Statsrådets förordning om säkerhetsklassificering av handlingar inom statsförvaltningen (i kraft från och med 1.1.2020) 28.11.2019/1101

I enlighet med statsrådets beslut föreskrivs med stöd av 18 § 4 mom. i lagen om informationshantering inom den offentliga förvaltningen (906/2019) och 8 § 2 mom. i lagen om internationella förpliktelser som gäller informationssäkerhet (588/2004):

1 § Tillämpningsområde

1. mom.

Denna förordning innehåller bestämmelser om säkerhetsklassificering av i 18 § 1 mom. i lagen om informationshantering inom den offentliga förvaltningen (906/2019), nedan informationshanteringslagen, avsedda handlingar, om anteckningar i säkerhetsklassificerade handlingar och om informationssäkerhetsåtgärder som gäller behandlingen av säkerhetsklassificerade handlingar hos statsförvaltningsmyndigheterna.

2. mom.

I lagen om offentlighet i myndigheternas verksamhet (621/1999) finns bestämmelser om myndighetshandlingars offentlighet och om behandlingen av en begäran om att få ta del av en handling.

3. mom.

I lagen om internationella förpliktelser som gäller informationssäkerhet (588/2004) finns bestämmelser om sekretess i fråga om handlingar som har säkerhetsklassificerats enligt internationella förpliktelser som gäller informationssäkerhet och om uppfyllande av internationella förpliktelser som gäller informationssäkerhet. Denna förordning tillämpas på behandlingen av handlingar som ska säkerhetsklassificeras och som kommit in från en myndighet i ett annat land eller ett internationellt organ, om inte något annat följer av en i den lagen avsedd internationell förpliktelse som gäller informationssäkerhet.

2 § Definitioner

1. mom.

I denna förordning avses med

1) statsförvaltningsmyndighet myndigheter vid statliga ämbetsverk och inrättningar, domstolar samt nämnder som har inrättats för att behandla besvärsärenden,

2) behandling av en handling mottagande, upprättande, registrering, läsning, ändring, utlämnande, kopiering, överföring, förmedling, förstöring, bevarande och arkivering av handlingar samt andra åtgärder som vidtas i fråga om en handling,

3) terminalutrustning ett informationssystem eller en del av det som i allmänhet används av en person för elektronisk databehandling i samband med skötseln av personens arbetsuppgifter eller andra uppgifter som ankommer på statsförvaltningsmyndigheter.

2. mom.

Utöver vad som i denna förordning särskilt föreskrivs om kopiering av handlingar eller kopior av handlingar, tillämpas på kopior av handlingar vad som föreskrivs om handlingar.

3 § Säkerhetsklassificering och märkning av säkerhetsklass

1. mom.

I 18 § 1 mom. i informationshanteringslagen avsedda handlingar som ska säkerhetsklassificeras delas in i följande säkerhetsklasser:

1) säkerhetsklass I, om obehörigt röjande eller obehörig användning av sekretessbelagda uppgifter i handlingen kan orsaka särskilt stor skada för ett sådant skyddat intresse som avses i 18 § 1 mom. i informationshanteringslagen,

2) säkerhetsklass II, om obehörigt röjande eller obehörig användning av sekretessbelagda uppgifter i handlingen kan orsaka betydande skada för ett sådant skyddat intresse som avses i 18 § 1 mom. i informationshanteringslagen,

3) säkerhetsklass III, om obehörigt röjande eller obehörig användning av sekretessbelagda uppgifter i handlingen kan orsaka skada för sådant skyddat intresse som avses i 18 § 1 mom. i informationshanteringslagen,

4) säkerhetsklass IV, om obehörigt röjande eller obehörig användning av sekretessbelagda uppgifter i handlingen kan orsaka lindrig skada för ett sådant skyddat intresse som avses i 18 § 1 mom. i informationshanteringslagen.

2. mom.

De säkerhetsklasser som avses i 1 mom. anges på finska på följande sätt: handlingar i säkerhetsklass I förses med märkningen ”ERITTÄIN SALAINEN”, i säkerhetsklass II med ”SALAINEN”, i säkerhetsklass III med ”LUOTTAMUKSELLINEN” och i säkerhetsklass IV med ”KÄYTTÖ RAJOITETTU”. Utöver nämnda märkning kan märkningarna ”TL I”, ”TL II”, ”TL III” och ”TL IV” användas.

3. mom.

