LIITE D C-M(2002)49-REV1 LIITE D TOIMITILATURVALLISUUS JOHDANTO 1. Tässä liitteessä esitetään periaatteet ja vähimmäisvaatimukset, jotka koskevat fyysisiä turvallisuustoimenpiteitä Naton turvallisuusluokitellun tiedon suojaamiseksi. Lisätietoja ja vaatimuksia löytyy Naton turvallisuussääntöjä tukevasta toimitilaturvallisuutta koskevasta direktiivistä (AC/35-D/2001). 2. Toimitilaturvallisuudella tarkoitetaan fyysisten suojatoimenpiteiden toteuttamista kohteissa, rakennuksissa, tiloissa tai laitteistoissa, joissa on turvallisuusluokiteltua tietoa, jota on suojeltava katoamiselta tai vaarantumiselta. 3. Naton jäsenvaltioiden ja Naton siviili- ja sotilaselinten on laadittava aktiivisia ja passiivisia turvallisuustoimenpiteitä sisältävät toimitilaturvallisuuden ohjelmat, joilla saavutetaan yhteinen toimitilaturvallisuuden taso, joka vastaa suojattavan tiedon uhkista, haavoittuvuuksista, turvallisuusluokituksesta ja määrästä tehtyä arviota. TURVALLISUUSVAATIMUKSET 4. Kaikki kohteet, rakennukset, tilat, toimistot, huoneet ja muut alueet, joissa Naton turvallisuusluokiteltua tietoa säilytetään ja/tai käsitellään ja/tai joissa siitä keskustellaan, on suojattava asianmukaisin fyysisin turvallisuustoimenpitein. Tarvittavasta toimitilaturvallisuuden suojauksen tasosta päätettäessä on otettava huomioon kaikki siihen vaikuttavat tekijät, kuten: (a) turvallisuusluokituksen taso ja tietoluokka; (b) säilytettävän ja/tai käsiteltävän turvallisuusluokitellun tiedon määrä ja muoto (paperi- ja/tai sähköinen muoto); (c) kulunvalvonta ja tiedonsaantitarpeen periaatteen täytäntöönpano; (d) Natoon ja/tai Naton jäsenvaltioihin kohdistuvasta vihamielisestä tiedustelutoiminnasta aiheutuva uhka sekä paikallisesti arvioitu terrorismin, vakoilun, sabotaasin, kumouksellisen toiminnan ja (järjestäytyneen) rikollisuuden uhka; ja (e) turvallisuusluokitellun tiedon tallennustavat (esimerkiksi paperiasiakirja tai sähköinen ja salattu). 5. Fyysisten turvallisuustoimenpiteiden tarkoituksena on: (a) estää tunkeutuminen salaa tai väkisin; (b) ehkäistä, estää ja havaita sisäpiiriuhkan toimet; (c) mahdollistaa Naton turvallisuusluokiteltuun tietoon pääsevän henkilöstön erottelu sen perusteella, minkä tasoinen henkilöturvallisuusselvitystodistus heillä on ja mikä heidän tiedonsaantitarpeensa on; ja (d) havaita kaikki tietoturvapoikkeamat ja ryhtyä niiden osalta tarvittaviin toimenpiteisiin mahdollisimman nopeasti. TOIMITILATURVALLISUUTTA KOSKEVAT YLEISET VAATIMUKSET 6. Fyysiset toimenpiteet ovat vain osa suojaavaa turvallisuutta, ja niitä tukemassa on oltava vakaat henkilöstöturvallisuuden, tietoturvallisuuden ja viestintä- ja tietojärjestelmien turvallisuustoimenpiteet. Turvallisuusriskien järkevään hallintaan kuuluu, että luodaan oikeasuhteisimmat, tehokkaimmat ja kustannusvaikuttavimmat keinot torjua uhkia ja kompensoida haavoittuvuuksia näiden alojen suojatoimenpiteitä yhdistäen. Tehokkuus ja kustannusvaikuttavuus saavutetaan parhaiten määrittelemällä toimitilaturvallisuuden vaatimukset osana tilojen suunnittelua ja rakentamista, mikä vähentää kalliiden peruskorjausten tarvetta. 7. Toimitilaturvallisuuden ohjelmien on perustuttava syvyyssuuntaisen turvallisuuden periaatteeseen, ja niissä on käytettävä asianmukaista yhdistelmää täydentäviä fyysisiä turvallisuustoimenpiteitä, jotka tarjoavat sellaisen suojan tason, joka täyttää organisaation ja sen tietojen kriittisyyteen ja haavoittuvuuteen liittyvät vaatimukset. 8. Vaikka fyysiset turvallisuustoimenpiteet ovat kohdekohtaisia ja ne perustuvat useisiin tekijöihin, niiden tulee noudattaa seuraavia yleisiä periaatteita: (a) ensin on tunnistettava suojattavat resurssit. Tämän jälkeen luodaan kerroksellisia turvallisuustoimenpiteitä, joilla rakennetaan syvyyssuuntainen turvallisuus ja viivyttävät tekijät; (b) uloimmat fyysiset turvallisuustoimenpiteet rajaavat suojatun alueen ja estävät luvattoman pääsyn; (c) seuraava toimenpiteiden taso havaitsee luvattoman pääsyn tai sen yrityksen ja varoittaa vartiointihenkilöstöä; ja (d) sisin toimenpiteiden taso viivyttää tunkeilijoita niin kauan, että vartiointihenkilöstö voi heidät pidättää. Näin ollen vartijoiden vasteaika ja tunkeilijoiden viivyttämiseen suunnitellut fyysiset turvallisuustoimenpiteet liittyvät toisiinsa. 9. Fyysisen turvallisuuden laitteet (kuten kameravalvonta, tunkeutumisen ilmaisujärjestelmä, turvakaapit) on huollettava säännöllisesti tai erityisestä syystä sen varmistamiseksi, että ne toimivat parhaalla mahdollisella tavalla. Yksittäisten turvallisuustoimenpiteiden tehokkuutta sekä koko turvallisuusjärjestelmää on myös tarpeen arvioida määräajoin uudelleen. Tämä on erityisen tärkeää, jos kohteen käytössä tai erityisissä turvallisuusjärjestelmän osissa tapahtuu muutoksia. Tämä voidaan saavuttaa turvallisuussuunnitelmien säännöllisellä harjoittelulla. Turva-alueet 10. Pysyvät tai tilapäiset alueet, joilla turvallisuusluokkaan NATO CONFIDENTIAL tai sitä ylempiin turvallisuusluokkiin kuuluvaa tietoa säilytetään tai käsitellään tai joissa siitä keskustellaan, on järjestettävä ja jäsennettävä siten, että ne vastaavat jotakin seuraavista: (a) Naton luokan I turva-alue: erityisen arkaluonteinen alue, jossa turvallisuusluokkaan NATO CONFIDENTIAL ja sitä ylempiin turvallisuusluokkiin kuuluvaa tietoa säilytetään ja/tai käsitellään ja/tai siitä keskustellaan siten, että alueelle tulo merkitsee käytännössä Naton turvallisuusluokiteltuun tietoon pääsyä, jolloin luvaton tulo alueelle olisi tietoturvaloukkaus. Tällaisia alueita voivat olla operaatiotilat, viestintäkeskukset tai arkistotilat, ja niissä täytyy olla: (i) selkeästi määritetyt ja suojatut rajat, joilla valvotaan kaikkea kulkua sisään ja ulos; (ii) kulunvalvontajärjestelmä, joka päästää alueelle vain henkilöt, joilla on asianmukainen turvallisuusselvitys ja erityinen lupa Erityisen luvan haltijoilla tarkoitetaan henkilöstöä, joilla on muodollisesti tunnustettu tiedonsaantitarve ja pääsy tietoon työtehtäviensä luonteen perusteella ja jotka ovat kulunvalvontalistalla, sekä henkilöitä, jotka kyseessä olevan organisaation päällikkö on tapauskohtaisesti muodollisesti valtuuttanut suorittamaan tiettyä tehtävää.1 Specifically authorised refers to those personnel who have been formally recognised as having a need-to-know and access based on the nature of their employment responsibilities, and are included on an access control list, as well as individuals who have been formally authorised by the head of the organization in question on an ad hoc basis to perform a specific role or duty. tulla alueelle; (iii) määrittely turvallisuusluokituksen tasosta ja alueella tavanomaisesti säilytettävän tiedon luokasta eli siitä tiedosta, johon alueelle tulo antaa pääsyn; ja (iv) selkeä maininta siitä, että alueelle tulo vaatii paikallisen turvallisuusviranomaisen erityisen luvan. Tämä maininta voi sisältää tiedon turvallisuusluokituksen tasosta ja/tai alueen arkaluonteisuudesta. (b) Naton luokan II turva-alue: alue, jolla turvallisuusluokkaan NATO CONFIDENTIAL ja sitä ylempiin turvallisuusluokkiin kuuluvaa tietoa säilytetään ja/tai käsitellään ja/tai siitä keskustellaan siten, että ulkopuolisten henkilöiden pääsy tietoon voidaan estää sisäisesti perustetuin valvontajärjestelmin. Tällaisia alueita voivat olla työskentelytilat tai neuvotteluhuoneet, joissa Naton turvallisuusluokiteltua tietoa säilytetään, ja/tai käsitellään ja/tai siitä keskustellaan. Näillä alueilla täytyy olla: (i) selkeästi määritetyt ja suojatut rajat, joilla valvotaan kaikkea kulkua sisään ja ulos; (ii) kulunvalvontajärjestelmä, joka päästää alueelle ilman saattajaa vain henkilöt, joilla on asianmukainen turvallisuusselvitys ja lupa tulla alueelle; ja (iii) saattaja tai vastaava valvontamekanismi, jonka avulla järjestetään sellaisten henkilöiden kulku, jotka eivät täytä edellä b) ii) alakohdassa kuvattuja perusteita, jotta voidaan estää luvaton pääsy Naton turvallisuusluokiteltuun tietoon ja hallitsematon pääsy alueille, jotka on nimenomaisesti nimetty teknisiltä