SUO M EN SÄ ÄDÖ S KO KO ELMAN

SOPIMUSSARJA

Julkaistu Helsingissä 22 päivänä elokuuta 2023

56/2023

(Suomen säädöskokoelman n:o 922/2023)

Valtioneuvoston asetus

tietoturvallisuudesta Pohjois-Atlantin sopimuksen osapuolten välillä tehdystä sopi- muksesta ja turvallisuussäännöistä

Valtioneuvoston päätöksen mukaisesti säädetään tietoturvallisuudesta Pohjois-Atlantin sopimuksen osapuolten välillä tehdystä sopimuksesta ja turvallisuussäännöistä annetun lain (907/2023) 2 ja 3 §:n nojalla:

1 §

Tietoturvallisuudesta Pohjois-Atlantin sopimuksen osapuolten välillä Brysselissä 6 päivänä maaliskuuta 1997 tehty sopimus ja sen nojalla annetut turvallisuussäännöt, sel- laisina kuin ne ovat muutettuina 20 päivänä marraskuuta 2020 hyväksytyssä asiakirjassa C-M(2002)49-REV1, tulevat voimaan 23 päivänä elokuuta 2023 niin kuin siitä on sovittu.

Eduskunta on hyväksynyt sopimuksen ja turvallisuussäännöt 20 päivänä kesäkuuta 2023 ja tasavallan presidentti 14 päivänä heinäkuuta 2023. Suomen liittymiskirja on talle- tettu Yhdysvaltojen hallituksen huostaan 24 päivänä heinäkuuta 2023.

2 §

Sopimuksen ja turvallisuussääntöjen muut kuin lainsäädännön alaan kuuluvat määräyk- set ovat asetuksena voimassa.

3 §

Tietoturvallisuudesta Pohjois-Atlantin sopimuksen osapuolten välillä tehdystä sopi- muksesta ja turvallisuussäännöistä annettu laki (907/2023) tulee voimaan 23 päivänä elo- kuuta 2023.

4 §

Tämä asetus tulee voimaan 23 päivänä elokuuta 2023.

Helsingissä 17.8.2023

Ulkomaankauppa- ja kehitysministeri Xxxxx Xxxxx

Ulkoasianneuvos Xxxxx Xxxxxxxxxx

Sopimustekstit

SOPIMUS POHJOIS-ATLANTIN SOPI- MUKSEN OSAPUOLTEN VÄLILLÄ TIE- TOTURVALLISUUDESTA

Washingtonissa 4 päivänä huhtikuuta 1949 allekirjoitetun Pohjois-Atlantin sopimuksen osapuolet, jotka

vahvistavat, että tehokas poliittinen neuvot- telu, yhteistyö ja suunnittelu puolustusasi- oissa sopimuksen tavoitteiden saavutta- miseksi edellyttävät turvallisuusluokitellun tiedon vaihtamista osapuolten välillä,

katsovat, että Pohjois-Atlantin sopimuksen osapuolten hallitusten välillä tarvitaan mää- räyksiä sellaisen turvallisuusluokitellun tie- don vastavuoroisesta suojaamisesta ja tur- vaamisesta, jota ne voivat vaihtaa keske- nään,

ymmärtävät, että turvallisuusvaatimuksille ja menettelyille tarvitaan yleiset puitteet, ja

toimivat omasta puolestaan ja Pohjois-At- lantin liiton puolesta,

ovat sopineet seuraavasta:

AGREEMENT BETWEEN THE PARTIES TO THE NORTH ATLANTIC TREATY FOR THE SECURITY OF INFOR- MATION

The Parties to the North Atlantic Treaty, signed at Washington on 4th April, 1949.

Reaffirming that effective political consulta- tion, cooperation and planning for defence in achieving the objectives of the Treaty en- tail the exchange of classified information among the Parties.

Considering that provisions between the Governments of the Parties to the North At- lantic Treaty for the mutual protection and safeguarding of the classified information they may interchange are necessary.

Realising that a general framework for secu- rity standards and procedures is required.

Acting on their own behalf and on behalf of the North Atlantic Treaty Organization,

have agreed as follows:

Osapuolet

1 artikla

The Parties shall:

Article 1

i. suojaavat ja turvaavat

a. turvallisuusluokitelluksi merkityn turvalli- suusluokitellun tiedon (katso liite I), jonka alkuperäinen luovuttaja on Nato (katso liite II) tai jonka jäsenvaltio toimittaa Natolle,

b. jäsenvaltioiden turvallisuusluokitelluksi merkityn turvallisuusluokitellun tiedon, joka toimitetaan toiselle jäsenvaltiolle Naton oh- jelman, hankkeen tai sopimuksen tueksi,

(i) protect and safeguard:

(a) classified information (see Annex I), marked as such, which is originated by NATO (see Xxxxx XX) or which is submitted to NATO by a member state;

(b) classified information, marked as such, of the member states submitted to another member state in support of a NATO pro- gramme, project, or contract,

ii. säilyttävät edellä i alakohdassa määritel- lyn tiedon turvallisuusluokituksen ja pyrki- vät kaikin keinoin turvaamaan tiedon tämän mukaisesti;

iii. eivät käytä edellä i alakohdassa määritel- tyä turvallisuusluokiteltua tietoa muihin kuin Pohjois-Atlantin sopimuksessa ja sii- hen liittyvissä päätöksissä ja päätöslausel- missa määrättyihin tarkoituksiin;

iv. eivät ilmaise edellä i alakohdassa määri- teltyä tietoa Natoon kuulumattomille osa- puolille ilman tiedon alkuperäisen luovutta- jan suostumusta.

(ii) maintain the security classification of in- formation as defined under (i) above and make every effort to safeguard it accord- ingly;

(iii) not use classified information as defined under (i) above for purposes other than those laid down in the North Atlantic Treaty and the decisions and resolutions pertaining to that Treaty;

(iv) not disclose such information as defined under (i) above to non-NATO Parties with- out the consent of the originator.

2 artikla

Tämän sopimuksen 1 artiklan mukaisesti osapuolet varmistavat kansallisen turvalli- suusviranomaisen perustamisen Naton toi- mintaa varten toteuttamaan suojaavia turva- toimia. Osapuolet laativat ja panevat täytän- töön turvallisuusvaatimuksia, joilla varmis- tetaan turvallisuusluokitellun tiedon yhtei- nen suojaustaso.

3 artikla

1. Osapuolet varmistavat, että kaikista nii- den kansalaisista, jotka virallisia tehtäviään hoitaessaan tarvitsevat tai saattavat saada pääsyn turvallisuusluokkaan CONFIDEN- TIAL ja sitä ylempiin turvallisuusluokkiin kuuluvaan tietoon, tehdään asianmukaisesti turvallisuusselvitys ennen kuin he ottavat tehtävänsä vastaan.

2. Turvallisuusselvitysmenettelyt suunnitel- laan sellaisiksi, että niillä pystytään selvittä- mään, voiko henkilö hänen lojaliteettinsa ja luotettavuutensa huomioon ottaen saada pääsyn turvallisuusluokiteltuun tietoon il- man, että siitä aiheutuu turvallisuusriski, jota ei voida hyväksyä.

3. Osapuolet tekevät pyydettäessä yhteis- työtä muiden osapuolten kanssa niiden tur- vallisuusselvitysmenettelyjä suoritettaessa.

Article 2

Pursuant to Article 1 of this Agreement, the Parties shall ensure the establishment of a National Security Authority for NATO ac- tivities which shall implement protective se- curity measures. The Parties shall establish and implement security standards which shall ensure a common degree of protection for classified information.

Article 3

(1) The Parties shall ensure that all persons of their respective nationality who, in the conduct of their official duties, require or may have access to information classified CONFIDENTIAL and above are appropri- ately cleared before they take up their du- ties.

(2) Security clearance procedures shall be designed to determine whether an individual can, taking into account his or her loyalty and trustworthiness, have access to classi- fied information without constituting an un- acceptable risk to security.

(3) Upon request, each of the Parties shall cooperate with the other Parties in carrying out their respective security clearance proce- dures.

4 artikla

Pääsihteeri varmistaa, että Nato soveltaa tä- män sopimuksen kulloinkin sovellettavia määräyksiä (katso liite III).

5 artikla

Tämä sopimus ei millään tavoin estä osa- puolia tekemästä muita sopimuksia, jotka liittyvät niiden luovuttaman turvallisuus- luokitellun tiedon vaihtamiseen eivätkä vai- kuta tämän sopimuksen soveltamisalaan.

6 artikla

a. Tämä sopimus on avoinna allekirjoitta- mista varten Pohjois-Atlantin sopimuksen osapuolille, ja se ratifioidaan tai hyväksy- tään. Ratifioimis- tai hyväksymiskirjat talle- tetaan Amerikan yhdysvaltojen hallituksen huostaan.

b. Tämä sopimus tulee voimaan kolmen- kymmenen päivän kuluttua päivästä, jona kaksi allekirjoittajavaltiota on tallettanut ra- tifioimis- tai hyväksymiskirjansa. Sopimus tulee voimaan kunkin muun allekirjoittaja- valtion osalta kolmenkymmenen päivän ku- luttua kunkin valtion ratifioimis- tai hyväk- symiskirjan tallettamisesta.

c. Niiden osapuolten suhteen, joiden osalta tämä sopimus on tullut voimaan, sopimus korvaa Pohjois-Atlantin liiton osapuolten turvallisuussopimuksen, jonka Pohjois-At- lantin neuvosto hyväksyi asiakirjan D.C.2/7 liitteessä olevan lisäyksen liitteessä A (1 kohta) 19 päivänä huhtikuuta 1952 ja joka myöhemmin sisällytettiin Pohjois-Atlantin neuvoston 2 päivänä maaliskuuta 1955 hy- väksymän asiakirjan C-M (55) 15 (final) liit- teeseen A (1 kohta).

7 artikla

Tämä sopimus on avoinna liittymistä varten Pohjois-Atlantin sopimuksen uudelle osa- puolelle sen valtiosäännön mukaisten me- nettelyjen mukaisesti. Tämän osapuolen liit-

Article 4

The Secretary General shall ensure that the relevant provisions of this Agreement are applied by NATO (see Xxxxx XXX).

Article 5

The present Agreement in no way prevents the Parties from making other Agreements relating to the exchange of classified infor- mation originated by them and not affecting the scope of the present Agreement.

Article 6

(a) This Agreement shall be open for signa- ture by the Parties to the North Atlantic Treaty and shall be subject to ratification, acceptance or approval. The instruments of ratification, acceptance or approval shall be deposited with the Government of the United States of America;

(b) This Agreement shall enter into force thirty days after the date of deposit by two signatory States of their instruments of rati- fication, acceptance or approval. It shall en- ter into force for each other signatory State thirty days after the deposit of its instrument of ratification, acceptance or approval;

(c) This Agreement shall with respect to the Parties for which it entered into force super- sede the "Security Agreement by the Parties to the North Atlantic Treaty Organization" approved by the North Atlantic Council in Annex A (paragraph 1) to Appendix to En- closure to D.C.2/7, on 19th April, 1952, and subsequently incorporated in Enclosure "A" (paragraph 1) to C-M(55)15(Final), ap- proved by the North Atlantic Council on 2nd March, 1955.

Article 7

This Agreement shall remain open for ac- cession by any new Party to the North At- lantic Treaty, in accordance with its own constitutional procedures. Its instrument of

tymiskirja talletetaan Amerikan yhdysvalto- jen hallituksen huostaan. Sopimus tulee voi- maan kunkin liittyvän valtion osalta kol- menkymmenen päivän kuluttua sen liitty- miskirjan tallettamispäivästä.

8 artikla

Amerikan yhdysvaltojen hallitus ilmoittaa muiden osapuolten hallituksille kunkin rati- fioimis-, hyväksymis- tai liittymiskirjan tal- lettamisesta.

9 artikla

Osapuoli voi irtisanoa tämän sopimuksen antamalla kirjallisen irtisanomisilmoituksen tallettajalle, joka ilmoittaa irtisanomisilmoi- tuksesta kaikille muille osapuolille. Irtisano- minen tulee voimaan vuoden kuluttua siitä, kun tallettaja on vastaanottanut ilmoituksen, mutta ei vaikuta niihin velvoitteisiin, oi- keuksiin tai valtaoikeuksiin, joita osapuolet ovat aiemmin sopineet tai saaneet tämän so- pimuksen määräysten perusteella.

Tämän vakuudeksi allekirjoittaneet, hallitus- tensa siihen asianmukaisesti valtuuttamina, ovat allekirjoittaneet tämän sopimuksen.

Tehty Brysselissä 6 päivänä maaliskuuta 1997 yhtenä englannin- ja ranskankielisenä kappaleena, jonka kaikki tekstit ovat yhtä todistusvoimaiset, joka talletetaan Amerikan yhdysvaltojen hallituksen arkistoon ja josta tämä hallitus toimittaa oikeaksi todistetut jäljennökset kaikille muille allekirjoittajille.

Liite I

Tämä liite on sopimuksen erottamaton osa.

Naton turvallisuusluokiteltu tieto määritel- lään seuraavasti:

a. "tieto" tarkoittaa missä tahansa muodossa välitettävää tietoa;

accession shall be deposited with the gov- ernment of the United States of America. It shall enter into force in respect of each ac- ceding State thirty days after the day of the deposit of its instrument of accession.

Article 8

The Government of the United States of America shall inform the Governments of the other Parties of the deposit of each in- strument of ratification, acceptance, ap- proval or accession.

Article 9

This Agreement may be denounced by writ- ten notice of denunciation by any Party given to the depository which shall inform all the other Parties of such notice. Such de- nunciation shall take effect one year after re- ceipt of notification by the depository, but shall not affect obligations already con- tracted and the rights or prerogatives previ- ously acquired by the Parties under the pro- visions of this Agreement.

In witness whereof the undersigned, duly authorized to this effect by their respective Governments, have signed this Agreement.

Done in Brussels, this 6th day of March, 1997 in a single copy in the English and French languages, each text being equally authoritative, which shall be deposited in the archives of the Government of the United States of America and of which certified copies shall be transmitted by that Govern- ment to each of the other signatories.

Annex I

This Annex forms an integral part of the Agreement.