I handlingar som har upprättats på svenska eller översatts till svenska ska säkerhetsklasserna med avvikelse från vad som föreskrivs i 2 mom. anges på svenska. Märkningen på svenska kan göras även i andra fall, om myndigheten anser det vara behövligt. Märkningen i fråga om säkerhetsklass I är då ”YTTERST HEMLIG”, i fråga om säkerhetsklass II ”HEMLIG”, i fråga om säkerhetsklass III ”KONFIDENTIELL” och i fråga om säkerhetsklass IV ”BEGRÄNSAD TILLGÅNG”.

4. mom.

Handlingens säkerhetsklass ska också framgå av uppgifterna om handlingen i det ärenderegister som avses i 25 § i informationshanteringslagen eller i något annat datalager som en myndighet allmänt använder för informationshantering.

5. mom.

Säkerhetsklassen kan anges in i en separat handling som fogas till den säkerhetsklassificerade handlingen, om det inte är tekniskt möjligt att ange säkerhetsklassen genom en märkning i handlingen eller ändra en tidigare märkning, eller om de krav på behandlingen som svarar mot säkerhetsklassen behövs endast under en bestämd kortare tid.

4 § Säkerhetsklassificeringens motsvarighet vid tillgodoseende av internationella förpliktelser som gäller informationssäkerheten

1. mom.

Om inte något annat följer av internationella förpliktelser som gäller informationssäkerheten, motsvaras säkerhetsklassificeringsmärkningen ”ERITTÄIN SALAINEN” eller ”YTTERST HEMLIG” av den engelska säkerhetsklassificeringsmärkningen ”TOP SECRET” eller av motsvarande märkning på något annat språk, märkningen ”SALAINEN” eller ”HEMLIG” motsvaras av ”SECRET” eller av motsvarande märkning på något annat språk, märkningen ”LUOTTAMUKSELLINEN” eller ”KONFIDENTIELL” motsvaras av ”CONFIDENTIAL” eller av motsvarande märkning på något annat språk och märkningen ”KÄYTTÖ RAJOITETTU” eller ”BEGRÄNSAD TILLGÅNG” av ”RESTRICTED” eller av motsvarande märkning på något annat språk.

5 § Slopande eller ändring av en märkning i fråga om säkerhetsklass

1. mom.

Om de i lag angivna grunderna för säkerhetsklassificeringen av en handling upphör att gälla eller säkerhetsklassen behöver ändras, ska en behörig anteckning om slopad eller ändrad i 3 § avsedd märkning införas i den handling i vilken den ursprungliga märkningen har införts samt i de uppgifter om handlingen som avses i 3 § 4 mom. Senast när handlingen lämnas ut till utomstående ska märkningens korrekthet kontrolleras.

2. mom.

Om en handling har kommit in från en annan myndighet, får en märkning i fråga om säkerhetsklass slopas eller ändras endast med tillstånd av den myndighet som har upprättat handlingen eller den myndighet som ska avgöra ärendet i dess helhet, såvida det inte är klarlagt att det inte längre finns några grunder för användningen av säkerhetsklass.

6 § Förutsättningar för utlämnande av en säkerhetsklassificerad handling

1. mom.

En statsförvaltningsmyndighet ska på förhand säkerställa att en säkerhetsklassificerad handling skyddas på behörigt sätt om myndigheten lämnar ut den till någon annan än en statsförvaltningsmyndighet. Kravet gäller inte utlämnande av information om handlingens innehåll på grundval av en parts rätt att få information.

2. mom.

Bestämmelser om en myndighets skyldighet att på förhand säkerställa att uppgifter sekretessbeläggs och skyddas på behörigt sätt när myndigheten lämnar ut uppgifter ur en sekretessbelagd handling för ett uppdrag som myndigheten gett finns i 26 § 3 mom. i lagen om offentlighet i myndigheternas verksamhet.

7 § Skydd på flera nivåer

1. mom.

Informationshanteringsenheten ska vidta åtgärder som förebygger, förhindrar och begränsar gärningar som äventyrar skyddet av sådana informationssystem, sådana datakommunikationsarrangemang och sådana i 9 § avsedda säkerhetsområden som används för behandling av säkerhetsklassificerade handlingar samt åtgärder för att upptäcka och spåra de gärningar som äventyrar skyddet och för att utan dröjsmål återställa den säkerhetsnivå som föregick den gärning som äventyrat skyddet.

8 § Behandlingsrättigheterna och förteckningen över dem

1. mom.