hyökkäyksiltä ja salakuuntelulta suojatuiksi alueiksi. Hallinnollinen vyöhyke 11. Naton luokan I tai II turva-alueiden ympärille tai niille johtavalle alueelle on perustettava hallinnollinen vyöhyke. Hallinnollisilla vyöhykkeillä sallitaan vain turvallisuusluokkaan NATO RESTRICTED kuuluvan tiedon säilyttäminen ja/tai käsittely ja/tai siitä keskusteleminen. Tällaisilla alueilla on oltava selkeästi määritetyt näkyvät rajat, joilla on mahdollisuus tarkastaa henkilöt ja ajoneuvot. Henkilöt eivät kuitenkaan tarvitse saattajaa. Teknisesti suojatut turva-alueet 12. Teknisesti suojatut turva-alueet ovat joko pysyviä tai tilapäisiä alueita, jotka on nimenomaisesti tunnistettu teknisiltä hyökkäyksiltä ja salakuuntelulta suojattaviksi alueiksi. Tällaisilla alueilla on tehtävä säännöllisiä fyysisiä ja teknisiä tarkastuksia, ja niille kulkua on valvottava tarkasti. Teknisiltä hyökkäyksiltä ja salakuuntelulta on suojauduttava seuraavilla toimenpiteillä: (a) Asianmukainen fyysisten ja teknisten turvallisuustoimenpiteiden taso kulunvalvonnan toteuttamiseksi riskiin perustuen. Riskin määrittämisen vastuun jakavat asianmukaiset tekniset asiantuntijat sekä turvallisuusviranomainen, joka neuvoo riskin omistajaa päätöksentekoon tai hyväksymiseen liittyen. (b) Tällaiset alueet on lukittava ja/tai niitä on vartioitava silloin, kun niitä ei käytetä, ja kaikkia avaimia tulee käsitellä turva-avaimina. Alueella on tehtävä säännöllisiä fyysisiä ja/tai teknisiä tarkastuksia asianmukaisen turvallisuusviranomaisen vaatimusten mukaisesti. Tarkastuksia on tehtävä myös luvattoman alueelle tulon tai sen epäilyn jälkeen sekä ulkopuolisen henkilöstön (esimerkiksi huoltotöiden tai remontin vuoksi) alueelle tulon jälkeen. (c) Näille alueille ei saa tuoda mitään esineitä, kalusteita tai laitteita ennen kuin koulutettu turvallisuushenkilöstö on tutkinut ne salakuuntelulaitteiden varalta. Kaikista alueelle tuoduista tai viedyistä esineistä, kalusteista ja laitteista on pidettävä asianmukaista luetteloa. (d) Alueilla ei saa olla tallentavia ja/tai lähettäviä elektronisia järjestelmiä tai laitteita. (e) Alueille ei yleensä saa asentaa puhelimia ja muita videoneuvottelulaitteita. Jos niiden asentaminen kuitenkin on välttämätöntä, ne tulee irrottaa verkosta, kun tilassa keskustellaan turvallisuusluokitelluista asioista. Tämä ei koske asianmukaisesti asennettuja ja hyväksyttyjä viestintävälineitä. ERITYISET FYYSISET TURVALLISUUSTOIMENPITEET 13. Erilaiset erityiset fyysiset ja tekniset turvallisuustoimenpiteet ja -menettelyt voivat edistää organisaation tai kohteen turvallisuuskehystä. Tällaisiin toimiin ja menettelyihin kuuluvat muun muassa: rajattu-alue, tunkeutumisen ilmaisujärjestelmä, kulunvalvonta, kameravalvonta, turvavalaistus, turvakaapit ja toimistokalusteet, lukot, avainten ja numeroyhdistelmien valvonta, vierailijahallinta, sisään- ja ulostulotarkastukset. Tarkempia tietoja erityisistä fyysisistä ja teknisistä turvallisuustoimenpiteistä ja -menettelyistä on Naton turvallisuussääntöjä tukevassa toimitilaturvallisuutta koskevassa direktiivissä. NATON TURVALLISUUSLUOKITELLUN TIEDON SÄILYTTÄMISEN VÄHIMMÄISVAATIMUKSET 14. Naton turvallisuusluokiteltua tietoa on säilytettävä alueilla, turvakaapeissa ja/tai toimistokalusteissa, jotka on suunniteltu estämään ja havaitsemaan luvattoman pääsyn tietoon. 15. COSMIC TOP SECRET (CTS). Turvallisuusluokkaan COSMIC TOP SECRET kuuluva tieto on säilytettävä luokan I tai II turva-alueella noudattaen jotain seuraavista ehdoista: (a) hyväksytyssä turvakaapissa soveltaen ainakin yhtä seuraavista lisävalvontakeinoista: (i) jatkuva suojaus turvallisuusselvitetyn vartiointihenkilöstön tai päivystyshenkilöstön toimesta; (ii) turvakaapin tarkastus vähintään kahden tunnin välein satunnaisin väliajoin turvallisuusselvitetyn vartiointihenkilöstön tai päivystyshenkilöstön toimesta; tai (iii) hyväksytty tunkeutumisen ilmaisujärjestelmä ja hälytyksiin vastaava turvallisuushenkilöstö, joka hälytyksen saatuaan saapuu paikalle siinä ajassa, jonka arvioidaan kuluvan turvakaapin poistamiseen tai murtamiseen tai käytössä olevien fyysisten turvallisuustoimenpiteiden nujertamiseen; (b) toimitilaturvallisuutta koskevan direktiivin vaatimusten mukaisesti rakennetulla avoimella varastoalueella, jossa on tunkeutumisen ilmaisujärjestelmä sekä hälytyksiin vastaava turvallisuushenkilöstö, joka hälytyksen saatuaan saapuu paikalle siinä ajassa, jonka arvioidaan kuluvan alueelle väkisin tunkeutumiseen; tai (c) tunkeutumisen ilmaisujärjestelmällä varustetussa kassaholvissa, jonka lisäksi on oltava hälytyksiin vastaava turvallisuushenkilöstö, joka hälytyksen saatuaan saapuu paikalle siinä ajassa, jonka arvioidaan kuluvan kassaholviin väkisin tunkeutumiseen. 16. NATO SECRET (NS). Turvallisuusluokkaan NATO SECRET kuuluva tieto on säilytettävä luokan I tai II turva-alueella jollakin seuraavalla tavalla: (a) siten kuin turvallisuusluokkaan COSMIC TOP SECRET kuuluvan tiedon säilyttämisestä on määrätty; (b) hyväksytyssä turvakaapissa tai kassaholvissa ilman lisävalvontakeinoja; tai (c) avoimella varastoalueella, jolloin edellytetään ainakin yhtä seuraavista lisävalvontakeinoista: (i) avoimen varastoalueen sijoitustilaa suojaa jatkuvasti turvallisuusselvitetty vartiointihenkilöstö tai päivystyshenkilöstö; (ii) turvallisuusselvitetty vartiointihenkilöstö tai päivystyshenkilöstö tarkastaa avoimen varastoalueen vähintään kerran neljän tunnin välein; tai (iii) tunkeutumisen ilmaisujärjestelmä, jonka lisäksi on oltava hälytyksiin vastaava turvallisuushenkilöstö, joka hälytyksen saatuaan saapuu paikalle siinä ajassa, jonka arvioidaan kuluvan alueelle väkisin tunkeutumiseen. 17. NATO CONFIDENTIAL (NC). Turvallisuusluokkaan NATO CONFIDENTAL kuuluva tieto on säilytettävä luokan I tai II turva-alueella hyväksytyssä turvakaapissa. 18. NATO RESTRICTED (NR). Turvallisuusluokkaan NATO RESTRICTED kuuluva tieto on säilytettävä lukitussa kaapissa tai toimistokalusteessa (esimerkiksi toimistopöydän laatikossa) hallinnollisella vyöhykkeellä, luokan I turva-alueella tai luokan II turva-alueella. Turvallisuusluokkaan NATO RESTRICTED kuuluvaa tietoa voidaan säilyttää myös lukitussa kaapissa, kassaholvissa tai avoimella varastoalueella, joka on hyväksytty turvallisuusluokkaan NATO CONFIDENTIAL tai sitä ylempään turvallisuusluokkaan kuuluvan tiedon säilyttämiseen. 19. Lisätietoja ja -vaatimuksia Naton turvallisuusluokitellun tiedon säilyttämisestä annetaan Naton turvallisuussääntöjä tukevassa toimitilaturvallisuutta koskevassa direktiivissä. VIESTINTÄ- JA TIETOJÄRJESTELMIEN FYYSINEN SUOJAAMINEN 20. Alueet, joilla Naton turvallisuusluokiteltua tietoa esitetään tai käsitellään tietotekniikkaa käyttäen, tai joilla on mahdollista päästä sellaiseen tietoon, on perustettava niin, että luottamuksellisuuden, eheyden ja käytettävyyden kokonaisvaatimus täyttyy. 21. Alueet, joilla viestintä- ja tietojärjestelmiä käytetään turvallisuusluokkaan NATO CONFIDENTIAL tai sitä ylempiin turvallisuusluokkiin kuuluvan tiedon näyttämiseen, tallentamiseen, käsittelyyn tai siirtämiseen tai joissa on mahdollista päästä sellaiseen tietoon, on perustettava Naton luokan I tai II turva-alueena tai vastaavan kansallisen tason alueena. Alueet, joilla viestintä- ja tietojärjestelmiä käytetään turvallisuusluokkaan NATO RESTRICTED kuuluvan tiedon näyttämiseen, tallentamiseen, käsittelyyn tai siirtämiseen tai joilla on mahdollista päästä sellaiseen tietoon, voidaan perustaa hallinnollisina vyöhykkeinä. 