NATO classified information is defined as follows:

(a) information means knowledge that can be communicated in any form;

b. turvallisuusluokiteltu tieto tarkoittaa tie- toa tai aineistoa, jonka katsotaan edellyttä- vän suojaamista luvattomalta paljastamiselta ja joka on turvallisuusluokituksella osoitettu sellaiseksi;

c) ”aineisto” sisältää asiakirjat ja myös val- mistetut ja valmisteilla olevat koneet, laitteet ja aseet;

d) ”asiakirja” tarkoittaa mitä tahansa tallen- nettua tietoa riippumatta sen fyysisestä muo- dosta tai ominaisuuksista, mukaan lukien kirjalliset ja painotuotteet; tietojenkäsitte- lyssä käytettävät kortit ja nauhat; kartat, kaaviot, valokuvat, maalaukset, piirustukset, kaiverrukset, luonnokset, työmuistiinpanot ja –paperit, hiilipaperikopiot ja värinauhat; millä tahansa keinolla tai menettelyllä teh- dyt jäljennökset; kaikenlaiset ääni-, puhe- ja magneettitallenteet sekä elektroniset, optiset ja videotallenteet; kannettavat atk-laitteet, joissa on kiinteät tallennusvälineet, ja irro- tettavat tietokoneen tallennusvälineet, mutta ei rajoittuen näihin.

Liite II

Tämä liite on sopimuksen erottamaton osa.

Tässä sopimuksessa ”Nato” tarkoittaa Poh- jois-Atlantin liittoa ja niitä elimiä, joihin so- velletaan joko Ottawassa 20 päivänä syys- kuuta 1951 allekirjoitettua sopimusta Poh- jois-Atlantin liiton, kansallisten edustajien ja kansainvälisen henkilöstön asemasta tai Pa- riisissa 28 päivänä elokuuta 1952 allekirjoi- tettua pöytäkirjaa Pohjois-Atlantin sopimuk- sen mukaisesti perustettujen kansainvälisten sotilasesikuntien asemasta.

Liite III

Tämä liite on sopimuksen erottamaton osa.

(b) classified information means information or material determined to require protection against unauthorized disclosure which has been so designated by security classifica- tion;

(c) the word "material" includes documents and also any item of machinery or equip- ment or weapons either manufactured or in the process of manufacture;

(d) the word "document" means any rec- orded information regardless of its physical form or characteristics, including, without limitation, written or printed matter, data processing cards and tapes, maps, charts, photographs, paintings, drawings, engrav- ings, sketches, working notes and papers, carbon copies and ink ribbons, or reproduc- tions by an means or process, and sound, voice, magnetic or electronic or optical or video recordings in any form, and portable ADP equipment with resident computer storage media, and removable computer storage media.

Xxxxx XX

This Annex forms an integral part of the Agreement.

For the purposes of the present Agreement, the term "NATO" denotes the North Atlan- tic Treaty Organization and the bodies gov- erned either by the Agreement on the status of the North Atlantic Treaty Orgnization, National Representatives and International Staff, signed in Ottawa on 20th September, 1951 or by the Protocol on the status of In- ternational Military Headquarters set up pur- suant to the North Atlantic Treaty, signed in Paris on 28th August, 1952.

Xxxxx XXX

This Annex forms an integral part of the Agreement.

Sotilaskomentajien kanssa neuvotellaan hei- dän valtaoikeuksiensa kunnioittamiseksi.

Consultation takes place with military com- manders in order to respect their preroga- tives.

20. marraskuuta 2020 ASIAKIRJA C-M(2002)49-REV1

TURVALLISUUS POHJOIS-ATLANTIN LIITOSSA (NATO)

Pääsihteerin ilmoitus Kesäkuun 17. päivänä 2002 päivätyn asiakirjan C-M(2002)49 ensimmäinen

tarkistus

Viite: Asiakirja C-M(2002)49-COR1– COR12 (konsolidoitu toisinto), päivätty 17. kesäkuuta 2002

1. Tämä asiakirja perustuu Naton turvalli- suussäännöstön ja sitä tukevien ohjeiden merkittävään ja kokonaisvaltaiseen tarkis- tukseen sellaisena kuin turvallisuuskomitea on sen hyväksynyt.

2. Asiakirjalla C-M(2002)49-REV1, joka korvaa viitteessä mainitun asiakirjan, teh- dään viiteasiakirjaan sekä rakenteellisia että sisällöllisiä muutoksia.

3. Rakennetta on muutettu lisäämällä uusi liite H, jossa käsitellään erikseen turvalli- suutta suhteissa Naton ulkopuolisiin toimi- joihin. Samaa aihetta käsitellään lisää äsket- täin laaditussa Naton direktiivissä turvalli- suudesta suhteissa Naton ulkopuolisiin toi- mijoihin (asiakirja AC/35-D/2006) sekä tätä direktiiviä tukevassa Naton ulkopuolisille toimijoille tarkoitetussa tarkistetussa asiakir- jassa, joka käsittelee turvallisuutta suhteissa Natoon (asiakirja AC/35-D/1038-REV3).

4. Sisällön osalta tarkistuksella on muutettu osiota "Perusperiaatteet, vähimmäisvaati- mukset ja vastuut" (liite B) sekä määräyksiä osioissa "Henkilöstöturvallisuus", "Toimiti- laturvallisuus", "Tietoaineistoturvallisuus" ja "Turvallisuus suhteissa Naton ulkopuoli- siin toimijoihin" (liitteet B, C, D, E ja H). Tarkistuksella ei ole muutettu asiakirjan C- M(2002)49 liitteitä F ja G.

NATO UNCLASSIFIED PUBLICLY DISCLOSED – PDN(2021)0002

20 November 2020 DOCUMENT C-M(2002)49-REV1

SECURITY WITHIN THE NORTH AT- LANTIC TREATY ORGANIZATION (NATO)

Note by the Secretary General Revision 1 to C-M(2002)49 dated 17 June

2002

Reference: C-M(2002)49-COR1 to COR12 (consolidated version), dated 17 June 2002

1. This document is the result of a major and comprehensive review of the NATO Security Policy and its supporting directives, as approved by the Security Committee.

2. C-M(2002)49-REV1, which replaces the document at reference, introduces both structural and content changes.

3. The structure has changed with the addi- tion of a new Enclosure H to address specifically security in relation to non- NATO entities. This topic is developed fur- ther into the newly developed Directive for NATO on Security in Relation to Non- NATO Entities (reference AC/35-D/2006) and the revised Supporting Document for Non-NATO Entities on Security in Relation to NATO (reference AC/35-D/1038-REV3).

4. In terms of content, this revision has ad- dressed Basic Principles, Minimum Standards and Responsibilities (Enclosure B), as well as provisions of Personnel Secu- rity, Physical Security, Security of Infor- mation and Security in Relation to Non NATO Entities (Enclosures B, C, D, E and H). Enclosures F and G to C-M(2002)49 were not subject to this review.

(Allekirjoitus) Xxxx Xxxxxxxxxxx

Liite 1

Liitteen 1 liitteet A, B, C, D, E, F, G, H Xxxxxxx

Alkuperäinen: Englanti

(Signed) Xxxx Xxxxxxxxxxx

1 Annex

Enclosures A,B,C,D,E,F,G,H 1 Glossary

Original: English

LIITE 1 C-M(2002)49-REV1

TURVALLISUUS POHJOIS-ATLAN- TIN LIITOSSA (NATO)

JOHDANTO

1. Tässä C-M-asiakirjassa, jonka otsikkona on "Turvallisuus Pohjois-Atlantin liitossa (Nato)", kuvataan ne turvallisuuden perus- periaatteet ja vähimmäisvaatimukset, joita Naton jäsenvaltioiden ja Naton sotilas- ja si- viilielinten on sovellettava varmistaakseen turvallisuusluokitellun tiedon yhteisen suo- jaustason. Naton turvallisuusmenettelyt toi- mivat parhaaksi eduksi vain, jos ne perustu- vat niitä tukevaan kansalliseen turvallisuus- järjestelmään, joka on ominaisuuksiltaan näissä periaatteissa määritettyjen ominai- suuksien mukainen tai niitä vastaava. Li- säksi näissä periaatteissa käsitellään Naton sisäisiä turvallisuusrooleja, -tehtäviä ja -vas- tuita.

2. Tämä periaateasiakirja koostuu liitteessä A olevasta turvallisuussopimuksesta, jonka nimi on "sopimus Pohjois-Atlantin sopi- muksen osapuolten välillä tietoturvallisuu- desta", sekä seuraavista liitteistä:

(a) Liite A – Sopimus Pohjois-Atlantin so- pimuksen osapuolten välillä tietoturvalli- suudesta

(b) Liite B – Perusperiaatteet, vähimmäis- vaatimukset ja vastuut

(d) Liite D – Toimitilaturvallisuus

(e) Liite E – Naton turvallisuusluokitellun tiedon turvallisuus

(f) Liite F – Viestintä- ja tietojärjestelmien turvallisuus

(g) Liite G – Turvallisuusluokiteltujen hankkeiden turvallisuus ja yritysturvalli- suus

(h) Liite H – Turvallisuus suhteissa Naton ulkopuolisiin toimijoihin.

ANNEX 1 C-M(2002)49-REV1

SECURITY WITHIN THE NORTH ATLANTIC TREATY ORGAN-

IZATION (NATO)

INTRODUCTION

1. This C-M, entitled Security Within the North Atlantic Treaty Organization (NATO), establishes the basic principles and minimum standards of security to be applied by NATO Nations and NATO Civil and Military bodies in order to ensure a common degree of protection for classified infor- mation. NATO security procedures only op- erate to the best advantage when they are based upon and supported by a national se- curity system having the characteristics equivalent/conformant to those set out in this policy. In addition, this policy also ad- dresses the security roles, functions and re- sponsibilities within NATO.

2. This policy document consists of the Se- curity Agreement at Enclosure “A” entitled “Agreement between the Parties to the North Atlantic Treaty for the Security of In- formation” together with the following addi- tional Enclosures:

(a) Enclosure A – Agreement between the parties to NATO for the Security of Information

(b) Enclosure B – Basic Principles, Mini- mum Standards and Responsibilities.

(d) Enclosure D – Physical Security.

(e) Enclosure E – Security of NATO Classified Information.

(f) Enclosure F – Communication and In- formation System Security.

(g) Enclosure G – Classified Project and Industrial Security.

(h) Enclosure H – Security in relation to non-NATO entities.

3. Tämä periaateasiakirja tukee Naton tie- donhallinnan periaatteita (C-M(2007)0118). Naton turvallisuusluokittelemattoman tiedon hallinnan periaatteita koskevassa asiakir- jassa C-M(2002)60 käsitellään niitä perus- periaatteita ja vaatimuksia, joita Naton soti- las- ja siviilielimissä sekä Naton jäsenvalti- oissa sovelletaan Naton turvallisuusluokitte- lemattoman tiedon (NATO UNCLAS- SIFIED ja julkinen tieto) suojaamiseksi.

TAVOITTEET JA PÄÄMÄÄRÄT

4. Naton jäsenvaltiot ja Naton sotilas- ja si- viilielimet varmistavat tässä C-M-asiakir- jassa kuvattujen perusperiaatteiden ja vä- himmäisvaatimusten soveltamisen, jotta Na- ton turvallisuusluokitellun tiedon luottamuk- sellisuuden, eheyden ja käytettävyyden säi- lyminen turvataan.

5. Naton jäsenvaltiot ja Naton sotilas- ja si- viilielimet laativat turvallisuusohjelmat, jotka täyttävät nämä perusperiaatteet ja vä- himmäisvaatimukset, jotta Naton turvalli- suusluokitellulle tiedolle varmistetaan yhtei- nen suojaustaso.

SOVELTAMISALA

6. Näitä perusperiaatteita ja vähimmäisvaati- muksia sovelletaan seuraaviin:

(a) Natosta peräisin oleva turvallisuus- luokiteltu tieto;

(b) Naton jäsenvaltiosta peräisin oleva tur- vallisuusluokiteltu tieto, joka annetaan Natolle tai toiselle Naton jäsenvaltiolle Naton ohjelman, hankkeen tai sopimuksen tueksi;

3. This policy document supports the NATO Information Management Policy (C- M(2007)0118). The Policy on Management of Non-Classified NATO Information (C- M(2002)60) addresses the basic principles and standards to be applied within NATO Civil and Military bodies and NATO Na- tions for the protection of Non-Classified NATO information (NATO UNCLASSI-

FIED and Information releasable to the Public).

AIMS AND OBJECTIVES

4. NATO Nations and NATO Civil and Mil- itary bodies shall ensure that the basic prin- ciples and minimum standards of security set forth in this C-M are applied to safe- guard NATO Classified Information from loss of confidentiality, integrity and availa- bility.

5. NATO Nations and NATO Civil and Mil- itary bodies shall establish security pro- grammes that meet these basic principles and minimum standards to ensure a common degree of protection for NATO Classified Information.

APPLICABILITY

6. These basic principles and minimum standards shall be applied to:

(a) classified information originated by NATO;

(b) classified information originated by a NATO Nation which is provided to NATO or provided to another NATO Na- tion in support of a NATO programme, project, or contract;

1 Naton ulkopuoliset valtiot ja muut Naton ulkopuoliset elimet (esim. kansainväliset järjestöt), mukaan lukien näitä valtioita ja elimiä edustavat luonnolliset henkilöt.

1 Non-NATO nations, and other non-NATO bodies (e.g. International Organizations) including individuals

representing such nations or bodies.

(d) hallituksen (tai Naton sotilas- tai sivii- lielimen) ulkopuolisille luonnollisille hen- kilöille ja organisaatioille, kuten konsul- teille, yrityksille ja yliopistoille, annettava turvallisuusluokiteltu tieto.

7. ATOMAL-tietoon pääsyyn ja sen suojaa- miseen sovelletaan sopimusta Pohjois-At- lantin sopimuksen osapuolten välillä ydin- puolustustietoja koskevasta yhteistyöstä (C- M(64)39). Jotta varmistetaan asianmukainen ATOMAL-tietoon pääsyn valvonta sekä tä- män tiedon asianmukainen käsittely ja suo- jaaminen, sovelletaan hallinnollisia järjeste- lyjä ydinpuolustustietoja koskevasta yhteis- työstä tehdyn Pohjois-Atlantin sopimuksen osapuolten välisen sopimuksen täytäntöön panemiseksi (C-M(68)41).

8. Yhdysvaltojen yhteistä operaatiosuunni- telmaa (US-SIOP) koskevaan tietoon pää- syyn ja sen suojaamiseen sovelletaan mää- räyksiä, jotka on annettu asiakirjassa C- M(71)27 (uudistettu) erityismenettelyistä Yhdysvaltojen yhteistä operaatiosuunnitel- maa (US-SIOP) koskevan tiedon käsittele- miseksi Natossa.