Rätt att behandla en säkerhetsklassificerad handling kan endast ges den som på grund av sina arbetsuppgifter eller för skötseln av andra uppgifter som ankommer på statsförvaltningsmyndigheter har behov av att få uppgifter ur handlingen eller att på annat sätt behandla handlingen och som har informerats om de anvisningar och förfaranden som gäller skydd av säkerhetsklassificerade uppgifter och är förtrogen med förpliktelserna i fråga om behandlingen av handlingar.

2. mom.

En statsförvaltningsmyndighet ska föra förteckning över de personer som har rätt att behandla handlingar i säkerhetsklass I, II eller III. I förteckningen ska nämnas respektive persons arbetsuppgift som behovet att behandla säkerhetsklassificerade uppgifter grundar sig på.

3. mom.

En statsförvaltningsmyndighet ska se till att personer som inte längre har arbetsuppgifter som rätten att behandla klassificerade handlingar grundar sig på återställer handlingarna eller förstör dem på behörigt sätt.

9 § Säkerhetsområden

1. mom.

Informationshanteringsenheten ska fastställa följande fysiskt skyddade säkerhetsområden för att skydda behandlingen av säkerhetsklassificerade handlingar samt informationssystem på det sätt som avses i 10 §:

1) administrativa områden som har tydligt bestämda synliga gränser och till vilka endast personer som har auktoriserats av en statsförvaltningsmyndighet har tillträde utan följeslagare,

2) skyddsområden som har tydligt bestämda och skyddade gränser till vilka allas inträde och utträde övervakas genom identifiering med passerkort eller personligen och till vilka endast personer vilkas pålitlighet har fastställts har tillträde utan följeslagare och som har ett särskilt tillstånd att få komma in på området.

10 § Skydd av behandlingen av handlingar och av informationssystemen med hjälp av säkerhetsområden

1. mom.

Säkerhetsklassificerade handlingar ska inom och utanför säkerhetsområdena behandlas så att åtkomsten till säkerhetsklassificerade uppgifter skyddas från utomstående.

2. mom.

Handlingar i säkerhetsklass I får förvaras eller på annat sätt behandlas endast inom skyddsområden.

3. mom.

Handlingar i säkerhetsklass II–IV får behandlas inom och utanför säkerhetsområdena, dock så att

1) datalager som innehåller handlingar i säkerhetsklass II eller III och de informationssystem som används för behandlingen av dessa handlingar ska placeras inom ett skyddsområde,

2) pappershandlingar i säkerhetsklass II och III ska förvaras inom ett skyddsområde,

3) datalager som innehåller handlingar i säkerhetsklass IV och de informationssystem som används för behandlingen av dessa handlingar ska placeras inom ett säkerhetsområde,

4) pappershandlingar i säkerhetsklass IV ska förvaras inom ett säkerhetsområde.

4. mom.

Trots vad som i 3 mom. 1 och 3 punkten föreskrivs om placering av informationssystem inom säkerhetsområden, får handlingar i säkerhetsklass II–IV också behandlas inom i 9 § 1 punkten avsedda administrativa områden och utanför dem med hjälp av terminalutrustning och datakommunikationsarrangemang som uppfyller kraven enligt 11 och 12 §. Terminalutrustning som används för behandling av handlingar i säkerhetsklass II ska dock förvaras inom ett skyddsområde. Om elektroniska handlingar i säkerhetsklass III eller IV förvaras i terminalutrustning utanför skyddsområden, ska de skyddas med en krypteringslösning som är tillräckligt säker för säkerhetsklassen. Datasäkerheten hos terminalutrustningen ska tryggas.

11 § Krav som gäller informationssystem och datakommunikationsarrangemang

1. mom.

Informationssystem och datakommunikationsarrangemang som används för behandling av säkerhetsklassificerade handlingar ska genomföras så att

1) de med beaktande av säkerhetsklassen för de handlingar som behandlas i dem avskiljs på ett tillräckligt tillförlitligt sätt från informationssystem eller datakommunikationsarrangemang på lägre säkerhetsnivå,

2) de skyddas mot elektroniska meddelanden som äventyrar informationssäkerheten och det skyddet samt informationssystemets och datakommunikationsarrangemangens drift säkerställs under systemens och arrangemangens hela livscykel,

3) användarna endast får sådana uppgifter, rättigheter eller befogenheter som är nödvändiga för att de ska kunna utföra sina uppgifter,

4) deras integritet säkerställs tillräckligt väl,

5) de personer som använder dem samt utrustningen och informationssystemen identifieras tillräckligt tillförlitligt,

6) endast de med tanke på användningskraven nödvändiga funktionerna tas i bruk,

7) de krypteringslösningar som används är tillräckligt säkra med beaktande av säkerhetsklassen för de handlingar som behandlats i informationssystemen eller datakommunikationsarrangemangen.