22. Pääsyä alueille, joilla säilytetään ja hallitaan kriittisiä viestintä- ja tietojärjestelmien osia, on nimenomaisesti valvottava, ja pääsy on rajoitettava koskemaan vain sellaista turvallisuuteen ja järjestelmä-/verkko-/salaushallintaan liittyvää henkilöstöä, jolla on lupa olla alueella. SUOJAAMINEN TEKNISILTÄ HYÖKKÄYKSILTÄ 23. Työskentelytilat tai alueet, joissa säännöllisesti keskustellaan turvallisuusluokkaan NATO SECRET tai sitä ylempiin turvallisuusluokkiin kuuluvasta tiedosta, on suojattava passiivisia ja aktiivisia salakuunteluhyökkäyksiä vastaan luotettavilla fyysisillä turvallisuustoimenpiteillä ja kulunvalvonnalla, kun riski sitä edellyttää. Vastuu riskin määrittämisestä tulee koordinoida teknisten asiantuntijoiden kanssa, ja siitä päättää asianmukainen turvallisuusviranomainen. Lisätietoja passiiviselta ja aktiiviselta salakuuntelulta suojautumisesta on Naton turvallisuussääntöjä tukevassa toimitilaturvallisuutta koskevassa direktiivissä. HYVÄKSYTYT LAITTEET 24. Naton jäsenvaltioiden tulee käyttää vain sellaisia laitteita, jotka asianmukainen turvallisuusviranomainen on hyväksynyt Naton turvallisuusluokitellun tiedon suojaamiseen. Naton siviili- ja sotilaselinten on varmistettava, että hankitut laitteet on hyväksytty käyttöön vastaavissa olosuhteissa jossakin Naton jäsenvaltiossa. Naton siviili- ja sotilaselimet voivat myös hankkia asianmukaisen turvallisuusviranomaisen käyttöön hyväksymiä laitteita, kun hankinta perustuu tehtyyn riskinarviointiin, joka tukee tunnistetun riskin tai tunnistettujen riskien vähentämistä tai lieventämistä. LIITE E C-M(2002)49-REV1 LIITE E NATON TURVALLISUUSLUOKITELLUN TIEDON TURVALLISUUS JOHDANTO 1. Tässä liitteessä esitetään Naton turvallisuusluokitellun tiedon turvallisuutta koskevat periaatteet ja vähimmäisvaatimukset. Lisätietoja ja -vaatimuksia on Naton turvallisuussääntöjä tukevassa direktiivissä Naton turvallisuusluokitellun tiedon turvallisuudesta (AC/35-D/2002). 2. Tietoturvallisuus on yleisten suojaustoimenpiteiden ja -menettelyjen soveltamista turvallisuusluokitellun tiedon katoamisen tai vaarantumisen estämiseksi, sekä katoamisen tai vaarantumisen havaitsemiseksi ja korjaamiseksi. Turvallisuusluokiteltua tietoa on suojattava koko sen elinkaaren ajan sen turvallisuusluokan mukaisella tasolla. Tietoa hallittaessa varmistetaan, että se on asianmukaisesti luokiteltu, selvästi määritetty turvallisuusluokitelluksi ja pysyy turvallisuusluokiteltuna ainoastaan niin kauan kuin tämä on tarpeen. Tietoturvallisuutta täydennetään henkilöstöturvallisuudella, toimitilaturvallisuudella sekä viestintä- ja tietojärjestelmien turvallisuudella, jotta varmistetaan tasapainoinen toimenpiteiden kokonaisuus Naton turvallisuusluokitellun tiedon suojaamiseksi. NATON TURVALLISUUSLUOKAT, ERITYISET TUNNUKSET, MERKINNÄT JA YLEISET PERIAATTEET 3. Alkuperäinen luovuttaja vastaa turvallisuusluokitellun tiedon turvallisuusluokan määrittämisestä ja tiedon alustavasta jakelusta. 4. Turvallisuusluokkaa ei saa vaihtaa eikä alentaa eikä turvallisuusluokitusta saa poistaa ilman alkuperäisen luovuttajan suostumusta. Turvallisuusluokkaa määrittäessään alkuperäinen luovuttaja ilmoittaa mahdollisuuksien mukaan, voidaanko sitä alentaa tai voidaanko tiedon luokitus poistaa tiettynä ajankohtana tai tietyn tapahtuman jälkeen. 5. Tiedolle annettu turvallisuusluokka määrää sen, minkälaisella toimitilaturvallisuudella ja viestintä- ja tietojärjestelmien turvallisuudella tietoa suojataan sitä säilytettäessä, siirrettäessä, välitettäessä, jaettaessa ja hävitettäessä sekä minkälaista henkilöturvallisuusselvitystodistusta pääsy kyseiseen tietoon edellyttää. Siksi tosiasiallisen turvallisuuden ja tehokkuuden vuoksi on vältettävä tiedon luokittelemista sekä liian korkeaan että liian alhaiseen turvallisuusluokkaan. 6. Turvallisuusluokat merkitään turvallisuusluokiteltuun tietoon osoittamaan sitä vahinkoa, joka Naton ja/tai sen jäsenvaltioiden turvallisuudelle voi aiheutua, jos tieto altistuu luvattomalle ilmitulolle. Turvallisuusluokitellun tiedon alkuperäisellä luovuttajalla on etuoikeus määrätä turvallisuusluokka tai muuttaa sitä. Naton turvallisuusluokat ja niiden merkitykset ovat seuraavat: (a) COSMIC TOP SECRET (CTS) luvaton ilmitulo aiheuttaisi Natolle poikkeuksellisen vakavaa vahinkoa; (b) NATO SECRET (NS) luvaton ilmitulo aiheuttaisi Natolle vakavaa vahinkoa; (c) NATO CONFIDENTIAL (NC) luvaton ilmitulo aiheuttaisi Natolle vahinkoa; ja (d) NATO RESTRICTED (NR) luvaton ilmitulo haittaisi Naton etuja tai sen toiminnan tehokkuutta. 7. Naton turvallisuusluokat osoittavat Naton turvallisuusluokitellun tiedon arkaluonteisuuden, ja niitä sovelletaan tarkoituksena kiinnittää vastaanottajien huomio tarpeeseen varmistaa tiedon suojaaminen sen vahingon vakavuuden mukaan, joka luvattomasta pääsystä tietoon tai sen luvattomasta ilmitulosta aiheutuisi. 8. Ryhmään NATO UNCLASSIFIED kuuluvaa tietoa ja julkista tietoa suojataan ja käsitellään Naton tiedonhallinnan periaatteiden (C-M(2007)0118) ja Naton turvallisuusluokittelemattoman tiedon hallintaa koskevan asiakirjan (C-M(2002)60) mukaisesti. 9. Naton operaatioiden, koulutuksen, harjoitusten, transformaation ja yhteistyön (OTETC) suunnittelu, valmistelu, toteuttaminen ja tukeminen voi edellyttää myös tiettyjen muiden turvallisuusnäkökulmien huomioon ottamista; Naton turvallisuussääntöjä tukeva asiakirja tiedustelutiedon ja muun tiedon jakamisesta muiden kuin Natoon kuuluvien toimijoiden kanssa (AC/35-D/1040) sisältää näissä tilanteissa sovellettavat turvallisuusmääräykset ja ohjeet. 10. Naton jäsenvaltiot ja Naton sotilas- ja siviilielimet toteuttavat toimenpiteet, joilla varmistetaan, että Naton tuottamalle ja Natolle annettavalle turvallisuusluokitellulle tiedolle määritetään oikea turvallisuusluokka ja että tämä tieto suojataan Naton turvallisuussääntöjä tukevan Naton turvallisuusluokitellun tiedon turvallisuutta koskevan direktiivin vaatimusten mukaisesti. 11. Kukin Naton sotilas- ja siviilielin ottaa käyttöön järjestelmän, jonka avulla varmistetaan, että sen luovuttamaa turvallisuusluokkaan COSMIC TOP SECRET luokiteltua tietoa arvioidaan uudelleen vähintään viiden vuoden välein ja luokkaan NATO SECRET luokiteltua tietoa vähintään 10 vuoden välein tarkoituksena tarkistaa, onko turvallisuusluokkia edelleen sovellettava. Tätä arviointia ei tarvita, jos alkuperäinen luovuttaja on määrännyt ennalta, että tietyn Naton turvallisuusluokitellun tiedon turvallisuusluokkaa alennetaan ilman eri toimenpiteitä ennalta määrätyn ajan jälkeen, ja jos tämä on merkitty kyseiseen tietoon. 12. Koko asiakirjan turvallisuusluokan on oltava vähintään yhtä korkea kuin sen korkeimmalle turvallisuusluokitellun osan luokka. Kansiasiakirjoihin on merkittävä niihin liitettyyn tietoon kokonaisuutena sovellettava Naton turvallisuusluokka. Mahdollisuuksien mukaan alkuperäisen luovuttajan olisi asianmukaisesti merkittävä turvallisuusluokkaan NATO RESTRICTED ja sitä ylempiin turvallisuusluokkiin luokiteltujen asiakirjojen osat, kuten kappaleet, liitteet, lisäykset jne., helpottaakseen päätöksiä asiakirjojen jakelusta eteenpäin. 13. Kun suuri määrä Naton turvallisuusluokiteltua tietoa kootaan yhteen, sen alkuperäiset turvallisuusluokitusmerkinnät on säilytettävä ja on arvioitava, miten tämän tietokokonaisuuden katoaminen tai vaarantuminen vaikuttaisi järjestöön. Jos tämä kokonaisvaikutus arvioidaan suuremmaksi kuin kyseisten yksittäisten Naton turvallisuusluokkien mukainen vaikutus, olisi harkittava kyseisen tietokokonaisuuden käsittelemistä ja suojaamista sen turvallisuusluokan mukaisesti, joka vastaa sen katoamisen tai vaarantumisen arvioitua vaikutusta. Lisämerkinnät 14. COSMIC ja NATO ovat Natoon viittaavia merkintöjä, jotka Naton turvallisuusluokiteltuun tietoon tehtyinä osoittavat, että tietoa on suojattava Naton turvallisuusperiaatteiden mukaisesti. Erityisluokkien tunnukset 15. "ATOMAL" on merkintä, joka tehdään erityisluokan tietoon osoittamaan, että tieto on suojattava Pohjois-Atlantin sopimuksen osapuolten välillä ydinpuolustustietoja koskevasta yhteistyöstätehdyn sopimuksen (C-M(64)39) ja sitä tukevien hallinnollisten järjestelyjen (C-M(68)41) mukaisesti. 16. "SIOP" on merkintä, joka tehdään erityisluokan tietoon osoittamaan, että tiedon suojaamisessa on noudatettava asiakirjaa C-M(71)27(Revised), joka koskee erityismenettelyjä Yhdysvaltojen yhteistä operaatiosuunnitelmaa (US-SIOP) koskevan tiedon käsittelemiseksi Natossa. 