9. Signaalitiedusteluun (SIGINT) liittyvien tietojen, toimintojen, lähteiden ja menetel- mien arkaluonteisuuden vuoksi on sovellet- tava tiukkoja turvallisuusmääräyksiä ja -me- nettelyjä, jotka usein menevät tämän C-M- asiakirjan määräyksiä ja menettelyjä pidem- mälle. Siksi SIGINT-tietoihin, -toimintoihin,

-lähteisiin ja -menetelmiin pääsyyn ja niiden suojaamiseen sovelletaan kansallisia mää- räyksiä sekä asiakirjan MC 101 (Naton sig- naalitiedustelun periaatteet) ja siihen liitty- vän liittokunnan yhteisen AJP-julkaisun sekä Naton signaalitiedustelun neuvoa-anta- van komitean (NACSI) SIGINT-hallinnon ja

-menettelyjen oppaan määräyksiä.

ASEMA

10. Pohjois-Atlantin neuvosto (NAC) on hy- väksynyt tämän asiakirjan, jolla pannaan täytäntöön sopimus Pohjois-Atlantin sopi-

(d) classified information entrusted to in- dividuals and organizations outside a government (or a NATO Civil or Mili- tary body), e.g. consultants, industry, uni- versities.

7. Access to, and the protection of, ATO- MAL information are subject to the Agree- ment between the Parties to the North Atlan- tic Treaty for Co-operation Regarding Atomic Information (C-M(64)39). The Ad- ministrative Arrangements to implement the Agreement between the Parties to the North Atlantic Treaty for Co-operation Regarding ATOMAL Information (C-M(68)41) shall be applied to ensure appropriate access con- trol, handling and protection of such infor- mation.

8. Access to, and protection of, US-SIOP in- formation are subject to the provisions of

C-M(71)27(Revised), "Special Procedures for the Handling of United States Single In- tegrated Operational Plan (US-SIOP) Infor- mation within NATO".

9. The sensitive nature of Signals Intelli- gence (SIGINT) information, operations, sources and methods require the application of stringent security regulations and proce- dures often beyond those set forth in this C-

M. Therefore, access to and protection of, SIGINT information, operations, sources and methods are subject to national regula- tions and the provisions laid down in MC 101 (NATO Signals Intelligence Policy) its companion Allied Joint Publication (AJP) and the NATO Advisory Committee on Signals Intelligence (NACSI) Guide to SIGINT Administration and Procedures.

AUTHORITY

10. The North Atlantic Council (NAC) has approved this document which implements the Agreement Between the Parties to the North Atlantic Treaty for the Security of In- formation (reproduced at Enclosure “A”),

muksen osapuolten välillä tietoturvallisuu- desta (liitteenä A) ja siten vahvistetaan Na- ton turvallisuusperiaatteet.2

and thereby establishes NATO Security Pol- icy.2

2 Turvallisuuskomitean työjärjestyksen (C-M(2015)0002) mukaan Naton turvallisuusperiaatteet koostuvat asia- kirjoista C-M(2002)49 ja C-M(2002)50.

2 Per Terms of reference for the Security Committee (C-M(2015)0002) NATO Security Policy consists of

C-M(2002)49 and C-M(2002)50.

LIITE B C-M(2002)49-REV1

LIITE ”B”

PERUSPERIAATTEET, VÄHIMMÄIS- VAATIMUKSET JA VASTUUT

PERUSPERIAATTEET

1. Sovelletaan seuraavia perusperiaatteita:

(a) Naton jäsenvaltiot ja Naton sotilas- ja si- viilielimet varmistavat tässä C-M-asiakir- jassa sovittujen vähimmäisvaatimusten nou- dattamisen, jotta osapuolten kesken vaihdet- tavalle turvallisuusluokitellulle tiedolle var- xxxxxxxxx yhteinen suojaustaso.

(b) Yhteisen vastuun tunnustaen turvalli- suusluokiteltua tietoa jaetaan ainoastaan tie- donsaantitarpeen periaatteen1 perusteella henkilöille, joille on selostettu sovellettavat turvallisuusmenettelyt.

(c) Ainoastaan asianmukaisesti turvallisuus- selvitetyille henkilöille annetaan pääsy tur- vallisuusluokkaan NATO CONFIDENTIAL ja sitä ylempiin turvallisuusluokkiin luoki- teltuun tietoon.

(d) Turvallisuusselvitystodistuksen anta- mista ei katsota viimeiseksi vaiheeksi arvi- oitaessa henkilön kelpoisuutta päästä turval- lisuusluokiteltuun tietoon, vaan otetaan käyttöön jatkuvat turvallisuusmenettelyt seurantatoimina, jotta voidaan huomioida sisäpiiriuhan hallinta2.

ENCLOSURE “B”

C-M(2002)49-REV1

ENCLOSURE “B”

BASIC PRINCIPLES, MINIMUM STANDARDS AND RESPONSIBILI- TIES

BASIC PRINCIPLES

1. The following basic principles shall ap- ply:

(a) NATO Nations and NATO Civil and Military bodies shall ensure that the agreed minimum standards set forth in this C-M are applied to ensure a common degree of protection for classified information ex- changed among the parties.

(b) Acknowledging the responsibility to share, classified information shall only be disseminated on the basis of the principle of need-to-know1 to individuals who have been briefed on the relevant security proce- dures.

(d) The granting of a clearance shall not be considered as a final step in assessing

an individual’s eligibility for access to clas- sified information but ongoing personnel security procedures, referred to as Aftercare, shall be established in order to address the management of the Insider Threat2.

1 Periaate, jonka mukaan tehdään myönteinen päätös, että tiedon mahdollisella vastaanottajalla on tarve päästä tietoon, saada tieto siitä tai saada se haltuunsa pystyäkseen suorittamaan virallisia tehtäviä tai palveluja.

1 The principle according to which a positive determination is made that a prospective recipient has a require- ment for access to, knowledge of, or possession of information in order to perform official tasks or services.

2 Sisäpiiriuhan aiheuttaa henkilöstö, jolla on erioikeuteen perustuva pääsy Naton turvallisuusluokiteltuun tietoon

ja/tai Naton omaisuuteen organisaatiossa hoitamansa tehtävän perusteella ja joka voi myöhemmin käyttää väärin tätä pääsyä hävittääkseen, vahingoittaakseen, poistaakseen tai paljastaakseen Naton turvallisuusluokiteltua tietoa ja/tai Naton omaisuutta joko tahallisesti tai huolimattomuudesta.

2 Insider Threat is represented by personnel who have privileged access to NATO Classified Information and/or NATO assets by virtue of their role within the organization and could subsequently abuse this access to destroy, damage, remove or disclose NATO Classified Information and/or NATO assets either by intention or negligence.

(e) Naton turvallisuustoimisto (NOS) koor- dinoi sisäpiiriuhan hallintaa yhdessä toimi- valtaisten kansallisten viranomaisten sekä Naton sotilas- ja siviilielinten kanssa.

(f) Turvallisuusriskien hallintaa3 suoritetaan pakollisena Naton sotilas- ja siviilielimissä Naton turvallisuusriskien hallintaprosessin (AC/35-D/1035) mukaisesti. Sen soveltami- nen Naton jäsenvaltioissa on vapaaehtoista. Riskienhallintaa ei saa käyttää keinona kier- tää turvallisuusperiaatteita.

(g) Naton jäsenvaltiot ja Naton sotilas- ja si- viilielimet käynnistävät organisaatioissaan turvallisuuskoulutus- ja -tietoisuusohjelmia, joissa käsitellään kaikkia turvallisuusnäkö- kohtia jäljempänä l kohdassa esitetyllä ta- valla.

(h) Kaikista epäillyistä turvallisuusluokitel- tuun tietoon kohdistuneista tietoturvalouk- kauksista ja tällaisen tiedon vaarantumisista ilmoitetaan viipymättä toimivaltaiselle tur- vallisuusviranomaiselle.

(i) Alkuperäisten luovuttajien luovuttaessa turvallisuusluokiteltua tietoa Natolle ja Na- ton jäsenvaltioille Naton ohjelman, hank- keen tai sopimuksen tueksi oletuksena on, että tietoa hallitaan ja suojataan Naton tie- donhallinnan periaatteiden ja Naton turvalli- suusperiaatteiden mukaisesti.

(j) Turvallisuusluokiteltuun tietoon sovelle- taan alkuperäisen luovuttajan määräysval- taa4.

(e) The NATO Office of Security (NOS) shall coordinate the management of the In- sider Threat in conjunction with the appro- priate national authorities and NATO Civil and Military bodies.

(f) Security risk management3 shall be man- datory within NATO Civil and Military bod- ies in accordance with the NATO Security Risk Management Process (AC/35-D/1035). Its application within NATO Nations is op- tional. Risk management shall not be used

to circumvent security policy.

(g) NATO Nations and NATO Civil and Military bodies shall establish Security Edu- cation and Awareness Programmes within their organizations addressing all security aspects as described in paragraph (l) below.

(h) All suspected Security Breaches and compromise of classified information shall be reported immediately to the appropriate security authority.

(i) Originators release classified information to NATO and to NATO Nations in support of a NATO programme, project or contract on the understanding that it will be managed and protected in accordance with the NATO Information Management Policy (NIMP) and NATO Security Policy.

(j) Classified information shall be subject to Originator Control4.

3 Uhkien ja haavoittuvuuksien arviointiin perustuva järjestelmällinen lähestymistapa sen määrittämiseksi, mitä vastatoimia tarvitaan tiedon sekä sitä tukevien palvelujen ja resurssien turvallisuuden suojaamiseksi. Riskien- hallintaan sisältyy resurssien suunnittelu, järjestäminen, ohjaaminen ja valvonta, joiden avulla varmistetaan, että riski pysyy hyväksyttävyyden rajoissa.

3 A systematic approach to determining which security counter-measures are required to protect information

and supporting services and resources, based upon an assessment of the threats and vulnerabilities. Risk man- agement involves planning, organising, directing and controlling resources to ensure that the risk remains within acceptable bounds.

4 Periaate, jonka mukaan valtio, Nato tai muu organisaatio, jonka alaisuudessa tieto on luotu, tuotettu tai tuotu Natoon, määrää tämän tiedon käyttöön sovellettavat säännöt ja vaatimukset ja on toimivaltainen tiedon koko elinkaaren aikaisten muutosten suhteen.

4 The principle by which a nation, NATO, or other organization, under whose authority information has been created, produced, or introduced into NATO, establishes the rules and standards which apply to the use of this information and has authority over any changes throughout information life-cycle.

(k) Naton turvallisuusluokiteltu tieto luovu- tetaan vakiintuneiden luovutusmenettelyjen ja -perusteiden mukaisesti, ja kaikissa ta- pauksissa kaikki luovutettava Naton turvalli- suusluokiteltu tieto tulee suojata vähintään samantasoisesti kuin tässä C-M-asiakirjassa ja sitä tukevissa ohjeissa määrätään.

(l) Turvallisuusluokiteltu tieto turvataan ta- sapainoisella turvallisuustoimenpiteiden ko- konaisuudella, jolla varmistetaan henkilöstö- turvallisuus, toimitilaturvallisuus, tietotur- vallisuus sekä viestintä- ja tietojärjestelmien turvallisuus (CIS). Myös silloin, kun turval- lisuusluokiteltua tietoa annetaan hankeosa- puolille ja luovutetaan Naton ulkopuolisille toimijoille (NNE), se turvataan noudatta- malla näissä turvallisuusperiaatteissa kuvat- tuja menettelyjä. Nämä vaatimukset koske- vat kaikkia henkilöitä, joilla on pääsy turval- lisuusluokiteltuun tietoon, kaikkia turvalli- suusluokiteltua tietoa sisältäviä tietoväli- neitä ja kaikkia tiloja, joissa on tällaista tie- toa.

(m) Organisaatiot, joilla on hallussaan Na- ton turvallisuusluokiteltua tietoa, kehittävät mekanismit ja menettelyt, joilla varmiste- taan Naton turvallisuusperiaatteiden vaati- musten soveltaminen poikkeuksellisissa toi- mintaolosuhteissa, kuten häiriötilojen ai- kana. Nämä järjestelmät ja menettelyt voi- daan esittää joko toiminnan jatkuvuussuun- nitelmassa tai palautumissuunnitelmassa, ta- pahtuman luonteen mukaan.

KRIITTISIÄ KOHTEITA KOSKEVAN TIEDON SUOJAAMINEN

2. Tiedon julkaiseminen kriittisistä siviili- kohteista (esim. puolustusmateriaalivaras- toista, energiavarastoista), joilla on sotilaal- lista merkitystä jännitteiden tai sodan ai- kana, saattaa edistää kineettistä hyökkäystä tai sabotaasia, koska julkaistun tiedon avulla mahdolliset viholliset tai terroristit voivat pystyä kokoamaan luettelon kriittisistä koh- teista ja käyttämään sitä haavoittuvien koh- teiden tunnistamiseen hyökkäystä varten. Jotta pystytään estämään vihollisia käyttä- mästä tällaista tietoa vihamielisiin tarkoituk- siin, on toteutettava asianmukaiset toimet,

(k) The release of NATO Classified Infor- mation shall be in accordance with

the established procedures and criteria for the release, and in all cases, a degree of protection, no less stringent than that speci- fied in this C-M and the supporting directives, shall be required for any NATO Classified Information released.

(l) Classified information shall be safe- guarded by a balanced set of security measures addressing the following subjects: personnel security, physical security, secu- rity of information and security of Commu- nication and Information Systems (CIS). When classified information is provided to contractors and released to non-NATO entities (NNE) it shall also be safeguarded by following the procedural measures set by these policies. These requirements shall extend to all individuals having access to classified information, all media carrying classified information, and to all premises containing such information.

(m) Establishments that hold NATO Classi- fied Information shall develop mechanisms and processes to ensure application of NATO Security Policy requirements under adverse operational conditions, including disruptive incidents. Such mechanisms and processes may be reflected in either a Busi- ness Continuity Plan or Disaster Recovery Plan, depending on the nature of the inci- dent.

PROTECTION OF INFORMATION ON KEY POINTS

2. The publication of information about crit- ical civilian installations (e.g. defence sup- plies, energy supply) of military significance in times of tension or war may assist in the delivery of a kinetic attack or act of sabo- tage by allowing potential enemies or terror- ists to compile a key points list, and to use this in order to identify points which may be vulnerable to attack. Appropriate steps shall be taken to ensure that such information is not freely available in the public domain in order to prevent its use in a hostile manner by enemies. Additionally, installations’

joilla varmistetaan, ettei tätä tietoa ole va- paasti saatavilla julkisesti. Lisäksi tällaisten kohteiden omistajien ja käyttäjien on oltava täysin tietoisia niihin kohdistuvan mainitun- laisen toiminnan vaarasta ja toteutettava tar- vittavat toimet näitä kohteita koskevan tie- don suojaamiseksi.

