Tietojen julkisuusluokittelu on monipuolinen kokonaisuus, joka rakentuu useista toisiinsa linkittyneistä teemoista. Kokonaisuudelle on olemassa monta erilaista termiä. Lähteestä riippuen termi on luokittelumalli, -skeema (Raman ym. 2014, 67.1), -metodologia (Boyer 2003, 3) tai -järjestelmä (Fowler 2003, 1), joka voi sisältää vielä erillisen luokittelukehikon (Furness 2005, 3). Selkeyden vuoksi viitataan kaikkiin edellisiin sanalla luokittelumalli.
Alla olevassa kuviossa on esitetty yksi tulkinta luokittelumallista. Sen muodostamisessa on hyödynnetty esimerkiksi kansainvälisesti tunnustettuja ISO27001 ja ISO27002 (SFS-ISO/IEC 2013a, 2013b) -tietoturvastandardeja sekä muita lähteitä.
Kuvion mukaisesti luokittelulle on oltava tarve, jotta luokittelutoiminta olisi perusteltua. Tarpeet voivat muodostua esimerkiksi lain, toimialan, standardien, kolmannen osapuolen tai organisaation omien vaatimusten kautta.
Luokitellessaan tietoaineistoa, tiedon omistaja huomioi tarvepohjaiset vaatimustenmukaisuusvelvoitteet, luokiteltavan tiedon tietoturvavaatimukset sekä organisaation tietojen luokitteluperiaatteet.
Tietoaineisto merkitään niin, että tiedon käsittelijä tietää, mihin julkisuusluokkaan tieto kuuluu. Luokiteltua tietoa käsitellään erillisten käsittelyohjeiden mukaisesti. Luokitellun tiedon käsittely on kokonaisuutena yksi julkisuusluokittelun merkittävimmistä hyödyntämiskohteista.
Seuraavissa alaluvuissa on kuvattu tarkemmin luokittelumalliin liittyviä teemoja. Julkisuusluokittelun hyödyntämisestä osana organisaation toimintaa on kuvattu opinnäytetyön PDF-version teoriaosuudessa (s. 15) ja tuloksissa (s. 46).
Luokittelutarpeen tunnistaminen
Organisaatioilla on eri tarpeita dokumenttien ja tietojen julkisuusluokittelun toteuttamiseksi. Tarpeet voivat muodostua esimerkiksi vaatimustenmukaisuusvelvoitteiden kautta, toisin sanoen lain, toimialan, standardien tai kolmannen osapuolen vaatimuksista. Asianmukainen dokumenttien hallinta nähdään myös osana tietoturvallisuustyötä (VAHTI 2006).
Dokumenttien julkisuusluokittelu ei ole kaikille organisaatioille pakollista. Tudor (2001, 45) kehottaa ensin päättämään, miksi luokittelua halutaan tehdä. Usein syy luokittelun aloittamiselle on nimenomaan organisaatiolle tärkeiden tietojen hahmottamisen ja suojaamisen tarve. Euroopan neuvoston (Council of the European union 2013, 21) tietojen luokitteluohje kiteyttää asian seuraavasti: jos tietojen luottamuksellisuus on turvattava, niin tiedot luokitellaan.
Tiedon omistajuus
Tiedon kriittisyys ja liiketoiminta-arvo määrittelevät sen, kuinka hyvin tietoa tulisi suojata. Arvon, kriittisyyden ja suojaustarpeet tunnistavat parhaiten tiedon omistaja (Raggad 2010, 71). Tiedon omistajalla on tärkeitä tehtäviä. Hän vastaa tiedon luokittelusta ja määrittelee tiedon turvallisuusvaatimukset (SFS-ISO/IEC 2013b), tiedon käyttötavat (Raggad 2010, 71) sekä tahot, joilla on oikeus käsitellä kyseistä tietoa (Peltier & Tompkins 2014, 309).
Kuka tiedon omistaa? Tudorin (2001, 41) mukaan tiedon luoja on tiedon omistaja. Kansainvälinen tietoturvastandardi ISO27002 (2013b) määrittelee omistajaksi sen henkilön tai tahon, joka on vastuutettu huolehtimaan kyseisen tietoaineiston elinkaaresta. Viime kädessä tiedon omistajuus on kuitenkin organisaation ylimmällä johdolla. He vastaavat organisaation tietoaineiston tietoturvallisuudesta (VAHTI 2006, 9). Vaikka tiedon omistajan määritys voi vaihdella, niin tiedolla on kuitenkin oltava omistaja.
Tiedon luokitteluperiaatteet, merkintä ja käsittely
Kansainvälisten tietoturvastandardien ISO27001 ja 27002 (SFS-ISO/IEC 2013a, 2013b) ja kansallisten suositusten (VAHTI 2010, 51) mukaan organisaatiolla tulisi olla dokumentoidut periaatteet tietojen luokittelusta eri julkisuusluokkiin, luokiteltujen tietojen merkinnästä ja käsittelystä. Periaatteet otetaan käyttöön koko organisaatiossa. Alustavat luokitteluperiaatteet voidaan muodostaa esimerkiksi opinnäytetyössä kehitetyn menetelmän avulla. Lue lisää: julkisuusluokittelun aloittaminen.