17. "CRYPTO" on merkintä ja erityisluokan tunnus, joka merkitään kaikkeen COMSEC-avainmateriaaliin, jota käytetään suojaamaan tai todentamaan televiestintää, joka sisältää Naton salausten turvallisuuteen liittyvää tietoa ja joka osoittaa, että tieto on suojattava asianmukaisten salausturvallisuusperiaatteiden ja ohjeiden mukaisesti. 18. "BOHEMIA" on merkintä, joka tehdään viestitiedustelusta saatuun tai siihen liittyvään erityisluokan tietoon. Kaikki merkinnällä COSMIC TOP SECRET – BOHEMIA merkitty tieto suojataan noudattaen tarkasti asiakirjaa MC 101 (Naton signaalitiedustelun periaatteet) ja siihen liittyvää liittokunnan yhteistä AJP-julkaisua, jossa käsitellään sovellettavia periaatteita, sekä Naton signaalitiedustelun neuvoa-antavan komitean SIGINT-hallinnon ja -menettelyjen oppaan määräyksiä. Merkinnät jakelun rajoittamisesta 19. Tiedon alkuperäinen luovuttaja voi käyttää merkintää jakelun rajoittamisesta lisämerkintänä, jolla Naton turvallisuusluokitellun tiedon jakelua rajoitetaan tarkemmin. VALVONTA JA KÄSITTELY Tilivelvollisuuden tavoitteet 20. Tilivelvollisuuden ensisijaisena tavoitteena on saada käyttöön riittävät tiedot, joiden avulla pystytään tutkimaan tahallinen tai tahaton tilivelvollisuuden alaisen tiedon katoaminen tai vaarantuminen sekä arvioimaan katoamisesta tai vaarantumisesta aiheutunut vahinko. Tilivelvollisuuden vaatimuksen tarkoituksena on kurinalaisuus tilivelvollisuuden alaisen tiedon käsittelyssä ja siihen pääsyn valvonnassa. 21. Tilivelvollisuuden vaatimuksen toissijaisina tavoitteina on (a) seurata pääsyä tilivelvollisuuden alaiseen tietoon: kenellä on tosiasiallisesti tai mahdollisesti ollut pääsy tällaiseen tietoon, ja kuka on yrittänyt päästä siihen; (b) pysyä selvillä tilivelvollisuuden alaisen tiedon sijainnista; (c) seurata tilivelvollisuuden alaisen tiedon liikkeitä Natossa ja kansallisesti; ja (d) pitää kirjaa Naton ulkopuolisille toimijoille luovutetusta tilivelvollisuuden alaisesta tiedosta. 22. Luokkiin COSMIC TOP SECRET, NATO SECRET ja ATOMAL luokiteltu tieto on tilivelvollisuuden alaista, ja sitä on valvottava ja käsiteltävä noudattaen tämän liitteen vaatimuksia sekä Naton turvallisuusluokitellun tiedon turvallisuutta koskevaa tätä liitettä tukevaa direktiiviä. Jos kansalliset säädökset ja määräykset sitä edellyttävät, sellainen tieto, johon on merkitty muu turvallisuusluokka tai erityisluokan merkintä, voidaan katsoa tilivelvollisuuden alaiseksi tiedoksi. Rekisterijärjestelmä 23. Rekisterijärjestelmän turvallisuusmenettelyjä ja -vaatimuksia sovelletaan yhtäläisesti sekä fyysisessä että sähköisessä ympäristössä. Sähköistä ympäristöä koskevia lisätietoja ja -vaatimuksia on tämän C-M-asiakirjan liitteessä F ja tätä asiakirjaa tukevissa ohjeissa. 24. Käytössä on oltava rekisterijärjestelmä, joka vastaa tilivelvollisuuden alaisen tiedon vastaanottamisesta, kirjaamisesta, käsittelystä, jakelusta ja hävittämisestä. Tämä vastuu voidaan täyttää joko käyttämällä yhtä rekisterijärjestelmää, jolloin turvallisuusluokkaan COSMIC TOP SECRET ja muuhun erityisluokkaan luokiteltu tieto on kaikkina aikoina pidettävä tarkasti osastoituna, tai perustamalla erilliset rekisterit ja valvontapisteet. 25. Tapauksen mukaan kukin Naton jäsenvaltio ja Naton sotilas- ja siviilielin perustaa yhden tai useamman turvallisuusluokkaan COSMIC TOP SECRET luokitellun tiedon keskusrekisterin, joka toimii sen jäsenvaltion tai elimen vastaanottavana ja lähettävänä pääviranomaisena, johon rekisteri on perustettu. Tällainen keskusrekisteri voi toimia myös tilivelvollisuuden alaisen muun tiedon rekisterinä. 26. Rekisterit ja valvontapisteet toimivat vastuuorganisaatioina turvallisuusluokkiin COSMIC TOP SECRET ja NATO SECRET luokitellun tiedon sisäisessä jakelussa sekä kaiken kyseisen rekisterin tai valvontapisteen vastuulla olevan tilivelvollisuuden alaisen tiedon kirjaamisessa; ne voidaan perustaa ministeriöiden, osastojen tai komento-osastojen tasolle. Turvallisuusluokkiin NATO CONFIDENTIAL ja NATO RESTRICTED luokiteltua tietoa ei tarvitse kirjata rekisterijärjestelmään, jolleivät kansalliset säädökset ja määräykset tätä edellytä. 27. Rekisterien ja valvontapisteiden on kaikkina aikoina pystyttävä paikantamaan Naton tilivelvollisuuden alaisen tiedon sijainti. Harvoin sallittava ja tilapäinen pääsy tällaiseen tietoon ei välttämättä edellytä rekisterin tai valvontapisteen perustamista, jos käytössä on menettelyt, joilla varmistetaan, että tieto pysyy rekisterijärjestelmän valvonnassa. 28. Turvallisuusluokkaan COSMIC TOP SECRET luokitellun tiedon jakelun on tapahduttava COSMIC-rekisterin välityksellä. Kunkin rekisterin on vähintään kerran vuodessa luetteloitava kaikki turvallisuusluokkaan COSMIC TOP SECRET luokiteltu tieto, josta rekisteri on tilivelvollinen, noudattaen Naton turvallisuusluokitellun tiedon turvallisuutta koskevan Naton turvallisuussääntöjä tukevan direktiivin vaatimuksia. Rekisteriorganisaation tyypistä riippumatta niiden organisaatioiden, jotka käsittelevät turvallisuusluokkaan COSMIC TOP SECRET luokiteltua tietoa, on nimettävä COSMIC-tiedon valvoja (CCO). 29. Naton turvallisuussääntöjä tukevassa direktiivissä Naton turvallisuusluokitellun tiedon turvallisuudesta käsitellään muun muassa COSMIC-tiedon valvojan tehtäviä, turvallisuusluokkiin COSMIC TOP SECRET ja NATO SECRET luokitellun tiedon yksityiskohtaisia käsittelyprosesseja rekisterijärjestelmässä, Naton turvallisuusluokitellun tiedon jäljennöksiä, käännöksiä ja otteita koskevia menettelyjä, sen jakelua ja lähettämistä koskevia vaatimuksia sekä sen hallussapitoa ja hävittämistä koskevia vaatimuksia. 30. Sotilaskomitea on perustanut erillisen järjestelmän salausaineistoa koskevan tilivelvollisuuden täyttämistä sekä salausaineiston valvontaa ja jakelua varten. Tämän järjestelmän kautta välitettävä aineisto ei edellytä tilivelvollisuuden täyttämistä rekisterijärjestelmässä. VALMIUSSUUNNITTELU 31. Naton jäsenvaltiot ja Naton sotilas- ja siviilielimet laativat valmiussuunnitelmat Naton turvallisuusluokitellun tiedon suojaamiseksi ja hävittämiseksi poikkeusolojen aikana estääkseen luvattoman pääsyn tähän tietoon sekä sen luvattoman ilmitulon ja sen käytettävyyden estymisen. Nämä suunnitelmat perustuvat määräajoin tarkistettaviin uhka-arvioihin, ja niissä asetetaan etusijalle arkaluonteisin sekä tehtävän tai ajan kannalta ratkaisevin tieto. TIETOTURVAPOIKKEAMAT 32. Tietoturvapoikkeama on tapahtuma tai muu tilanne, joka voi vaikuttaa haitallisesti Naton turvallisuusluokitellun tiedon turvallisuuteen ja joka edellyttää tarkempia tutkintatoimia, jotta voidaan todeta tarkasti, onko kyseessä tietoturvaloukkaus vai vähäinen tietoturvapoikkeama. Tietoturvaloukkaus 33. Tietoturvaloukkaus on tahallinen tai tahaton teko tai laiminlyönti, joka on näiden turvallisuussääntöjen vastainen ja voi johtaa Naton turvallisuusluokitellun tiedon tai sitä tukevien palvelujen ja resurssien tosiasialliseen tai mahdolliseen vaarantumiseen. Vaarantuminen 34. Vaarantuminen tarkoittaa tilannetta, jossa tietoturvaloukkauksen tai haitallisen toiminnan vuoksi Naton turvallisuusluokiteltu tieto on menettänyt luottamuksellisuutensa, eheytensä tai käytettävyytensä tai tätä tietoa tukevat palvelut ja resurssit ovat menettäneet eheytensä tai käytettävyytensä. Vaarantumiseen sisältyvät katoaminen, ilmitulo asiattomille, luvaton muuttaminen, hävittäminen luvattomalla tavalla ja palvelun estyminen. Vähäinen tietoturvapoikkeama 35. Vähäinen tietoturvapoikkeama on tahallinen tai tahaton teko tai laiminlyönti, joka on näiden turvallisuussääntöjen vastainen, mutta ei johda Naton turvallisuusluokitellun tiedon tosiasialliseen tai mahdolliseen vaarantumiseen. 