TURVALLISUUDEN VASTUUALUEET

Kansallinen turvallisuusviranomainen (NSA)

3. Kukin Naton jäsenvaltio perustaa kansal- lisen turvallisuusviranomaisen (NSA), joka vastaa Naton turvallisuusluokitellun tiedon turvallisuudesta. Kansallinen turvallisuusvi- ranomainen toimii Naton turvallisuustoimis- ton ensisijaisena yhteystahona kaikissa Na- ton turvallisuuteen liittyvissä asioissa. Kan- sallinen turvallisuusviranomainen voi ohjata Naton turvallisuustoimiston kääntymään toi- mivaltaisen määrätyn turvallisuusviranomai- sen tai muun toimivaltaisen turvallisuusvi- ranomaisen puoleen.

4. Kansallisen turvallisuusviranomaisen vas- tuulla on

(a) varmistaa Naton turvallisuusluokitel- lun tiedon turvallisuus sekä sotilas- että si- viilialan kansallisissa virastoissa ja muissa organisaatioissa, sekä kotimaassa että ul- komailla;

(b) varmistaa, että kaikissa kansallisissa sekä sotilas- että siviilialan organisaa- tioissa kaikilla tasoilla tarkastetaan asian- mukaisesti määräajoin Naton turvallisuus- luokitellun tiedon suojaamiseksi tehdyt turvallisuusjärjestelyt, jotta voidaan to- deta, suojataanko tätä tietoa asianmukai- sesti. Sellaisissa organisaatioissa, joilla on hallussaan turvallisuusluokkaan COSMIC TOP SECRET luokiteltua tietoa tai ATO- MAL-tietoa, tehdään turvallisuustarkas- tukset vähintään 24 kuukauden välein, jollei Naton turvallisuustoimisto tee näitä tarkastuksia kyseisenä ajanjaksona;

(c) varmistaa, että kaikille kansalaisille, jotka tarvitsevat pääsyn turvallisuusluok- kaan NATO CONFIDENTIAL ja sitä ylempiin turvallisuusluokkiin luokiteltuun

owners and operators shall be fully aware of the risk of such activity against them and take such steps as necessary to protect

this information.

SECURITY RESPONSIBILITIES

National Security Authority (NSA)

3. Each NATO Nation shall establish a Na- tional Security Authority (NSA) responsible for the security of NATO Classified Infor- mation. The NSA serves as the main point of contact for the NOS for any matter relat- ing to security within NATO. Thereafter, the NSA may direct the NOS to the appropriate Designated Security Authority (DSA) or other competent security authority.

4. The NSA is responsible for:

(a) the security of NATO Classified In- formation in national agencies and ele- ments, military or civil, at home or abroad;

(b) ensuring that periodic and appropriate inspections of the security arrangements for the protection of NATO Classified In- formation are undertaken in all national organizations at all levels, both military and civil, to determine that NATO Clas- sified Information is appropriately pro- tected in accordance with current NATO security regulations. In the case of organ- izations holding CTS or ATOMAL infor- mation, security inspections shall be made at least every 24 months, unless, during that period, they are carried out by the NOS;

xxxxxxx, on myönnetty henkilöturvallisuus- selvitystodistus (PSC) Naton turvallisuus- periaatteiden mukaisesti;

(d) varmistaa, että on laadittu turvallisuus- suunnitelmat, joiden avulla estetään Naton turvallisuusluokiteltua tietoa joutumasta asiattomien tai vihamielisten tahojen hal- tuun poikkeusolojen aikana; ja

(e) auktorisoida kansallisten COSMIC- keskusrekisterien perustaminen tai lak- kauttaminen. COSMIC-keskusrekisterien perustamisesta tai lakkauttamisesta on il- moitettava Naton turvallisuustoimistolle.

Määrätty turvallisuusviranomainen (DSA)

5. Viranomainen, jonka vastuulla on tiedot- taa yrityksille ja muille yhteisöille kansalli- sista periaatteista kaikissa Naton yritystur- vallisuuden periaatteita koskevissa asioissa sekä antaa ohjausta ja apua niiden sovelta- misessa. Joissakin valtioissa määrätyn tur- vallisuusviranomaisen tehtävää voi hoitaa kansallinen turvallisuusviranomainen.

Turvallisuuskomitea (SC)

6. Turvallisuuskomitean asettaa Pohjois-At- lantin neuvosto (NAC). Komiteassa on edustajat kunkin Naton jäsenvaltion kansal- lisesta turvallisuusviranomaisesta / määrä- tystä turvallisuusviranomaisesta, ja komiteaa tukee tarvittaessa muu Naton jäsenvaltioiden turvallisuushenkilöstö. Kansainvälisen soti- lasesikunnan (IMS), strategisten esikuntien sekä tiedonvälityksen, johtamisen ja valvon- nan (C3) ohjausryhmän edustajat ovat läsnä turvallisuuskomitean kokouksissa. Myös Naton sotilas- ja siviilielinten edustajia voi olla läsnä käsiteltäessä asioita, joissa näillä elimillä on intressi. Naton turvallisuustoi- misto nimeää turvallisuuskomitean puheen- johtajat komitean pääedustajien kokoonpa- noa, turvallisuusperiaatteita käsittelevää ko- koonpanoa sekä viestintä- ja tietojärjestel- miä käsittelevää kokoonpanoa varten.

7. Turvallisuuskomitea vastaa suoraan Poh- jois-Atlantin neuvostolle seuraavista:

to information classified NATO CONFI- DENTIAL and above, in accordance with NATO Security Policy;

(d) ensuring that security plans have been prepared in order to prevent NATO Clas- sified Information from falling into unau- thorised or hostile hands in the event of an emergency; and

(e) authorising the establishment (or dis- establishment) of national COSMIC Cen- tral Registries. The establishment (or dis- establishment) of COSMIC Central Reg- istries shall be notified to the NOS.

Designated Security Authority (DSA)

5. An authority responsible for communi- cating to industry the national policy in all matters of NATO industrial security policy and for providing direction and assistance in its implementation. In some nations, the function of a DSA may be carried out by the NSA.

Security Committee (SC)

6. The SC is established by the North Atlan- tic Council (NAC) and is composed of representatives from each NATO Nation's NSAs/DSAs and supported, where required, by additional NATO Nation security staff. Representatives of the International Military Staff (IMS), Strategic Commands and Con- sultation Command and Control (C3) Board shall be present at the meetings of the SC. Representatives of NATO Civil and Military bodies may also be present when matters of interest to them are addressed. The Chair- persons for the SC at Principal’s level, the SC in Security Policy Format (SC (SP)), and the SC in Communications and Information Systems (CIS) Security Format (SC (CISS)) are provided by the NOS.

7. The SC is responsible directly to the NAC for:

(a) (asiakirjoissa C-M(2002)49 ja C- M(2002)50 kuvattujen) Naton turvalli- suussääntöjen tarkistaminen ja niiden muuttamista tai hyväksymistä koskevien suositusten antaminen Pohjois-Atlantin neuvostolle;

(b) Naton turvallisuussääntöjä koskevien kysymysten käsittely;

(c) Naton turvallisuussääntöjen tuke- miseksi julkaistavien direktiivien ja oh- jausasiakirjojen tarkistaminen ja hyväksy- minen5; ja

(d) sellaisten turvallisuusasioiden käsit- tely, jotka Pohjois-Atlantin neuvosto, Na- ton jäsenvaltio, pääsihteeri, sotilaskomi- tea, tiedonvälityksen, johtamisen ja val- vonnan ohjausryhmä tai Naton jonkin so- tilas- tai siviilielimen johtaja on saattanut turvallisuuskomitean käsiteltäväksi, sekä asianmukaisten suositusten laatiminen näistä asioista.

Naton turvallisuustoimisto (NOS)

8. Naton turvallisuustoimisto on perustettu Naton kansainväliseen sihteeristöön osana yhteistä tiedustelu- ja turvallisuusjaostoa. Turvallisuustoimiston henkilöstö on koke- nutta sekä sotilas- että siviilialan turvalli- suusasioissa. Naton turvallisuustoimisto toi- mii läheisessä yhteydessä Naton jäsenvalti- oiden kansallisten turvallisuusviranomaisten

/ määrättyjen turvallisuusviranomaisten sekä Naton sotilas- ja siviilielinten kanssa. Tur- vallisuustoimisto voi myös tarvittaessa pyy- tää Naton jäsenvaltioita ja Naton sotilas- ja siviilielimiä antamaan turvallisuustoimis- tolle lisää turvallisuusasiantuntijoita avusta- maan sitä osa-aikaisesti, kun kokoaikaisen henkilöstön lisääminen turvallisuustoimis- toon ei olisi perusteltua.

9. Naton turvallisuustoimiston vastuulla on

(a) käsitellä Naton turvallisuuteen vaikut- tavia asioita;

(a) reviewing NATO Security Policy (as set forth in C-M(2002)49 and C- M(2002)50) and making recommenda- tions for change or endorsement to the NAC;

(b) examining questions concerning NATO Security Policy;

(c) reviewing and approving the support- ing directives and guidance documents published in support of NATO Security Policy;5 and

(d) considering security matters referred to it by the NAC, a NATO Nation, the Secretary General, the Military Commit- tee (MC), the C3 Board or the heads of NATO Civil and Military bodies and pre- paring appropriate recommendations thereon.

NATO Office of Security (NOS)

8. The NOS is established within the NATO International Staff as part of the Joint Intelli- gence and Security Division. It is composed of personnel experienced in security matters in both military and civil spheres. The NOS maintains close liaison with the NSAs/DSAs of NATO Nations, and with NATO Civil and Military bodies. The NOS may also, as required, request NATO Nations and NATO Civil and Military bodies to provide addi- tional security experts to assist it for limited periods of time when full-time additions to the NOS would not be justified.

9. The NOS is responsible for:

(a) examining any questions affecting NATO security;

5 Naton jäsenvaltio voi pyytää, että myös Pohjois-Atlantin neuvosto hyväksyy turvallisuusperiaatteita tukevan ohjeen.

5 A NATO Nation may request that a supporting directive also be approved by the NAC.

(b) määrittää keinot, joilla Naton turvalli- suutta voitaisiin parantaa;

(d) varmistaa Naton turvallisuussääntöjen toteuttaminen ja valvonta muun muassa antamalla neuvoja, joita Naton jäsenvaltiot ja Naton sotilas- ja siviilielimet voivat pyytää joko soveltaessaan tässä liitteessä kuvattuja perusperiaatteita ja turvallisuus- vaatimuksia tai täyttäessään yksittäisiä turvallisuusvaatimuksia;

(e) tiedottaa kulloisenkin tilanteen mukaan turvallisuuskomitealle, pääsihteerille ja sotilaskomitean puheenjohtajalle Naton turvallisuustilanteesta sekä edistymisestä turvallisuutta koskevien Pohjois-Atlantin neuvoston päätösten täytäntöönpanossa;

(f) tehdä määräajoin Naton turvallisuus- luokitellun tiedon suojaamiseen tarkoitet- tujen turvallisuusjärjestelmien tarkastuksia Naton jäsenvaltioissa, Naton siviilieli- missä, Naton operaatioesikunnassa ja Na- ton transformaatioesikunnan komentajan johtoesikunnassa6;

(g) tehdä turvallisuutta koskevia selvityk- siä sellaisissa Naton ulkopuolisissa toimi- joissa, joiden kanssa Nato on tehnyt tur- vallisuussopimuksen, aluksi varmenta- mista varten ja sen jälkeen määräajoin Na- ton turvallisuusperiaatteiden jatkuvan nou- dattamisen varmistamiseksi;

(h) koordinoida kansallisten turvallisuus- viranomaisten / määrättyjen turvallisuus- viranomaisten ja Naton sotilas- ja xxxxx- xxxxxxxxx kanssa epäiltyyn tai tosiasialli- seen Naton turvallisuusluokitellun tiedon

(b) identifying means whereby NATO se- curity might be improved;

(d) ensuring the implementation and oversight of NATO Security Policy, in- cluding the provision of such advice as may be requested by NATO Nations and NATO Civil and Military bodies either in their application of the basic principles and the standards of security described in this Enclosure, or in the implementation of the specific security requirements;

(e) informing, as appropriate, the SC, the Secretary General and the Chair of the MC of the state of security within NATO, and the progress made in imple- menting NAC decisions regarding secu- rity;

(f) carrying out periodic inspections of security systems for the protection of NATO Classified Information in NATO Nations, NATO Civil bodies, SHAPE and HQ SACT;6

(g) conducting security surveys in NNEs with whom NATO has a signed Security Agreement for the initial purpose of cer- tification and periodically thereafter for ensuring ongoing compliance with NATO Security Policy;

(h) co-ordinating, with NSAs/DSAs and NATO Civil and Military bodies, the in- vestigation of cases relating to the actual

6 Naton jäsenvaltiot voivat Naton turvallisuustoimiston pyynnöstä osallistua sen Naton sotilas- ja siviilielimissä tekemiin tarkastuksiin joko tarkkailijoina tai tarkastusryhmän aktiivisina jäseninä. Tämä ei kuitenkaan ole mah- dollista sellaisissa siviilielimissä, joiden perusrakenteissa kaikki Naton jäsenvaltiot eivät ole mukana.

6 NATO Nations may, upon request of the NOS, participate in the NOS’ inspections to NATO Civil and Military bodies either as observers or as active members of the inspection team. However, this is not possible for civil bodies where not all NATO Nations are part of the constituting framework.

katoamiseen tai vaarantumiseen liittyvien asioiden tutkintaa;

(i) tiedottaa tarvittaessa kansallisille tur- vallisuusviranomaisille / määrätyille tur- vallisuusviranomaisille saamastaan epä- edullisesta tiedosta, joka koskee kyseisten valtioiden kansalaisia;

(j) suunnitella turvatoimia Brysselissä si- jaitsevan Naton päämajan suojaamiseksi ja varmistaa niiden toteuttaminen oikealla tavalla; ja

(k) xxxxxx pääsihteerin johdolla ja puo- lesta ATOMAL-tietojen suojaamiseksi tarkoitetun Naton turvallisuusohjelman to- teuttamista ATOMAL-sopimuksen (C- M(64)39) ja sitä tukevien hallinnollisten järjestelyjen (C-M(68)41) määräysten mu- kaisesti.

