ottamaan huomioon lainsäädännön vaikutukset toimitilojen turvallisuudelle.
ISO 27001
- Tietoturvallisuuden johtamismallin esimerkki. Antaa suuntaviivoja ja esimerkkejä organisaation tietoturvallisuusjohtamisjärjestelmän rakentamiseen ja siihen liittyvien prosessien ja yksityiskohtien suunnitteluun ja toteuttamiseen.
Pikatesti oman organisaation hallinnollisen tietoturvan perusteista
- Organisaation toimitilat on määritelty turva-alueittain
- Organisaation tuotanto- ja toimitilat on suojattu riskiarvion perusteella tarpeellisilla turvajärjestelmillä (sisältäen palontorjuntalaitteiston), rakenteellisella suojauksella ja vartioinnilla
- Tiloissa kulkemista on rajoitettu kulunvalvontajärjestelmällä tai lukituksella
- Vierailijahallinta on käytössä
- Fyysisen tietoturvallisuuden apuna käytetään soveltuvia viitekehyksiä, esim. Katakri 2020
- Organisaatiossa on perehdytys/koulutus fyysisestä tietoturvallisuudesta
- Organisaatiossa on olemassa turvallisuusohjeet
- Turvallisuusohjeita ja niiden noudattamista auditoidaan säännöllisesti
Mikäli vastasit kieltävästi johonkin edellä mainituista kysymyksistä, saattaa fyysisen tietoturvallisuuden tarkastelu olla ajankohtaista.
Seclionin asiantuntijapalvelut kattavat kaikki tietoturvallisuuden osa-alueet aina hallinnollisen tietoturvallisuuden kehittämisestä kyberturvapalveluihin.
Saatat olla kiinnostunut myös seuraavista:
- Mitä on hallinnollinen tietoturvallisuus?
- Rakenteellinen murtosuojaus ja siihen liittyvät ohjeet
- VAHTI-Ohje, mitä, kuka ja miksi
- Mikä on tärkeintä ISO 27001 standardissa?
Seclion Oy on Suomen johtava turvallisuuteen erikoistunut asiantuntijayritys. Tuotamme ainoastaan erityisosaamista vaativia suunnittelu- ja konsultointipalveluita, jonka vuoksi voimme tarjota asiakkaillemme aidosti puolueettomia ja alan toimijoista riippumattomia turvallisuusasiantuntijoita.
Tutustu asiakkaidemme kokemuksiin palveluistamme täällä.