36. Kaikista tosiasiallisista ja mahdollisista tietoturvaloukkauksista on ilmoitettava viipymättä toimivaltaiselle turvallisuusviranomaiselle. Kaikki ilmoitetut tietoturvaloukkaukset on tutkittava sellaisten henkilöiden toimesta, joilla on asiantuntemusta turvallisuuden, tutkinnan ja tarvittaessa vastatiedustelun alalla ja jotka ovat riippumattomia niistä henkilöistä, joita tietoturvaloukkaus välittömästi koskee. Naton turvallisuussääntöjä tukevassa direktiivissä Naton turvallisuusluokitellun tiedon turvallisuudesta selostetaan yksityiskohtaisesti toimia, jotka on toteutettava todettaessa tietoturvaloukkaus tai vähäinen tietoturvapoikkeama. ILMOITTAMINEN 37. Naton turvallisuusluokiteltuun tietoon kohdistuneiden tietoturvaloukkausten ja vaarantumisten ilmoittamisella pyritään ensisijaisesti antamaan tiedon luovuttaneelle Naton organisaatiolle mahdollisuus arvioida Natolle aiheutunut vahinko ja ryhtyä tarpeellisiksi katsottaviin tai mahdollisiin toimenpiteisiin vahingon minimoimiseksi. Kansallinen turvallisuusviranomainen / määrätty turvallisuusviranomainen tai kyseisen Naton sotilas- tai siviilielimen johtaja välittää tiedot vahingon arvioinnista ja vahingon mimimoimiseksi tehdyistä toimenpiteistä Naton turvallisuustoimistolle. 38. Ilmoittavan viranomaisen olisi mahdollisuuksien mukaan ilmoitettava asiasta tiedon luovuttaneelle Naton organisaatiolle samaan aikaan kuin Naton turvallisuustoimistolle, mutta Naton turvallisuustoimistoa voidaan pyytää tekemään ilmoitus, jos alkuperäistä luovuttajaa on vaikea selvittää. Naton turvallisuustoimistolle tehtävien ilmoitusten ajoitus riippuu tiedon arkaluonteisuudesta ja olosuhteista. 39. Naton turvallisuustoimisto voi Naton pääsihteerin puolesta pyytää toimivaltaisia viranomaisia tutkimaan asiaa tarkemmin ja ilmoittamaan havainnoistaan Naton turvallisuustoimistolle. Olosuhteista ja vaarantumisen vakavuudesta riippuen Naton turvallisuustoimisto voi ilmoittaa asiasta turvallisuuskomitealle. 40. Naton turvallisuussääntöjä tukevassa direktiivissä Naton turvallisuusluokitellun tiedon turvallisuudesta käsitellään tietoturvaloukkauksiin ja turvallisuuden vaarantumisiin liittyviä yksityiskohtaisia toimia, kirjauksia ja ilmoittamista koskevia vaatimuksia 41. Sotilaskomitea on antanut Naton jäsenvaltioiden viestintäturvallisuusviranomaisille ja Naton sotilas- ja siviilielimille erilliset määräykset salausaineiston vaarantumisesta. | ENCLOSURE “D” C-M(2002)49-REV1 ENCLOSURE “D” PHYSICAL SECURITY INTRODUCTION 1. This Enclosure sets out the policy and minimum standards for physical security measures for the protection of NATO Classified Information. Additional details and requirements are found in the supporting Directive on Physical Security (AC/35-D/2001). 2. Physical security is the application of physical protective measures to sites, buildings, facilities or installations that contain classified information requiring protection against loss or compromise. 3. NATO Nations and NATO Civil and Military bodies shall establish physical security programmes, consisting of active and passive security measures, to provide a common degree of physical security consistent with the assessment of the threats, vulnerabilities, security classification and quantity of the information to be protected. SECURITY REQUIREMENTS 4. All sites, buildings, facilities, offices, rooms, and other areas in which NATO Classified Information is stored, handled and/or discussed shall be protected by appropriate physical security measures. In deciding what degree of physical security protection is necessary, account shall be taken of all relevant factors, such as: (a) the level of security classification and category of information; (b) the quantity and form of the classified information (hard copy, and/or electronic) stored, and/or handled; (c) access control and enforcement of the need-to-know principle; (d) the threat from hostile intelligence services which target NATO and/or its member Nations, and the locally-assessed threat of terrorism, espionage, sabotage, subversion and (organized) crime; and (e) how the classified information will be stored (e.g. hard copy or electronic and encrypted). 5. Physical security measures shall be designed to: (a) deny surreptitious or forced entry by an intruder; (b) deter, impede and detect actions from the insider threat; (c) allow for segregation of personnel in their access to NATO Classified Information in accordance with their level of Personnel Security Clearance (PSC) and the need-to-know principle; and (d) detect and act upon all security incidents as soon as possible. GENERAL PHYSICAL SECURITY REQUIREMENTS 6. Physical measures represent only one aspect of protective security and shall be supported by sound personnel security, security of information, and Communication and Information Systems (CIS) security measures. Sensible management of security risks will involve establishing the most proportionate, efficient and cost-effective methods of countering the threats and compensating for vulnerabilities by a combination of protective measures from these domains. Such efficiency and cost-effectiveness is best achieved by defining physical security requirements as part of the planning and design of facilities, thereby reducing the need for costly renovations. 7. Physical security programmes shall be based on the principle of “defence in depth”, using an appropriate combination of complementary physical security measures which provide a degree of protection meeting the requirements associated with the criticality and vulnerability of the organization and its information. 8. Although physical security measures are site-specific, and determined by a number of factors, the following general principles shall apply: (a) it is first necessary to identify the assets that require protection. This is followed by the creation of layered security measures to provide “defence in depth” and delaying factors; (b) the outermost physical security measures shall define the protected area and deter unauthorised access; (c) the next layer of measures shall detect unauthorised or attempted access and alert the guard force; and (d) the innermost layer of measures shall sufficiently delay intruders until they can be detained by the guard force. Consequently, there is an interrelationship between the reaction time of the guard force and the physical security measures designed to delay intruders. 9. Equipment that provides physical security (e.g. CCTV, IDS, secure cabinets) shall be maintained regularly or in response to a specific cause to ensure that it operates at optimum performance. It is also necessary to periodically re-evaluate the effectiveness of individual security measures as well as the complete security system. This is particularly important if there is a change in use of the site or specific elements of the security system. This can be achieved by regularly exercising security plans. Security Areas 10. Areas, either fixed or temporary, in which information classified NATO CONFIDENTIAL (NC) and above is stored, handled and/or discussed shall be organised and structured so as to correspond to one of the following: (a) NATO Class I Security Area: a particularly sensitive area in which information classified NC and above is stored, handled and/or discussed in such a way that entry into the area constitutes, for all practical purposes, access to NATO Classified Information and therefore unauthorised entry would constitute a Security Breach. Such areas may include operations rooms, communications centres or archive facilities and require: (i) a clearly defined and protected perimeter through which all entry and exit is controlled; (ii) an entry control system which grants access only to those individuals appropriately cleared and specifically authorised1 to enter the area; (iii) a determination of the level of security classification and the category of the information normally held in the area, i.e. the information to which entry gives access; and (iv) a clear indication that entrance into such areas requires specific authorization by the local security authority. This indication may include the level of security classification and/or the sensitivity of the area. (b) NATO Class II Security Area: an area in which information classified NC and above is stored, handled and/or discussed in such a way that it can be protected from access by unauthorised individuals