Sotilaskomitea ja Naton sotilaselimet

10. Naton korkeimpana sotilasviranomai- sena sotilaskomitea vastaa sotilasasioiden hoitamisesta yleisesti. Sotilaskomitea vastaa siten kaikista Naton sotilasrakenteen turval- lisuusasioista, mukaan lukien niiden toimen- piteiden keskitetty kokonaiskäsittely, joita tarvitaan Naton turvallisuusluokitellun tie- don siirtämiseen käytettävän salaustekniikan ja -aineiston asianmukaisuuden varmista- miseksi, sekä tämän C-M-asiakirjan liit- teessä F määriteltyjen Naton rahoittamien salauslaitteistojen turvallisuushyväksyntä. Aiemmin sovittujen periaatteiden sekä edellä olevien 8 ja 9 kohdan mukaisesti Na- ton turvallisuustoimisto hoitaa turvallisuu- teen liittyviä toimeenpanotehtäviä Naton so- tilasrakenteessa ja tiedottaa tästä toiminnasta sotilaskomitean puheenjohtajalle.

11. Sotilaskomitean alaisuuteen perustettu- jen Naton sotilaselinten johtajat vastaavat kaikista organisaatioidensa turvallisuusasi- oista. Tähän sisältyy vastuu siitä, että var- mistetaan turvallisuusorganisaation perusta- minen, asianmukaisten turvallisuustoimen- piteiden ja -menettelyjen suunnittelu ja to-

or suspected loss or compromise of NATO Classified Information;

(i) informing NSAs/DSAs of any adverse information which comes to light con- cerning their nationals, where appropri- ate;

(j) devising security measures for the protection of the NATO Headquarters, Brussels and ensuring their correct imple- mentation; and

(k) supervising, under the direction and on behalf of the Secretary General, the application of the NATO security pro- gramme for the protection of ATOMAL information under the provisions of the Agreement (C-M(64)39) and the support- ing Administrative Arrangements (C- M(68)41).

Military Committee and NATO Military bodies

10. As the highest military authority in NATO, the MC is responsible for the overall conduct of military affairs. The MC is con- sequently responsible for all security matters within the NATO military structure includ- ing centralised overall cognisance of measures necessary to assure the adequacy of cryptographic techniques and materials used for transmitting NATO Classified In- formation, including the security approval of NATO funded cryptographic equipment as defined in Enclosure “F” to this C-M. In ac- cordance with previously agreed policy and in compliance with paragraphs 8 and 9 above, the NOS carries out the executive functions for security within the NATO mil- itary structure and keeps the Chair of the MC informed.

11. The Heads of NATO Military bodies es- tablished under the auspices of the MC are responsible for all security matters within their establishments. This includes the re- sponsibility for ensuring that a security or- ganization is set up, that appropriate security measures and procedures are devised and executed in accordance with NATO Security

teutus Naton turvallisuussääntöjen mukai- sesti sekä turvallisuustoimenpiteiden tarkas- taminen määräajoin kaikilla komentota- soilla. Sellaisissa organisaatioissa, joilla on hallussaan turvallisuusluokkaan COSMIC TOP SECRET luokiteltua tietoa tai ATO- MAL-tietoa, tehdään turvallisuustarkastuk- set vähintään 24 kuukauden välein, jollei Naton turvallisuustoimisto ole tehnyt täl- laista tarkastusta kyseisenä ajanjaksona;

Naton siviilielimet

12. Naton kansainvälinen sihteeristö ja Na- ton siviilivirastot vastaavat Pohjois-Atlantin neuvostolle turvallisuuden ylläpitämisestä organisaatioissaan. Tähän sisältyy vastuu siitä, että varmistetaan turvallisuusorgani- saation perustaminen, turvallisuusohjelmien suunnittelu ja toteutus Naton turvallisuus- sääntöjen mukaisesti sekä turvallisuustoi- menpiteiden tarkastaminen määräajoin kai- killa komentotasoilla. Sellaisissa organisaa- tioissa, joilla on hallussaan turvallisuusluok- kaan COSMIC TOP SECRET luokiteltua tietoa tai ATOMAL-tietoa, tehdään turvalli- suustarkastukset vähintään 24 kuukauden välein, jollei Naton turvallisuustoimisto ole tehnyt tällaista tarkastusta kyseisenä ajan- jaksona.

TURVALLISUUSVALVONTA OSAA- MISKESKUSTEN7 / YHTEISYMMÄR- RYSPÖYTÄKIRJAAN PERUSTUVIEN ELINTEN OSALTA

13. Turvallisuusvalvonnalla tarkoitetaan val- vontatehtävää, jolla varmistetaan, että Naton turvallisuusluokiteltua tietoa käsittelevä or- ganisaatio soveltaa Naton turvallisuussään- töjä oikein suojatakseen tätä tietoa. Naton komentorakenteen (NCS) ulkopuolisten elinten turvallisuusvalvonta Naton turvalli- suusluokitellun tiedon suojaamisen osalta ta- pahtuu seuraavasti:

Policy and that the security measures are in- spected periodically at each command level. In cases where organizations hold COSMIC TOP SECRET (CTS) or ATOMAL infor-

mation, security inspections are to be made at least every 24 months, unless, during that period, an inspection has been carried out by the NOS.

NATO Civil bodies

12. The NATO International Staff and NATO civil agencies are responsible to the NAC for the maintenance of security within their establishment. This includes responsi- bility for ensuring that a security organiza- tion is set up, that security programmes are devised and executed in accordance with NATO Security Policy and that the security measures are inspected periodically at each command level. In cases of organizations holding CTS or ATOMAL information, se- curity inspections are to be made at least every 24 months, unless, during that period, an inspection has been carried out by the NOS.

SECURITY OVERSIGHT FOR CEN- TRE OF EXCELLENCE (COE)7 / MEM- ORANDUM OF UNDERSTANDING (MOU) BODIES

13. Security oversight is defined as the su- pervisory function to ensure that any organi- zation which handles NATO Classified In- formation is correctly applying NATO Secu- rity Policy for the protection of such infor- mation. Security oversight for bodies that lie outside the NATO Command Structure (NCS) in respect of protecting NATO Clas- sified Information shall be delivered as fol- lows:

7 Osaamiskeskukset, jotka Pohjois-Atlantin neuvosto on hyväksynyt asiakirjan PO(2020)0038 (INV) mukaisesti.

7 NAC-approved COEs in accordance with PO(2020)0038 (INV).

(a) Osallistuvat valtiot vastaavat turvalli- suusasioiden hoitamisesta kyseisessä Na- ton sotilaselimessä (NMB) ja tekevät asi- anmukaiset järjestelyt sitä varten. Jollei näiden yksiköiden turvallisuusvalvonnan hoitamiseksi ole tehty erillisiä sopimuksia, se valtio, jossa kyseinen yksi tai useampi yksikkö sijaitsee, eli isäntävaltio, johtaa turvallisuusvalvontaa.

(b) Osaamiskeskukset / yhteisymmärrys- pöytäkirjaan perustuvat elimet voivat olla Naton sotilaselimiä, jos Pohjois-Atlantin neuvosto on tehnyt aktivointipäätöksen asiassa. Tällaisissa tapauksissa sovelle- taan Naton turvallisuussääntöjä ja osaa- miskeskuksen / yhteisymmärryspöytäkir- jaan perustuvan elimen johtaja vastaa xxx- xxxxx organisaationsa turvallisuusasioista. Osallistuvat valtiot vastaavat turvallisuus- vaatimusten käsittelystä osaamiskeskuk- sessa / yhteisymmärryspöytäkirjaan perus- tuvassa elimessä ja tekevät tarvittavat jär- jestelyt sitä varten. Isäntävaltio johtaa tur- vallisuusvalvontaa, jolleivät osallistuvat valtiot ole sopineet muista järjestelyistä tä- män valvonnan suhteen.

(c) Jos osaamiskeskusta / yhteisymmärrys- pöytäkirjaan perustuvaa elintä ei ole akti- voitu Naton sotilaselimeksi (eikä Pohjois- Atlantin neuvosto siten ole myöntänyt sille kansainvälistä asemaa), mutta se on akkreditoitu Naton osaamiskeskukseksi / yhteisymmärryspöytäkirjaan perustuvaksi elimeksi, sovelletaan Naton turvallisuus- sääntöjä. Vaikka osallistuvat valtiot vas- taavat kaikista osaamiskeskuksen / yhteis- ymmärryspöytäkirjaan perustuvan elimen turvallisuusasioista, isäntävaltio johtaa turvallisuusvalvontaa, jolleivät osallistuvat valtiot ole sopineet muista järjestelyistä tä- män valvonnan suhteen. Osaamiskeskuk- sen / yhteisymmärryspöytäkirjaan perustu- van elimen perustamista koskevassa yh- teisymmärryspöytäkirjassa esitetään, mi- ten tämä toteutetaan osaamiskeskuksessa / yhteisymmärryspöytäkirjaan perustuvassa elimessä.

(d) Jos jonkin Naton jäsenvaltion moni- kansallista yksikköä ei ole akkreditoitu osaamiskeskukseksi eikä aktivoitu Naton

(a) Participating nations are responsible and shall make appropriate arrangements as to how to deal with security within their NATO Military Body (NMB). Un- less there are specific agreements in place regarding how to deal with security oversight for these elements, the Nation in which the element(s) is/are situated,

i.e. the Host Nation, shall take the lead for exercising security oversight.

(b) COE/MOU bodies can be NMB if there is a NAC activating decision. In such cases NATO Security Policy is ap- plicable and the head of the COE/MOU body shall be responsible for all security matters within their establishment. Partic- ipating nations are responsible and shall make necessary arrangements to deal with security requirements within any COE/MOU body. The Host Nation shall take the lead for exercising security over- sight unless participating nations have agreed to alternative arrangements for this oversight.

(c) If a COE/MOU body is not activated as a NMB (and thus not granted interna- tional status by the NAC), but accredited as a NATO COE/MOU, NATO Security Policy applies. Although participating na- tions will be responsible for all security matters within the COE/MOU, the Host Nation shall take the lead for exercising security oversight unless participating na- tions have agreed to alternative arrange- ments for this oversight. Any founding MOU shall describe how this is imple- mented within the COE/MOU body.

(d) If a multi-national entity within one of the NATO Nations is not accredited as a COE, nor activated as a NMB but uses

sotilaselimeksi, mutta se käyttää Naton turvallisuusluokiteltua tietoa, sovelletaan Naton turvallisuussääntöjä ja osallistuvat valtiot vastaavat turvallisuusasioista. Jos osallistujina on Naton ulkopuolisia valti- oita, näiden kanssa on tehtävä turvalli- suussopimus ennen kuin turvallisuusluoki- teltua tietoa voidaan vaihtaa. Tällaisissa tapauksissa isäntävaltio johtaa turvalli- suusvalvontaa, jolleivät osallistuvat valtiot ole sopineet muista järjestelyistä tämän valvonnan suhteen. Monikansallisen yksi- kön perustamista koskevassa yhteisym- märryspöytäkirjassa esitetään, miten tämä toteutetaan monikansallisessa yksikössä.

TURVALLISUUSKOORDINOINTI

14. Naton jäsenvaltioiden kansallisten tur- vallisuusviranomaisten / määrättyjen turval- lisuusviranomaisten ja Naton sotilas- tai si- viilielinten välinen Naton turvallisuusasia, jota ei voida ratkaista, tai Naton turvalli- suussääntöjen toteuttamista tai tulkintaa kos- keva asia saatetaan Naton turvallisuustoi- miston ratkaistavaksi. Jos asian saattavat turvallisuustoimiston ratkaistavaksi sotilas- viranomaiset, tämä tehdään komentotietä pitkin. Ratkaisemattomat erimielisyydet Na- ton turvallisuustoimisto antaa turvallisuus- komitean käsiteltäväksi.

TURVALLISUUSSÄÄNTÖJEN MUUT- TAMINEN

15. Naton jäsenvaltioiden ja Naton sotilas- ja siviilielinten ehdotukset Naton turvalli- suussääntöjen muuttamiseksi tulisi toimittaa ensisijaisesti Naton turvallisuustoimiston käsiteltäväksi. Sotilasviranomaisten tekemät ehdotukset välitetään komentotietä pitkin. Naton turvallisuustoimisto käsittelee ehdo- tukset, ja tarvittaessa ne esitetään turvalli- suuskomitealle jatkokäsittelyä varten. Tämä kohta ei estä Naton jäsenvaltioiden kansalli- sia turvallisuusviranomaisia / määrättyjä tur- vallisuusviranomaisia tekemästä virallisesti ehdotuksia turvallisuuskomitealle, jos ne niin tahtovat

NATO Classified Information, NATO Security Policy applies and the participat- ing nations remain responsible for secu- rity matters. If there are non-NATO na- tions participating, a security agreement with those nations must be in place be- fore classified information can be ex- changed. In such circumstances the Host Nation shall take the lead for security oversight unless participating nations have agreed to alternative arrangements for this oversight. Any founding MOU shall describe how this is implemented within the multi-national entity.

SECURITY CO-ORDINATION

14. Any NATO security issue between NSAs/DSAs of NATO Nations, and NATO Civil and Military bodies that cannot be re- solved, or any issue with implementing or interpreting NATO Security Policy, shall be referred to the NOS. In cases where such reference is by military authorities, this shall be made through command channels. Any unresolved differences shall be submitted by the NOS to the SC for consideration.

SECURITY POLICY MODIFICATIONS

15. Any proposals by NATO Nations and NATO Civil and Military bodies to modify NATO Security Policy should be referred in the first instance to the NOS. Any proposals made by the military authorities shall be transmitted through command channels. Proposals will be considered by the NOS and if necessary raised to the SC for further discussion. This paragraph does not pre- clude the NSAs/DSAs from NATO Nations formally making proposals to the SC if they wish.

LIITE C C-M(2002)49-REV1

LIITE C HENKILÖSTÖTURVALLISUUS

JOHDANTO

1. Tässä liitteessä esitetään henkilöstöturval- lisuutta koskevat periaatteet ja vähimmäis- vaatimukset. Lisätietoja ja vaatimuksia löy- tyy Naton turvallisuussääntöjä tukevasta henkilöstöturvallisuusdirektiivistä (AC/35- D/2000).