Tietoturvastandardit (SFS-ISO/IEC 2013a, 2013b) ja yhdysvaltalainen National Institute of Standards and Technology (NIST 2008) ohjeistavat luokittelemaan tietoaineistot lakisääteisten vaatimusten sekä liiketoiminnan tarpeiden perusteella eri kategorioihin. Samoja suojatoimenpiteitä vaativat tietoaineistot kootaan yhteen ja näille määritellään yksi luokitteluluokka. Luokalle määritellään tarvittavat suojaustoimenpiteet. (SFS-ISO/IEC 2013b.)
Luokka voidaan nimetä siten, että se kuvaa siinä olevan tietoaineiston sisältöä. Esimerkkejä luokkien nimistä ovat julkinen, sisäinen ja salainen. Salaiset tiedot vaativat eri suojaustasoa kuin julkiset tiedot. Näin ollen julkisuusluokkien lisäksi voidaan puhua myös suojausluokista.
Eri julkisuusluokkiin kuuluvat tietoaineistot tulee merkitä siten, että tiedon käsittelijä tietää selkeästi, mihin luokkaan tieto kuuluu. Merkintä voidaan tehdä dokumenttiin esimerkiksi erillisenä tekstimerkintänä tai teknisenä metatietona. (SFS-ISO/IEC 2013b.)
Organisaation tulee toteuttaa luokitellun tiedon käsittelyä varten toimintamallit ja -ohjeet. Niiden tarkoituksena on kertoa miten luokiteltua tietoa saa esimerkiksi käsitellä, siirtää, tallentaa ja kertoa eteenpäin. (SFS-ISO/IEC 2013b.) Ohjeilla pyritään varmistamaan, että kaikki työntekijät luokittelevat tietoa samalla tavalla (Furness 2005, 8).
Yritysjohdon tuki ja luokitteluun liittyvät vastuut ja velvollisuudet
Yritysjohdon on osoitettava tukensa koko luokittelutoiminnalle. On tärkeää, että puhutaan yritysjohdon tuen osoittamisesta eikä tuen hankkimisesta. Mikäli tukea pitää erikseen hakea, niin luokittelun tarpeeseen ja hyötyihin liittyvä viestintätyö voi olla jo epäonnistunut.
Alkuvaiheessa tuki voidaan ilmaista esimerkiksi luokitteluprojektin asettamisella. Luokittelu voidaan huomioida myös organisaation tietoturvapolitiikassa tai erillisessä luokittelupolitiikassa. Luokittelupolitiikka on hyödyllinen dokumentti, koska se sitouttaa sekä yritysjohdon että työntekijät (Calder 2005, 58; Greene 2006, 120–121). Boyer (2003, 3) kuitenkin huomauttaa, että politiikan pitää olla nimenomaan yritysjohdon toteuttama eikä esimerkiksi IT-yksikön. Muuten luokittelutoiminta voi saada liian teknisen näkökulman työntekijöiden keskuudessa.
Vastuiden ja velvollisuuksien määrittelyllä ja dokumentoinnilla pyritään työntekijöiden roolien selkeyttämiseen. Erityisesti tiedon omistajan rooli on olennainen. On pystyttävä vastaamaan, kuka tiedon omistajaa ja millaisia tehtäviä omistajalla on luokitteluun liittyen. Evans ja Price (2014, 117) havaitsivat tutkimuksessaan, että tietoaineistoihin liittyvät vastuut ja velvollisuudet ovat usein määrittämättä yrityksissä.
Koulutus ja ohjeistaminen
Kouluttaminen ja ohjeistaminen ovat olennaisessa osassa julkisuusluokitteluun liittyvissä asioissa. Työntekijöille tulee kertoa luokittelutoiminnan tarkoitus, tavoitteet ja hyödyt sekä vastuut ja velvollisuudet.
Jos organisaatiossa ei ole luokittelumallia ja siihen liittyviä toimintaohjeita, niin työntekijät eivät voi luotettavasti tietää, miten tietoa käsitellään (Raman ym. 2014, 67.2). Lisäksi käyttäjille on kerrottava, miksi luokittelua tehdään (Council of the European union 2013, 28–29), mikä tieto on organisaatiolle arvokasta, mitä julkisuusluokkia on olemassa ja mitkä tiedot kuuluvat mihinkin luokkaan (Laaksonen, Nevasalo & Tomula 2006, 161).
Kouluttamaton käyttäjä saattaa käyttää luokittelua väärin ja se voi puolestaan johtaa aliluokitteluun sekä väärään turvallisuuden tunteeseen. Myös tiedon yliluokittelu on uhkana. Tällöin tietoa suojataan liikaa ja liiketoiminta voi kärsiä, koska tarvittavaan tietoon ei päästy käsiksi ajallaan. (SFS-ISO/IEC 2013b; Tudor 2001, 46.)
Lue seuraavaksi julkisuusluokittelun aloittamisesta tai palaa takaisin Tietojen luokittelu -kokonaisuuden alkuun.