through utilizing controls established internally. Such areas may include working offices or meeting rooms where NATO Classified Information is stored, handled and/or discussed. These areas require: (i) a clearly defined and protected perimeter through which all entry and exit is controlled; (ii) an entry control system which permits unescorted access only to those individuals who are security cleared and authorised to enter the area; and (iii) an escort or equivalent control mechanism to deal with those individuals who do not meet the criteria described in sub-paragraph (b) (ii) above in order to prevent unauthorised access to NATO Classified Information and uncontrolled entry to areas which have been specifically designated as protected against technical attacks and eavesdropping. Administrative Zone 11. An Administrative Zone shall be established around or leading to NATO Class I or Class II Security Areas. Only information classified NATO RESTRICTED (NR) may be stored, handled and/or discussed in Administrative Zones. Such areas require a visibly defined perimeter, within which the possibility exists for the control of individuals and vehicles. However, individuals are not required to be escorted. Technically Secure Areas 12. Technically Secure Areas, either fixed or temporary, are areas which have been specifically identified as requiring protection against technical attacks and eavesdropping. Such areas shall be subject to regular physical and technical inspections and entry to them shall be strictly controlled. The following measures shall be applied to protect against technical attacks and eavesdropping: (a) Appropriate level of physical and technical security measures to enforce access control, based upon the risk. The responsibility for determining the risk is shared between the appropriate technical specialists and the security authority which provides advice to the risk owner for a decision/approval. (b) Such areas shall be locked and/or guarded when not occupied and any keys shall be treated as security keys. Regular physical and/or technical inspections, in accordance with the requirements of the appropriate security authority, shall be undertaken. Such inspections shall also be conducted following any unauthorised entry or suspicion thereof, as well as following the entry by external personnel (e.g. for the purposes of maintenance work, redecoration). (c) No item, furnishing or equipment shall be allowed into these areas until they have been thoroughly examined for eavesdropping devices by trained security staff. An appropriate record of items, furnishing and equipment moved into and out of these areas shall be maintained. (d) The presence of any electronic systems or devices with recording and/or transmitting capabilities shall be prohibited. (e) Telephones and other video conference devices shall normally not be installed in such areas. However, where their installation is unavoidable, they shall be physically disconnected when classified discussions take place. This does not apply to appropriately installed and approved communication devices. SPECIFIC PHYSICAL SECURITY MEASURES 13. Various specific physical and technical security measures and procedures can contribute to the security framework of an organization or site. Such measures and procedures include but are not limited to: Perimeter, Intrusion Detection System (IDS), Access Control, Closed Circuit Television, Security Lighting, Secure Cabinets and Office Furniture, Locks, Control of Keys and Combinations, Visitor Control, Entry and Exit Searches. The supporting Directive on Physical Security provides detailed information on specific physical and technical security measures and procedures. MINIMUM STANDARDS FOR STORAGE OF NATO CLASSIFIED INFORMATION 14. NATO Classified Information shall be stored in areas, secure cabinets and/or office furniture designed to deter and detect unauthorised access to the information. 15. COSMIC TOP SECRET (CTS). Information classified CTS shall be stored within a Class I or Class II Security Area under one of the following conditions: (a) in an approved secure cabinet with one of the following supplemental controls: (i) continuous protection by cleared guard or duty personnel; (ii) inspection of the secure cabinet not less than every two hours, at randomly timed intervals, by cleared guard or duty personnel; or (iii) an approved IDS in combination with a response force that will, after an alarm annunciation, arrive at the location within the estimated timeframe needed to remove or break open the secure cabinet, or overcome the physical security measures in place; (b) in an open storage area constructed in accordance with the requirements set out in the supporting Directive on Physical Security, which is equipped with an IDS in combination with a response force that will, after an alarm annunciation, arrive at the location within the estimated timeframe needed for forced entry; or (c) in an IDS-equipped vault in combination with a response force that will, after an alarm annunciation, arrive at the location within the estimated timeframe needed for forced entry. 16. NATO SECRET (NS). Information classified NS shall be stored within a Class I or Class II Security Area by one of the following methods: (a) in the same manner as prescribed for information classified CTS; (b) in an approved secure cabinet or vault without supplemental controls; or (c) in an open storage area, in which case one of the following supplemental controls is required: (i) the location that houses the open storage area shall be subject to continuous protection by cleared guard or duty personnel; (ii) cleared guard or duty personnel shall inspect the open storage area not less than once every four hours; or (iii) an IDS in combination with a response force that will, after an alarm annunciation, arrive at the location within the estimated timeframe needed for forced entry. 17. NATO CONFIDENTIAL (NC). Information classified NC shall be stored in a Class I or Class II Security Area in an approved secure cabinet. 18. NATO RESTRICTED (NR). Information classified NR shall be stored in a locked cabinet or office furniture (e.g. office desk drawer) within an Administrative Zone, Class I Security Area, or Class II Security Area. Information classified NR may also be stored in a locked cabinet, vault, or open storage area approved for information classified NC or higher. 19. Additional details and requirements for the storage of NATO Classified Information are set out in the supporting Directive on Physical Security. PHYSICAL PROTECTION OF COMMUNICATION AND INFORMATION SYSTEMS 20. Areas in which NATO Classified Information is presented or handled using information technology, or where potential access to such information is possible, shall be established in a way that the aggregate requirement for confidentiality, integrity and availability is met. 21. Areas in which CIS are used to display, store, process, or transmit information classified NC and above, or where potential access to such information is possible, shall be established as NATO Class I or Class II Security Areas or the national equivalent. Areas in which CIS are used to display, store, process or transmit information classified NR, or where potential access to such information is possible, may be established as Administrative Zones. 