2. Henkilöstöturvallisuusmenettelyt suunni- tellaan sellaisiksi, että niillä pystytään selvit- tämään, voiko henkilölle hänen lojaalisuu- tensa, rehellisyytensä ja luotettavuutensa huomioon ottaen myöntää pääsyn turvalli- suusluokiteltuun tietoon ilman, että siitä ai- heutuu turvallisuusriski, jota ei voida hyväk- syä. Tämä edellyttää, että kaikki siviili- ja sotilashenkilöt1, joiden velvollisuudet tai tehtävät edellyttävät pääsyä turvallisuus- luokkaan CONFIDENTIAL2 ja sitä ylem- piin turvallisuusluokkiin kuuluvaan tietoon, on tutkittava asianmukaisesti, jotta saavute- taan riittävä luottamuksen taso heidän edel- lytyksistään päästä turvallisuusluokiteltuun tietoon, ja heillä on tämän johdosta oltava kansallinen henkilöturvallisuusselvitystodis- tus (PSC).3

3. Saadakseen pääsyn Naton turvallisuus- luokkaan NATO CONFIDENTIAL (NC) ja sitä ylempiin turvallisuusluokkiin kuuluvaan

ENCLOSURE “C”

C-M(2002)49-REV1

ENCLOSURE “C”

PERSONNEL SECURITY

INTRODUCTION

1. This Enclosure sets out the policy and minimum standards for Personnel Security. Additional details and requirements are found in the supporting Directive on Person- nel Security (AC/35-D/2000).

2. Personnel security processes shall be de- signed to determine whether an individual can, taking into account their assessed loy- alty, trustworthiness and reliability, be au- thorised to have access to classified infor- mation without constituting an unacceptable risk to security. To achieve this, all individ- uals1, civilian and military, whose duties or functions require access to information classified CONFIDENTIAL2 and above shall be appropriately investigated to give a satisfactory level of confidence as to their eligibility for access to such information and as such possess a national Personnel Secu- rity Clearance (PSC).3

3. In terms of access to NATO Classified In- formation NATO CONFIDENTIAL (NC) and above an individual will require a valid

1 Poikkeuksena ne valtion ylimpien tehtävien haltijat, joihin viitataan tämän liitteen kohdassa 7.

1 Aside from those Senior Government Officials, referred to in the paragraph 7 of this Enclosure.

2 Jotkin Naton jäsenvaltiot edellyttävät kansallisten säädösten ja määräysten mukaisesti henkilöturvallisuussel- vityksen turvallisuusluokkaan RESTRICTED tai vastaavaan kansalliseen turvallisuusluokkaan kuuluvaan tie- toon pääsyä varten.

2 Some NATO Nations, as mandated by their national laws and regulations, require a PSC for access to classified information at the level of RESTRICTED or national equivalent.

3 Henkilöturvallisuusselvitys (PSC) on kansallisen turvallisuusviranomaisen tai määrätyn turvallisuusviranomai- sen tai muun toimivaltaisen turvallisuusviranomaisen myönteinen arvio, jolla tunnustetaan luonnollisen henkilön kelpoisuus päästä turvallisuusluokkaan NATO CONFIDENTIAL tai sitä ylempiin turvallisuusluokkiin kuulu- vaan tietoon ottaen huomion henkilön lojaalius, rehellisyys ja luotettavuus.

3 A PSC is a positive determination by which an NSA/DSA or other competent security authority formally rec- ognizes the individual’s eligibility to have access to information classified NC and above taking into account their loyalty, trustworthiness and reliability.

tietoon henkilöllä on oltava voimassa oleva asianmukaisen tason kansallinen henkilötur- vallisuusselvitystodistus sekä asianmukaisen kansallisen turvallisuusviranomaisen tai määrätyn turvallisuusviranomaisen tai muun toimivaltaisen turvallisuusviranomaisen vahvistus siitä, että kyseiselle henkilölle voi- daan myöntää pääsy Naton turvallisuus- luokiteltuun tietoon.

TIEDONSAANTITARPEEN PERIAAT- TEEN SOVELTAMINEN

4. Naton jäsenvaltioiden ja Naton siviili- ja sotilaselinten henkilöillä on pääsy vain sel- laiseen Naton turvallisuusluokiteltuun tie- toon, johon heillä on tiedonsaantitarve. Ke- nelläkään ei ole yksinomaan aseman tai vi- ran tai henkilöturvallisuusselvitystodistuk- sen perusteella pääsyä Naton turvallisuus- luokiteltuun tietoon.

HENKILÖTURVALLISUUSSELVITYS- TODISTUKSET (PSC)

5. Naton turvallisuussäännöt eivät edellytä henkilöturvallisuusselvitystodistusta turval- lisuusluokkaan NATO RESTRICTED (NR) kuuluvaan tietoon pääsyyn.4 Henkilöiden, jotka tarvitsevat pääsyn ainoastaan turvalli- suusluokkaan NATO RESTRICTED kuulu- vaan tietoon, on saatava ohjeistusta heidän turvallisuusvelvoitteistaan Naton turvalli- suusluokitellun tiedon5 suojaamisen osalta, heidän on annettava vakuutuksensa turvalli- suutta koskevasta vastuustaan kirjallisesti tai vastaavalla kiistämättömyyden varmista- valla tavalla ja heillä on oltava myös tiedon- saantitarve.

6. Asianmukainen henkilöturvallisuusselvi- tystodistus tarvitaan silloin, kun henkilöt tehtäviään suorittaessaan pääsevät tai saatta- vat päästä turvallisuusluokkaan NATO

national PSC at the appropriate level along with the confirmation from the appropriate NSA/DSA or other competent security au- thority that the individual in question may be authorised to access NATO Classified In- formation.

APPLICATION OF THE NEED-TO- KNOW PRINCIPLE

4. Individuals in NATO Nations and in NATO Civil and Military bodies shall only have access to NATO Classified Infor- mation for which they have a need-to-know. No individual is entitled solely by virtue of rank or appointment or PSC to have access to NATO Classified Information.

PERSONNEL SECURITY CLEAR- ANCES (PSCs)

5. A PSC is not required by NATO Security Policy for access to information classified NATO RESTRICTED (NR).4 Individuals who only require access to information clas- sified NR shall have been briefed on their security obligations in respect to the protec- tion of NATO Classified Information5, shall have acknowledged their security responsi- bilities in writing or an equivalent method which ensures non-repudiation and shall also have a need-to-know.

6. An appropriate PSC is required when in- dividuals access information classified NC

4 Jotkin Naton jäsenvaltiot voivat kansallisten säädöstensä ja määräystensä mukaisesti vaatia henkilöturvalli- suusselvitystä turvallisuusluokkaan NATO RESTRICTED kuuluvaan tietoon pääsyä varten.

4 Some NATO Nations, in accordance with their national laws and regulations, may require a PSC for access to information classified NR.

5 Jäsenvaltiot voivat käyttää joko Naton omaa ohjeistusta tai vastaavaa kansallista ohjeistusta, jos jälkimmäisessä korostetaan näiden kahden turvallisuuskehyksen vaatimusten eroja.

5 Nations may use either NATO specific briefings or national equivalent if the latter highlights the differences between the requirements of the two security frameworks.

CONFIDENTIAL ja sitä ylempiin turvalli- suusluokkiin kuuluvaan tietoon. Lisäksi henkilöiltä edellytetään:

(a) tiedonsaantitarvetta;

(b) saatua ohjeistusta turvallisuusvelvoit- teistaan Naton turvallisuusluokitellun tie- don suojaamisen osalta;

(c) vakuutuksen antamista turvallisuutta koskevasta vastuustaan joko kirjallisesti tai vastaavalla kiistämättömyyden varmis- tavalla tavalla.

7. Edellä olevista 5 ja 6 kohdasta poiketen valtion ylimpien tehtävien haltijoiden (esi- merkiksi valtion- ja hallitusten päämiehet, ministerit, kansanedustajat, oikeuslaitoksen jäsenet) pääsy Naton turvallisuusluokitel- tuun tietoon perustuu kansallisiin säädöksiin ja määräyksiin; tällaisia henkilöitä on oh- jeistettava heidän turvallisuusvelvoitteis- taan, ja heillä on oltava tiedonsaantitarve.

8. Vaadittavan henkilöturvallisuusselvitysto- distuksen taso ja siten tehtyjen turvallisuus- selvitysmenettelyjen laajuus määräytyvät sen perusteella, mihin turvallisuusluokkaan kuuluvaan Naton turvallisuusluokiteltuun tietoon henkilön on saatava pääsy. Naton turvallisuusluokiteltuun tietoon pääsyn saa- neiden henkilöiden tai virantoimituksessaan tai tehtävissään tietoon mahdollisesti pääse- vien henkilöiden edellytyksistä on oltava sovittu luottamuksen taso.

9. Henkilöturvallisuusselvitystodistuksen myöntämistä ei tule pitää henkilöstöturvalli- suusmenettelyn viimeisenä vaiheena; vaati- muksena on varmistaa henkilön jatkuvat edellytykset päästä Naton turvallisuusluoki- teltuun tietoon. Tämä saavutetaan, kun tur- vallisuusviranomaiset ja -johtajat osallista- vat henkilöitä tehokkaasti ja arvioivat heitä säännöllisesti. Tähän sisältyy sellaisten hen- kilön olosuhteissa tai käyttäytymisessä ta- pahtuvien muutosten arviointi, joilla voi olla turvallisuusvaikutuksia. Lisäksi, turvalli- suuskoulutus- ja tietoisuusohjelmien tehok- kaalla käytöllä muistutetaan henkilöitä hei- dän turvallisuutta koskevasta vastuustaan ja

and above or may have access to such infor- mation during the course of their duties. In addition, individuals are required to:

(a) have a need-to-know;

(b) have been briefed on their security obligations in respect to the protection of NATO Classified Information;

7. As an exception to paragraphs 5 and 6 above, access to NATO Classified Infor- mation by Senior Government Officials (e.g. Heads of State and Government, Govern- ment Ministers, Members of Parliament, Members of the Judiciary) is determined by national laws and regulations; such officials shall be briefed on their security obligations and shall have a need-to-know.

8. The level of PSC required and, therefore, the extent of security clearance processes undertaken shall be determined by the level of classification of the NATO Classified In- formation to which the individual is to have access. There shall be an agreed standard of confidence regarding the eligibility of indi- viduals granted access to, or whose duties or functions may afford access to, NATO Clas- sified Information.

9. The granting of a PSC should not be con- sidered as a final step in the personnel secu- rity process; there is a requirement to ensure an individual’s continuing eligibility for ac- cess to NATO Classified Information. This is to be achieved through effective engage- ment and regular evaluation by security au- thorities and managers. This includes as- sessing any change in circumstance or be- haviour with potential security implications. Additionally, the effective use of security education and awareness programme(s) shall be used in order to remind individuals of their security responsibilities and of the need to report, to their managers or security

heidän velvollisuudestaan ilmoittaa johtajil- leen tai turvallisuushenkilöstölle tietoja, jotka voivat vaikuttaa heidän turvallisuussta- tukseensa.

Poikkeukselliset olosuhteet

10. Voi syntyä tilanteita, joissa joitain 6 kohdan vaatimuksista ei voida täyttää esi- merkiksi kiireellisestä operaatiosta johtuen. Väliaikaisia nimityksiä sekä tilapäisesti tai kiireellisyyssyistä myönnettyä pääsyä kos- kevat käytännöt määritellään tarkemmin Na- ton turvallisuussääntöjä tukevassa henkilös- töturvallisuusdirektiivissä.

Vastuut

11. Henkilöturvallisuusselvitystodistuksen käsittely kuuluu sille Naton jäsenvaltioille, jonka kansalaista selvitys koskee. Tähän si- sältyy vaatimus siitä, että jäsenvaltiot var- mistavat, että niiden henkilöstöturvallisuus- selvitystodistusta koskevat menettelyt täyt- tävät tutkinnalliset vähimmäisvaatimukset ja perusteet, joilla arvioidaan henkilön lojaa- liutta, rehellisyyttä ja luotettavuutta henkilö- turvallisuusselvitystodistuksen myöntämistä varten sekä henkilöturvallisuusselvitystodis- tuksen uusimisen vaatimukset, jotka määri- tellään henkilöstöturvallisuusdirektiivissä.

12. Naton siviili- ja sotilaselimet vastaavat henkilöstönsä henkilöturvallisuusselvitysto- distushakemusten ja uusimispyyntöjen jättä- misestä asianomaiselle kansalliselle turvalli- suusviranomaiselle tai määrätylle turvalli- suusviranomaiselle tai muulle toimivaltai- selle turvallisuusviranomaiselle.

13. Kansallisten turvallisuusviranomaisten tai määrättyjen turvallisuusviranomaisten tai muiden toimivaltaisten turvallisuusviran- omaisten, Naton jäsenvaltioiden ja Naton si- viili- tai sotilaselinten päälliköiden yksityis- kohtaiset vastuut on määritelty henkilöstö- turvallisuusdirektiivissä.

TURVALLISUUSKOULUTUS JA -TIE- TOISUUS

14. Kaikkia henkilöitä, jotka työskentelevät tehtävissä, joissa heillä on pääsy turvalli-

staff, information which may affect their se- curity status.

Exceptional Circumstances

10. Circumstances may arise when, for ex- ample for urgent mission purposes, some of the requirements in paragraph 6 above can- not be met. Details in respect to provisional appointments, temporary and emergency ac- cess, are set out in the supporting Directive on Personnel Security.

Responsibilities

11. It is the responsibility of the NATO Na- tion, of which the individual is a national, to process PSC applications. This includes the requirement to ensure that their PSC process meets the minimum investigative require- ments and criteria for assessing the loyalty, trustworthiness and reliability of an individ- ual in order to be granted a PSC as well as the requirements for renewal of PSC as set out in the Directive on Personnel Security.

12. NATO Civil and Military bodies are re- sponsible for submitting PSC applications and renewals for their staff to the relevant NSA/DSA or other competent security au- thority.

13. The detailed responsibilities of NSAs/ DSAs or other competent security authori- ties, NATO Nations and the Heads of a NATO Civil or Military bodies are set out in the Directive on Personnel Security.

SECURITY EDUCATION AND AWARENESS

14. All individuals employed in positions where they have access to information clas- sified NR, or hold a PSC for access to NC or

suusluokkaan NATO RESTRICTED kuulu- vaan tietoon tai joilla on henkilöturvalli- suusselvitystodistus, joka antaa heille pää- syn turvallisuusluokkaan NATO CONFI- DENTIAL tai sitä ylempiin turvallisuus- luokkiin kuuluvaan tietoon, on ohjeistettava turvallisuusmenettelyistä ja heidän turvalli- suusvelvoitteistaan. Kaikkien turvallisuus- selvitettyjen henkilöiden on vakuutettava ymmärtävänsä täysin vastuunsa ja heihin mahdollisesti kohdistuvat seuraukset siitä, että Naton turvallisuusluokiteltua tietoa jou- tuu luvattomiin käsiin joko tahallisesti tai huolimattomuudesta. Tiedon tästä vakuutuk- sesta säilyttää se Naton jäsenvaltio tai Naton siviili- tai sotilaselin, joka on myöntänyt pääsyn Naton turvallisuusluokiteltuun tie- toon.