2. mom.

Vid elektronisk behandling av handlingar i säkerhetsklass I-III ska det säkerställas att de risker som är förknippade med diffus strålning och elektronisk underrättelseinhämtning har minskats tillräckligt. De informationssäkerhetsåtgärder som genomförs för att minska riskerna ska ställas i proportion till nivån på risken för informationsutnyttjande och nivån på säkerhetsklassen.

12 § Överföring av en handling via datanätet

1. mom.

Bestämmelser om överföring av sekretessbelagd information i det allmänna datanätet finns i 14 § i informationshanteringslagen.

2. mom.

Säkerhetsklassificerade handlingar får överföras från en myndighets skyddade säkerhetsområde i andra datanät än det allmänna datanätet eller överföras via informationssystem eller datakommunikationsarrangemang som har en lägre säkerhetsnivå än säkerhetsklassen i fråga endast om handlingarna krypterats. Om säkerhetsklassificerade handlingar överförs inom ett säkerhetsområde i andra datanät än det allmänna datanätet och uppgifterna kan skyddas tillräckligt med hjälp av metoder för fysiskt skydd, får okrypterad överföring eller kryptering på lägre säkerhetsnivå användas.

13 § Transport av en handling

1. mom.

Säkerhetsklassificerade handlingar får transporteras från säkerhetsområden om de elektroniska datamedierna skyddas med tillräcklig kryptering.

2. mom.

En okrypterad handling i säkerhetsklass I–III ska för transporten packas på lämpligt sätt och transporteras under kontinuerlig övervakning till mottagaren. Handlingen får transporteras till mottagaren också på något annat säkert sätt som godkänts av en statsförvaltningsmyndighet och genom vilket handlingens konfidentialitet och integritet garanteras på ett tillräckligt sätt för säkerhetsklassen i fråga.

14 § Uppföljning av behandlingen av en handling

1. mom.

För uppföljning av behandlingen av säkerhetsklassificerade handlingar ska statsförvaltningsmyndigheten vidta följande åtgärder:

1) behandling av en handling i säkerhetsklass I–III ska registreras i en elektronisk logg, i informationssystemet, i ett ärenderegister eller i ett dokument,

2) sändning och mottagande av en handling i säkerhetsklass I–III ska registreras,

3) för kopiering av en handling i säkerhetsklass I eller II ska det inhämtas tillstånd av den myndighet som har upprättat handlingen,

4) en förteckning ska föras över kopior av handlingar i säkerhetsklass I och II och över de personer som behandlar dessa kopior.

2. mom.

Bestämmelser om registrering av handlingar i ärenderegister finns i 25 § i informationshanteringslagen.

15 § Förstöring av handling

1. mom.

En säkerhetsklassificerad handling som inte längre behövs ska förstöras på ett sådant sätt att det för säkerhetsklassen i fråga tillräckligt tillförlitligt går att förhindra att informationen helt och hållet eller delvis återställs eller sammanställs på nytt.

2. mom.

Om handlingen har upprättats av en annan myndighet, ska förstöringen av en handling i säkerhetsklass I eller II som inte längre behövs anmälas till den myndighet som upprättat handlingen, om den inte återlämnas till den myndigheten. Handlingar i säkerhetsklass I och II får förstöras endast av en person som myndigheten har förordnat för uppgiften. Versioner från de olika skedena i beredningen får förstöras av den person som har upprättat dem.

16 § Ikraftträdande och övergångsbestämmelser

1. mom.

Denna förordning träder i kraft den 1 januari 2020.

2. mom.

Behovet av en märkning enligt 3 § som gäller säkerhetsklassificering i fråga om arkiverade handlingar eller handlingar som bevaras hos en statsförvaltningsmyndighet ska bedömas, om statsförvaltningsmyndigheten tar upp handlingen för annan behandling.

3. mom.

Om en statsförvaltningsmyndighet inte har fattat ett klassificeringsbeslut enligt 7 § i statsrådets förordning om informationssäkerheten inom statsförvaltningen (681/2010), ska myndigheten se till att behandlingen av säkerhetsklassificerade handlingar motsvarar de krav på behandlingen som anges i 6–15 § i denna förordning inom tre år från ikraftträdandet av förordningen.