22. Access to areas where critical CIS components are housed and managed shall be specifically controlled and limited to only authorised personnel associated with security and system/network/crypto administration. PROTECTION AGAINST TECHNICAL ATTACKS 23. Offices or areas in which information classified NS and above is regularly discussed shall be protected against passive and active eavesdropping attacks, by means of sound physical security measures and access control, where the risk warrants it. The responsibility for determining the risk shall be co-ordinated with technical specialists and decided by the appropriate security authority. The supporting Directive on Physical Security provides details on protection against passive and active eavesdropping. APPROVED EQUIPMENT 24. NATO Nations shall only use equipment which has been approved for the protection of NATO Classified Information by an appropriate security authority. NATO Civil and Military bodies shall ensure that any equipment purchased has been approved for use by one of the NATO Nations in similar conditions. NATO Civil and Military bodies may also purchase equipment approved for use by an appropriate security authority based on a completed risk assessment that supports the reduction or mitigation of the identified risk(s). ENCLOSURE “E” C-M(2002)49-REV1 ENCLOSURE “E” SECURITY OF NATO CLASSIFIED INFORMATION INTRODUCTION 1. This Enclosure sets out the policy and minimum standards for the security of NATO Classified Information. Additional details and requirements are found in the supporting Directive on the Security of NATO Classified Information (AC/35-D/2002). 2. Security of information is the application of general protective measures and procedures to prevent, detect and recover from the loss or compromise of classified information. Classified information shall be protected throughout its life cycle to a level commensurate with its security classification. It shall be managed to ensure that it is appropriately classified, is clearly identified as classified and remains classified only as long as this is necessary. Security of information shall be complemented by Personnel, Physical and Communication and Information Systems (CIS) Security in order to ensure a balanced set of measures for the protection of NATO Classified Information. NATO SECURITY CLASSIFICATIONS, SPECIAL DESIGNATORS, MARKINGS AND GENERAL PRINCIPLES 3. The originator is responsible for determining the security classification and initial dissemination of classified information. 4. The security classification shall not be changed, downgraded or declassified without the consent of the originator. At the time of its creation, the originator shall indicate, where possible, whether their classified information can be downgraded or declassified on a certain date or event. 5. The security classification assigned determines the physical and CIS Security provided to the information in storage, transfer and transmission, its circulation, destruction and the Personnel Security Clearance (PSC) required for access. Therefore, both over-classification and underclassification shall be avoided in the interests of effective security as well as efficiency. 6. Security classifications shall be applied to classified Information in order to indicate the possible damage to the security of NATO and/or its member Nations if the information is subjected to unauthorised disclosure. It is the prerogative of the originator of the classified information to determine or modify the security classification. NATO security classifications and their significance are: (a) COSMIC TOP SECRET (CTS) unauthorised disclosure would result in exceptionally grave damage to NATO; (b) NATO SECRET (NS) unauthorised disclosure would result in grave damage to NATO; (c) NATO CONFIDENTIAL (NC) unauthorised disclosure would be damaging to NATO; and (d) NATO RESTRICTED (NR) unauthorised disclosure would be detrimental to the interests or effectiveness of NATO. 7. NATO security classifications indicate the sensitivity of NATO Classified Information and are applied in order to alert recipients to the need to ensure protection in proportion to the degree of damage that would occur from unauthorised access or disclosure. 8. NATO UNCLASSIFIED information and Information releasable to the Public shall be protected and handled in accordance with the NATO Information Management Policy (C-M(2007)0118) and The Management of Non-Classified NATO Information (C-M(2002)60). 9. The planning, preparation, execution and support relating to NATO Operations, Training, Exercises, Transformation and Cooperation (OTETC) may require specific additional security aspects to be addressed; the Supporting Document on Information and Intelligence Sharing with Non-NATO Entities (AC/35-D/1040) contains security provisions and guidance applicable in these circumstances. 10. NATO Nations and NATO Civil and Military bodies shall introduce measures to ensure that classified information created by, or provided to NATO is assigned the correct security classification, and is protected in accordance with the requirements of the supporting Directive on the Security of NATO Classified Information. 11. Each NATO Civil or Military Body shall establish a system to ensure that CTS information which it has originated is reviewed no less frequently than every five years and NS information no less frequently than every 10 years in order to ascertain whether the security classification still applies. Such a review is not necessary in those instances where the originator has predetermined that specific NATO Classified Information shall be automatically downgraded after a predetermined period and the classified information has been so marked. 12. The overall security classification of a document shall be at least as high as that of its most highly classified component. Covering documents shall be marked with the overall NATO security classification of the information to which they are attached. Where possible, component parts like paragraphs, enclosures, annexes, etc., of documents classified NR and above should be marked appropriately by the originator to facilitate decisions on further dissemination. 13. When a large amount of NATO Classified Information is collated together, the original security classification markings shall be retained and that information shall be assessed for the impact its collective loss or compromise would have upon the organization. If this overall impact is assessed as being higher than the impact of the actual individual NATO security classifications then consideration should be given to handling and protecting it at a level commensurate with the assessed impact of its loss or compromise. Qualifying Markings 14. The terms COSMIC and NATO are qualifying markings which, when applied to NATO Classified Information, signify that the information shall be protected in accordance with NATO Security Policy. Special Category Designators 15. The term "ATOMAL" is a marking applied to special category information signifying that the information shall be protected in accordance with the Agreement between the Parties to the North Atlantic Treaty for Co-operation Regarding Atomic Information (C-M(64)39) and the supporting Administrative Arrangements (C-M(68)41). 16. The term "SIOP" is a marking applied to special category information signifying that the information shall be protected in accordance with "Special Procedures for the Handling of United States Single Integrated Operational Plan (US-SIOP) Information Within NATO C-M(71)27(Revised)”. 17. The term “CRYPTO” is a marking and a special category designator identifying all COMSEC keying material used to protect or authenticate telecommunications carrying NATO cryptographic security-related information; signifying that the information shall be protected in accordance with the appropriate cryptographic security policies and directives. 18. The term “BOHEMIA” is a marking applied to special category information derived from or pertaining to Communications Intelligence (COMINT). All information marked COSMIC TOP SECRET - BOHEMIA will be protected in strict accordance with MC 101 (NATO Signals Intelligence Policy) and its companion Allied Joint Publication (AJP) which covers doctrine and the NACSI Guide to SIGINT Administration and Procedures which addresses administration and procedures. Dissemination Limitation Markings 19. As an additional marking to further limit the dissemination of NATO Classified Information, a Dissemination Limitation Marking may be applied by the originator. CONTROL AND HANDLING Objectives of Accountability 20. The primary objective of accountability is to provide sufficient information to be able to investigate a deliberate or accidental loss or compromise of accountable information and assess the damage arising from the loss or compromise. The requirement for accountability serves to impose a discipline on the handling of, and control of access to, accountable information. 