15. Kaikille henkilöille, joille on myönnetty pääsy Naton turvallisuusluokiteltuun tietoon tai joiden edellytetään käsittelevän sitä, on aluksi tiedotettava ja säännöllisin väliajoin muistutettava niistä turvallisuusuhkista, joita voi aiheuttaa muun muassa:

(a) henkilöiden käyttäytyminen työpaikan ulkopuolella, mukaan lukien sosiaalisen median käyttö;

(b) varomattomat keskustelut sellaisten henkilöiden kanssa, joilla ei ole tiedon- saantitarvetta;

(d) kyberuhkat;

(e) henkilöiden suhde tiedotusvälineisiin; ja

(f) Natoon ja Naton jäsenvaltioihin koh- distuvasta tiedustelutoiminnasta aiheutuva uhka.

16. Luonnollisten henkilöiden on välittö- mästi ilmoitettava asianomaisille turvalli- suusviranomaisille epäilyttävinä tai epäta- vanomaisina pitämistään yhteydenotoista tai toimista.

above, shall be briefed on security proce- dures and their security obligations. All cleared individuals shall acknowledge that they fully understand their responsibilities and the potential consequences to them when NATO Classified Information passes into unauthorised hands either by intent or through negligence. A record of the acknowledgement shall be maintained by the NATO Nation or NATO Civil or Mili- tary Body authorising access to NATO Classified Information.

15. All individuals who are authorised ac- cess to, or are required to handle NATO Classified Information, shall initially be made aware, and periodically reminded of the threats to security arising from but not limited to the following:

(a) personal conduct outside the office, including activity on social media;

(b) indiscreet conversations with individ- uals without the need-to-know;

(d) cyber threats;

(e) their relationship with the media; and

(f) the threat presented by the activities of intelligence services which target NATO and its Nations.

16. Individuals shall report immediately to the appropriate security authorities any ap- proach or manoeuvre which they consider suspicious or unusual.

LIITE D C-M(2002)49-REV1

LIITE D TOIMITILATURVALLISUUS

JOHDANTO

1. Tässä liitteessä esitetään periaatteet ja vä- himmäisvaatimukset, jotka koskevat fyysisiä turvallisuustoimenpiteitä Naton turvallisuus- luokitellun tiedon suojaamiseksi. Lisätietoja ja vaatimuksia löytyy Naton turvallisuus- sääntöjä tukevasta toimitilaturvallisuutta koskevasta direktiivistä (AC/35-D/2001).

2. Toimitilaturvallisuudella tarkoitetaan fyy- sisten suojatoimenpiteiden toteuttamista kohteissa, rakennuksissa, tiloissa tai laitteis- toissa, joissa on turvallisuusluokiteltua tie- toa, jota on suojeltava katoamiselta tai vaa- rantumiselta.

3. Naton jäsenvaltioiden ja Naton siviili- ja sotilaselinten on laadittava aktiivisia ja pas- siivisia turvallisuustoimenpiteitä sisältävät toimitilaturvallisuuden ohjelmat, joilla saa- vutetaan yhteinen toimitilaturvallisuuden taso, joka vastaa suojattavan tiedon uhkista, haavoittuvuuksista, turvallisuusluokituksesta ja määrästä tehtyä arviota.

TURVALLISUUSVAATIMUKSET

4. Kaikki kohteet, rakennukset, tilat, toimis- tot, huoneet ja muut alueet, joissa Naton tur- vallisuusluokiteltua tietoa säilytetään ja/tai käsitellään ja/tai joissa siitä keskustellaan, on suojattava asianmukaisin fyysisin turval- lisuustoimenpitein. Tarvittavasta toimitila- turvallisuuden suojauksen tasosta päätettä- essä on otettava huomioon kaikki siihen vai- kuttavat tekijät, kuten:

(a) turvallisuusluokituksen taso ja tieto- luokka;

(b) säilytettävän ja/tai käsiteltävän turval- lisuusluokitellun tiedon määrä ja muoto (paperi- ja/tai sähköinen muoto);

ENCLOSURE “D”

C-M(2002)49-REV1

ENCLOSURE “D”

PHYSICAL SECURITY

INTRODUCTION

1. This Enclosure sets out the policy and minimum standards for physical security measures for the protection of NATO Clas- sified Information. Additional details and re- quirements are found in the supporting Di- rective on Physical Security (AC/35- D/2001).

2. Physical security is the application of physical protective measures to sites, build- ings, facilities or installations that contain classified information requiring protection against loss or compromise.

3. NATO Nations and NATO Civil and Mil- itary bodies shall establish physical security programmes, consisting of active and pas- sive security measures, to provide a com- mon degree of physical security consistent with the assessment of the threats, vulnera- bilities, security classification and quantity of the information to be protected.

SECURITY REQUIREMENTS

4. All sites, buildings, facilities, offices, rooms, and other areas in which NATO Classified Information is stored, handled and/or discussed shall be protected by ap- propriate physical security measures. In de- ciding what degree of physical security pro- tection is necessary, account shall be taken of all relevant factors, such as:

(a) the level of security classification and category of information;

(b) the quantity and form of the classified information (hard copy, and/or elec- tronic) stored, and/or handled;

(d) Natoon ja/tai Naton jäsenvaltioihin kohdistuvasta vihamielisestä tiedustelutoi- minnasta aiheutuva uhka sekä paikallisesti arvioitu terrorismin, vakoilun, sabotaasin, kumouksellisen toiminnan ja (järjestäyty- neen) rikollisuuden uhka; ja

(e) turvallisuusluokitellun tiedon tallen- nustavat (esimerkiksi paperiasiakirja tai sähköinen ja salattu).

5. Fyysisten turvallisuustoimenpiteiden tar- koituksena on:

(a) estää tunkeutuminen salaa tai väkisin;

(b) ehkäistä, estää ja havaita sisäpiiriuhkan toimet;

(c) mahdollistaa Naton turvallisuusluoki- teltuun tietoon pääsevän henkilöstön erot- telu sen perusteella, minkä tasoinen henki- löturvallisuusselvitystodistus heillä on ja mikä heidän tiedonsaantitarpeensa on; ja

(d) havaita kaikki tietoturvapoikkeamat ja ryhtyä niiden osalta tarvittaviin toimenpi- teisiin mahdollisimman nopeasti.

TOIMITILATURVALLISUUTTA KOS- KEVAT YLEISET VAATIMUKSET

6. Fyysiset toimenpiteet ovat vain osa suo- jaavaa turvallisuutta, ja niitä tukemassa on oltava vakaat henkilöstöturvallisuuden, tie- toturvallisuuden ja viestintä- ja tietojärjestel- mien turvallisuustoimenpiteet. Turvallisuus- riskien järkevään hallintaan kuuluu, että luo- daan oikeasuhteisimmat, tehokkaimmat ja kustannusvaikuttavimmat keinot torjua uh- kia ja kompensoida haavoittuvuuksia näiden alojen suojatoimenpiteitä yhdistäen. Tehok- kuus ja kustannusvaikuttavuus saavutetaan parhaiten määrittelemällä toimitilaturvalli- suuden vaatimukset osana tilojen suunnitte- lua ja rakentamista, mikä vähentää kalliiden peruskorjausten tarvetta.

7. Toimitilaturvallisuuden ohjelmien on pe- rustuttava syvyyssuuntaisen turvallisuuden periaatteeseen, ja niissä on käytettävä asian- mukaista yhdistelmää täydentäviä fyysisiä

(d) the threat from hostile intelligence services which target NATO and/or its member Nations, and the locally-assessed threat of terrorism, espionage, sabotage, subversion and (organized) crime; and

(e) how the classified information will be stored (e.g. hard copy or electronic and encrypted).

5. Physical security measures shall be de- signed to:

(a) deny surreptitious or forced entry by an intruder;

(b) xxxxx, impede and detect actions from the insider threat;

(c) allow for segregation of personnel in their access to NATO Classified Infor- mation in accordance with their level of Personnel Security Clearance (PSC) and the need-to-know principle; and

(d) detect and act upon all security inci- dents as soon as possible.

GENERAL PHYSICAL SECURITY RE- QUIREMENTS

6. Physical measures represent only one as- pect of protective security and shall be sup- ported by sound personnel security, security of information, and Communication and In- formation Systems (CIS) security measures. Sensible management of security risks will involve establishing the most proportionate, efficient and cost-effective methods of countering the threats and compensating for vulnerabilities by a combination of protec- tive measures from these domains. Such ef- ficiency and cost-effectiveness is best achieved by defining physical security re- quirements as part of the planning and de- sign of facilities, thereby reducing the need for costly renovations.

7. Physical security programmes shall be based on the principle of “defence in depth”, using an appropriate combination of com- plementary physical security measures

turvallisuustoimenpiteitä, jotka tarjoavat sel- laisen suojan tason, joka täyttää organisaa- tion ja sen tietojen kriittisyyteen ja haavoit- tuvuuteen liittyvät vaatimukset.

8. Vaikka fyysiset turvallisuustoimenpiteet ovat kohdekohtaisia ja ne perustuvat useisiin tekijöihin, niiden tulee noudattaa seuraavia yleisiä periaatteita:

(a) ensin on tunnistettava suojattavat re- surssit. Tämän jälkeen luodaan kerroksel- lisia turvallisuustoimenpiteitä, joilla ra- kennetaan syvyyssuuntainen turvallisuus ja viivyttävät tekijät;

(b) uloimmat fyysiset turvallisuustoimen- piteet rajaavat suojatun alueen ja estävät luvattoman pääsyn;

(d) sisin toimenpiteiden taso viivyttää tun- keilijoita niin kauan, että vartiointihenki- löstö voi heidät pidättää. Näin ollen varti- joiden vasteaika ja tunkeilijoiden viivyttä- miseen suunnitellut fyysiset turvallisuus- toimenpiteet liittyvät toisiinsa.

9. Fyysisen turvallisuuden laitteet (kuten ka- meravalvonta, tunkeutumisen ilmaisujärjes- telmä, turvakaapit) on huollettava säännölli- sesti tai erityisestä syystä sen varmista- miseksi, että ne toimivat parhaalla mahdolli- sella tavalla. Yksittäisten turvallisuustoi- menpiteiden tehokkuutta sekä koko turvalli- suusjärjestelmää on myös tarpeen arvioida määräajoin uudelleen. Tämä on erityisen tär- keää, jos kohteen käytössä tai erityisissä tur- vallisuusjärjestelmän osissa tapahtuu muu- toksia. Tämä voidaan saavuttaa turvallisuus- suunnitelmien säännöllisellä harjoittelulla.

Turva-alueet

10. Pysyvät tai tilapäiset alueet, joilla turval- lisuusluokkaan NATO CONFIDENTIAL tai sitä ylempiin turvallisuusluokkiin kuuluvaa tietoa säilytetään tai käsitellään tai joissa siitä keskustellaan, on järjestettävä ja jäsen- nettävä siten, että ne vastaavat jotakin seu- raavista:

which provide a degree of protection meet- ing the requirements associated with the criticality and vulnerability of the organiza- tion and its information.

8. Although physical security measures are site-specific, and determined by a number of factors, the following general principles shall apply:

(a) it is first necessary to identify the as- sets that require protection. This is fol- lowed by the creation of layered security measures to provide “defence in depth” and delaying factors;

(b) the outermost physical security measures shall define the protected area and deter unauthorised access;

(d) the innermost layer of measures shall sufficiently delay intruders until they can be detained by the guard force. Conse- quently, there is an interrelationship be- tween the reaction time of the guard force and the physical security measures de- signed to delay intruders.

9. Equipment that provides physical security (e.g. CCTV, IDS, secure cabinets) shall be maintained regularly or in response to a spe- cific cause to ensure that it operates at opti- mum performance. It is also necessary to pe- riodically re-evaluate the effectiveness of in- dividual security measures as well as the complete security system. This is particu- larly important if there is a change in use of the site or specific elements of the security system. This can be achieved by regularly exercising security plans.

Security Areas

10. Areas, either fixed or temporary, in which information classified NATO CON- FIDENTIAL (NC) and above is stored, han- dled and/or discussed shall be organised and structured so as to correspond to one of the following:

(a) Naton luokan I turva-alue: erityisen arkaluonteinen alue, jossa turvallisuus- luokkaan NATO CONFIDENTIAL ja sitä ylempiin turvallisuusluokkiin kuuluvaa tietoa säilytetään ja/tai käsitellään ja/tai siitä keskustellaan siten, että alueelle tulo merkitsee käytännössä Naton turvallisuus- luokiteltuun tietoon pääsyä, jolloin luva- ton tulo alueelle olisi tietoturvaloukkaus.

Tällaisia alueita voivat olla operaatiotilat, viestintäkeskukset tai arkistotilat, ja niissä täytyy olla:

(i) selkeästi määritetyt ja suojatut rajat, joilla valvotaan kaikkea kulkua sisään ja ulos;

(ii) kulunvalvontajärjestelmä, joka pääs- tää alueelle vain henkilöt, joilla on asian- mukainen turvallisuusselvitys ja erityi- nen lupa1 tulla alueelle;

(iii) määrittely turvallisuusluokituksen tasosta ja alueella tavanomaisesti säily- tettävän tiedon luokasta eli siitä tiedosta, johon alueelle tulo antaa pääsyn; ja

(iv) selkeä maininta siitä, että alueelle tulo vaatii paikallisen turvallisuusviran- omaisen erityisen luvan. Tämä maininta voi sisältää tiedon turvallisuusluokituk- sen tasosta ja/tai alueen arkaluonteisuu- desta.

(b) Naton luokan II turva-alue: alue, jolla turvallisuusluokkaan NATO CONFI- DENTIAL ja sitä ylempiin turvallisuus- luokkiin kuuluvaa tietoa säilytetään ja/tai käsitellään ja/tai siitä keskustellaan siten, että ulkopuolisten henkilöiden pääsy tie- toon voidaan estää sisäisesti perustetuin valvontajärjestelmin.