21. Subordinate objectives are: (a) to keep track of access to accountable information – who has, or potentially has, had access to accountable information; and who has attempted to access accountable information; (b) to know the location of accountable information; (c) to keep track of the movement of accountable information within the NATO and national domains; and (d) register accountable information that has been released to NNEs. 22. Information classified CTS, NS and ATOMAL shall be accountable, controlled and handled in accordance with the requirements of this Enclosure and the supporting Directive on the Security of NATO Classified Information. Where required by national laws and regulations, information bearing other classification or special category markings may be considered as accountable information. The Registry System 23. The security procedures and requirements of the registry system apply equally across both the physical and electronic domains. Additional details and requirements concerning the electronic domain can be found within Enclosure “F” to this C-M and its supporting directives. 24. There shall be a Registry System which is responsible for the receipt, accounting, handling, distribution and destruction of accountable information. Such a responsibility may be fulfilled either within a single Registry System, in which case strict compartmentalisation of information classified CTS and other special category information shall be maintained at all times, or by establishing separate registries and control points. 25. Each NATO Nation or NATO Civil or Military Body, as appropriate, shall establish a Central Registry(s) for information classified CTS, which acts as the main receiving and dispatching authority for the Nation or body within which it has been established. The Central Registry(s) may also act as a registry(s) for other accountable information. 26. Registries and control points shall act as the responsible organization for the internal distribution of information classified CTS and NS and for keeping records of all accountable information held on that registry’s or control point’s charge; they may be established at ministry, department, or command levels. NC and NR information is not required to be processed through the Registry System unless specified by national laws and regulations. 27. With regard to NATO accountable information, registries and control points shall be able at all times to establish its location. Infrequent and temporary access to such information does not necessarily require the establishment of a registry or control point, provided that procedures are in place to ensure that the information remains under the control of the Registry System. 28. The dissemination of information classified CTS shall be through COSMIC registry channels. At least annually, each registry shall carry out an inventory of all information classified CTS for which it is accountable, in accordance with the requirements of the supporting Directive on the Security of NATO Classified Information. Regardless of the type of registry organization, those that handle information classified CTS shall appoint a “COSMIC Control Officer” (CCO). 29. The supporting Directive on the Security of NATO Classified Information sets out, inter alia, the responsibilities of the CCO, the detailed registry system handling processes for information classified CTS and NS, the procedures for reproductions, translations and extracts, the requirements for the dissemination and transfer, and the requirements for the disposal and destruction of NATO Classified Information. 30. The Military Committee (MC) has established a separate system for the accountability, control and distribution of cryptographic material. Material being transferred through this system does not require accountability in the Registry System. CONTINGENCY PLANNING 31. NATO Nations and NATO Civil and Military bodies shall prepare contingency plans for the protection or destruction, during emergency situations, of NATO Classified Information to prevent unauthorised access and disclosure and loss of availability. These plans will be based on periodically reviewed threat assessments and shall give highest priority to the most sensitive, and mission- or time-critical information. SECURITY INCIDENTS 32. A Security Incident is an event or other occurrence that may have an adverse effect upon the security of NATO Classified Information which requires further investigative actions in order to accurately determine whether or not it constitutes a Security Breach or Infraction. Security Breach 33. A Security Breach is an act or omission, deliberate or accidental, contrary to the security rules laid down in this policy that may result in the actual or possible compromise of NATO Classified Information or supporting services and resources. Compromise 34. Compromise denotes a situation when, due to a Security Breach or adverse activity, NATO Classified Information has lost its confidentiality, integrity or availability, or supporting services and resources have lost their integrity or availability. This includes loss, disclosure to unauthorized individuals, unauthorised modification, destruction in an unauthorised manner, or denial of service. Infraction 35. Infraction is an act or omission, deliberate or accidental, contrary to the security rules laid down in this policy, that does not result in the actual or possible compromise of NATO Classified Information. 36. All Security Breaches or potential Security Breaches shall be reported immediately to the appropriate security authority. Each reported Security Breach shall be investigated by individuals who have security, investigative and, where appropriate, counterintelligence experience, and who are independent of those individuals immediately concerned with the Security Breach. The supporting Directive on Security of NATO Classified Information provides details on actions to be taken upon discovery of a Security Breach or Infraction. REPORTING 37. The main purpose of reporting Security Breaches and compromises of NATO Classified Information is to enable the originating NATO component to assess the resulting damage to NATO and to take whatever action is desirable or practicable to minimize the damage. Reports of the damage assessment and minimising action taken shall be forwarded to the NOS by the NSA/DSA or Head of the NATO Civil or Military Body concerned. 38. Where possible, the reporting authority should inform the originating NATO component at the same time as the NOS, but the latter may be requested to do this when the originator is difficult to identify. The timing of submitting reports to the NOS depends on the sensitivity of the information and the circumstances. 39. The NOS, on behalf of the Secretary General of NATO, may request the appropriate authorities to make further investigations and to report their findings back to the NOS. Depending upon the circumstances and severity of the compromise, the NOS may inform the Security Committee (SC). 40. The supporting Directive on the Security of NATO Classified Information sets out the detailed actions, records and reporting requirements for Security Breaches and compromises of security. 41. Separate provisions relating to the compromise of cryptographic material have been issued by the MC to communications security authorities of NATO Nations and NATO Civil and Military bodies. |