(a) NATO Class I Security Area: a par- ticularly sensitive area in which infor- mation classified NC and above is stored, handled and/or discussed in such a way that entry into the area constitutes, for all practical purposes, access to NATO Clas- sified Information and therefore unau- thorised entry would constitute a Security Breach.

Such areas may include operations rooms, communications centres or ar- chive facilities and require:

(i) a clearly defined and protected pe- rimeter through which all entry and exit is controlled;

(ii) an entry control system which grants access only to those individuals appropriately cleared and specifically authorised1 to enter the area;

(iii) a determination of the level of se- curity classification and the category of the information normally held in the area, i.e. the information to which entry gives access; and

(iv) a clear indication that entrance into such areas requires specific authoriza- tion by the local security authority. This indication may include the level of se- curity classification and/or the sensitiv- ity of the area.

(b) NATO Class II Security Area: an area in which information classified NC and above is stored, handled and/or dis- cussed in such a way that it can be pro- tected from access by unauthorised indi- viduals through utilizing controls estab- lished internally.

1 Erityisen luvan haltijoilla tarkoitetaan henkilöstöä, joilla on muodollisesti tunnustettu tiedonsaantitarve ja pääsy tietoon työtehtäviensä luonteen perusteella ja jotka ovat kulunvalvontalistalla, sekä henkilöitä, jotka kyseessä olevan organisaation päällikkö on tapauskohtaisesti muodollisesti valtuuttanut suorittamaan tiettyä tehtävää.

1 Specifically authorised refers to those personnel who have been formally recognised as having a need-to-know and access based on the nature of their employment responsibilities, and are included on an access control list, as well as individuals who have been formally authorised by the head of the organization in question on an ad hoc basis to perform a specific role or duty.

Tällaisia alueita voivat olla työskentelyti- lat tai neuvotteluhuoneet, joissa Naton tur- vallisuusluokiteltua tietoa säilytetään, ja/tai käsitellään ja/tai siitä keskustellaan. Näillä alueilla täytyy olla:

(i) selkeästi määritetyt ja suojatut rajat, joilla valvotaan kaikkea kulkua sisään ja ulos;

(ii) kulunvalvontajärjestelmä, joka pääs- tää alueelle ilman saattajaa vain henkilöt, joilla on asianmukainen turvallisuussel- vitys ja lupa tulla alueelle; ja

(iii) saattaja tai vastaava valvontameka- nismi, jonka avulla järjestetään sellaisten henkilöiden kulku, jotka eivät täytä edellä b) ii) alakohdassa kuvattuja perus- teita, jotta voidaan estää luvaton pääsy Naton turvallisuusluokiteltuun tietoon ja hallitsematon pääsy alueille, jotka on ni- menomaisesti nimetty teknisiltä hyök- käyksiltä ja salakuuntelulta suojatuiksi alueiksi.

Hallinnollinen vyöhyke

11. Naton luokan I tai II turva-alueiden ym- pärille tai niille johtavalle alueelle on perus- tettava hallinnollinen vyöhyke. Hallinnolli- silla vyöhykkeillä sallitaan vain turvallisuus- luokkaan NATO RESTRICTED kuuluvan tiedon säilyttäminen ja/tai käsittely ja/tai siitä keskusteleminen. Tällaisilla alueilla on oltava selkeästi määritetyt näkyvät rajat, joilla on mahdollisuus tarkastaa henkilöt ja ajoneuvot. Henkilöt eivät kuitenkaan tar- vitse saattajaa.

Teknisesti suojatut turva-alueet

12. Teknisesti suojatut turva-alueet ovat joko pysyviä tai tilapäisiä alueita, jotka on nimenomaisesti tunnistettu teknisiltä hyök- käyksiltä ja salakuuntelulta suojattaviksi alueiksi. Tällaisilla alueilla on tehtävä sään- nöllisiä fyysisiä ja teknisiä tarkastuksia, ja niille kulkua on valvottava tarkasti. Tekni- siltä hyökkäyksiltä ja salakuuntelulta on suojauduttava seuraavilla toimenpiteillä:

Such areas may include working offices or meeting rooms where NATO Classi- fied Information is stored, handled and/or discussed. These areas require:

(i) a clearly defined and protected pe- rimeter through which all entry and exit is controlled;

(ii) an entry control system which per- mits unescorted access only to those in- dividuals who are security cleared and authorised to enter the area; and

(iii) an escort or equivalent control mechanism to deal with those individu- als who do not meet the criteria de- scribed in sub-paragraph (b) (ii) above in order to prevent unauthorised access to NATO Classified Information and uncontrolled entry to areas which have been specifically designated as pro- tected against technical attacks and eavesdropping.

Administrative Zone

11. An Administrative Zone shall be estab- lished around or leading to NATO Class I or Class II Security Areas. Only information classified NATO RESTRICTED (NR) may be stored, handled and/or discussed in Ad- ministrative Zones. Such areas require a vis- ibly defined perimeter, within which the possibility exists for the control of individu- als and vehicles. However, individuals are not required to be escorted.

Technically Secure Areas

12. Technically Secure Areas, either fixed or temporary, are areas which have been spe- cifically identified as requiring protection against technical attacks and eavesdropping. Such areas shall be subject to regular physi- cal and technical inspections and entry to them shall be strictly controlled. The follow- ing measures shall be applied to protect against technical attacks and eavesdropping:

(a) Asianmukainen fyysisten ja teknisten turvallisuustoimenpiteiden taso kulunval- vonnan toteuttamiseksi riskiin perustuen. Riskin määrittämisen vastuun jakavat asi- anmukaiset tekniset asiantuntijat sekä tur- vallisuusviranomainen, joka neuvoo riskin omistajaa päätöksentekoon tai hyväksymi- seen liittyen.

(b) Tällaiset alueet on lukittava ja/tai niitä on vartioitava silloin, kun niitä ei käytetä, ja kaikkia avaimia tulee käsitellä turva- avaimina. Alueella on tehtävä säännöllisiä fyysisiä ja/tai teknisiä tarkastuksia asian- mukaisen turvallisuusviranomaisen vaati- musten mukaisesti. Tarkastuksia on teh- tävä myös luvattoman alueelle tulon tai sen epäilyn jälkeen sekä ulkopuolisen hen- kilöstön (esimerkiksi huoltotöiden tai re- montin vuoksi) alueelle tulon jälkeen.

(c) Näille alueille ei saa tuoda mitään esi- neitä, kalusteita tai laitteita ennen kuin koulutettu turvallisuushenkilöstö on tutki- nut ne salakuuntelulaitteiden varalta. Kai- kista alueelle tuoduista tai viedyistä esi- neistä, kalusteista ja laitteista on pidettävä asianmukaista luetteloa.

(d) Alueilla ei saa olla tallentavia ja/tai lä- hettäviä elektronisia järjestelmiä tai lait- teita.

(e) Alueille ei yleensä saa asentaa puheli- mia ja muita videoneuvottelulaitteita. Jos niiden asentaminen kuitenkin on välttämä- töntä, ne tulee irrottaa verkosta, kun ti- lassa keskustellaan turvallisuusluokitel- luista asioista. Tämä ei koske asianmukai- sesti asennettuja ja hyväksyttyjä viestintä- välineitä.

ERITYISET FYYSISET TURVALLI- SUUSTOIMENPITEET

13. Erilaiset erityiset fyysiset ja tekniset tur- vallisuustoimenpiteet ja -menettelyt voivat edistää organisaation tai kohteen turvalli- suuskehystä. Tällaisiin toimiin ja menette- lyihin kuuluvat muun muassa: rajattu-alue, tunkeutumisen ilmaisujärjestelmä, kulunval-

(a) Appropriate level of physical and technical security measures to enforce ac- cess control, based upon the risk. The re- sponsibility for determining the risk is shared between the appropriate technical specialists and the security authority which provides advice to the risk owner for a decision/approval.

(b) Such areas shall be locked and/or guarded when not occupied and any keys shall be treated as security keys. Regular physical and/or technical inspections, in accordance with the requirements of the appropriate security authority, shall be undertaken. Such inspections shall also be conducted following any unauthorised entry or suspicion thereof, as well as fol- lowing the entry by external personnel (e.g. for the purposes of maintenance work, redecoration).

(c) No item, furnishing or equipment shall be allowed into these areas until they have been thoroughly examined for eavesdropping devices by trained secu- rity staff. An appropriate record of items, furnishing and equipment moved into and out of these areas shall be maintained.

(d) The presence of any electronic sys- tems or devices with recording and/or transmitting capabilities shall be prohib- ited.

(e) Telephones and other video confer- ence devices shall normally not be in- stalled in such areas. However, where their installation is unavoidable, they shall be physically disconnected when classified discussions take place. This does not apply to appropriately installed and approved communication devices.

SPECIFIC PHYSICAL SECURITY MEASURES

13. Various specific physical and technical security measures and procedures can con- tribute to the security framework of an or- ganization or site. Such measures and proce- dures include but are not limited to: Perime- ter, Intrusion Detection System (IDS), Ac-

vonta, kameravalvonta, turvavalaistus, tur- vakaapit ja toimistokalusteet, lukot, avainten ja numeroyhdistelmien valvonta, vierailija- hallinta, sisään- ja ulostulotarkastukset. Tar- kempia tietoja erityisistä fyysisistä ja tekni- sistä turvallisuustoimenpiteistä ja -menette- lyistä on Naton turvallisuussääntöjä tuke- vassa toimitilaturvallisuutta koskevassa di- rektiivissä.

NATON TURVALLISUUSLUOKITEL- LUN TIEDON SÄILYTTÄMISEN VÄ- HIMMÄISVAATIMUKSET

14. Naton turvallisuusluokiteltua tietoa on säilytettävä alueilla, turvakaapeissa ja/tai toimistokalusteissa, jotka on suunniteltu es- tämään ja havaitsemaan luvattoman pääsyn tietoon.

15. COSMIC TOP SECRET (CTS). Tur- vallisuusluokkaan COSMIC TOP SECRET kuuluva tieto on säilytettävä luokan I tai II turva-alueella noudattaen jotain seuraavista ehdoista:

(a) hyväksytyssä turvakaapissa soveltaen ainakin yhtä seuraavista lisävalvontakei- noista:

(i) jatkuva suojaus turvallisuusselvitetyn vartiointihenkilöstön tai päivystyshenki- löstön toimesta;

(ii) turvakaapin tarkastus vähintään kah- den tunnin välein satunnaisin väliajoin turvallisuusselvitetyn vartiointihenkilös- tön tai päivystyshenkilöstön toimesta; tai

(iii) hyväksytty tunkeutumisen ilmai- sujärjestelmä ja hälytyksiin vastaava tur- vallisuushenkilöstö, joka hälytyksen saa- tuaan saapuu paikalle siinä ajassa, jonka arvioidaan kuluvan turvakaapin poista- miseen tai murtamiseen tai käytössä ole- vien fyysisten turvallisuustoimenpitei- den nujertamiseen;

(b) toimitilaturvallisuutta koskevan direk- tiivin vaatimusten mukaisesti rakennetulla avoimella varastoalueella, jossa on tun- keutumisen ilmaisujärjestelmä sekä häly- tyksiin vastaava turvallisuushenkilöstö, joka hälytyksen saatuaan saapuu paikalle

cess Control, Closed Circuit Television, Se- curity Lighting, Secure Cabinets and Office Furniture, Locks, Control of Keys and Combinations, Visitor Control, Entry and Exit Searches. The supporting Directive on Physical Security provides detailed infor- mation on specific physical and technical se- curity measures and procedures.

MINIMUM STANDARDS FOR STOR- AGE OF NATO CLASSIFIED INFOR- MATION

14. NATO Classified Information shall be stored in areas, secure cabinets and/or office furniture designed to deter and detect unau- thorised access to the information.

15. COSMIC TOP SECRET (CTS). Infor- mation classified CTS shall be stored within a Class I or Class II Security Area under one of the following conditions:

(a) in an approved secure cabinet with one of the following supplemental con- trols:

(i) continuous protection by cleared guard or duty personnel;

(ii) inspection of the secure cabinet not less than every two hours, at randomly timed intervals, by cleared guard or duty personnel; or

(iii) an approved IDS in combination with a response force that will, after an alarm annunciation, arrive at the loca- tion within the estimated timeframe needed to remove or break open the se- cure cabinet, or overcome the physical security measures in place;

(b) in an open storage area constructed in accordance with the requirements set out in the supporting Directive on Physical Secu- rity, which is equipped with an IDS in combination with a response force that will, after an alarm annunciation, arrive at the

siinä ajassa, jonka arvioidaan kuluvan alu- eelle väkisin tunkeutumiseen; tai

(c) tunkeutumisen ilmaisujärjestelmällä varustetussa kassaholvissa, jonka lisäksi on oltava hälytyksiin vastaava turvalli- suushenkilöstö, joka hälytyksen saatuaan saapuu paikalle siinä ajassa, jonka arvioi- daan kuluvan kassaholviin väkisin tunkeu- tumiseen.

16. NATO SECRET (NS). Turvallisuus- luokkaan NATO SECRET kuuluva tieto on säilytettävä luokan I tai II turva-alueella jol- lakin seuraavalla tavalla:

(a) siten kuin turvallisuusluokkaan COS- MIC TOP SECRET kuuluvan tiedon säi- lyttämisestä on määrätty;

(b) hyväksytyssä turvakaapissa tai kassa- holvissa ilman lisävalvontakeinoja; tai

(i) avoimen varastoalueen sijoitustilaa suojaa jatkuvasti turvallisuusselvitetty vartiointihenkilöstö tai päivystyshenki- löstö;

(ii) turvallisuusselvitetty vartiointihenki- löstö tai päivystyshenkilöstö tarkastaa avoimen varastoalueen vähintään kerran neljän tunnin välein; tai

(iii) tunkeutumisen ilmaisujärjestelmä, jonka lisäksi on oltava hälytyksiin vas- taava turvallisuushenkilöstö, joka häly- tyksen saatuaan saapuu paikalle siinä ajassa, jonka arvioidaan kuluvan alueelle väkisin tunkeutumiseen.

17. NATO CONFIDENTIAL (NC). Tur- vallisuusluokkaan NATO CONFIDENTAL kuuluva tieto on säilytettävä luokan I tai II turva-alueella hyväksytyssä turvakaapissa.

18. NATO RESTRICTED (NR). Turvalli- suusluokkaan NATO RESTRICTED kuu- luva tieto on säilytettävä lukitussa kaapissa tai toimistokalusteessa (esimerkiksi toimis- topöydän laatikossa) hallinnollisella vyö- hykkeellä, luokan I turva-alueella tai luokan

location within the estimated timeframe needed for forced entry; or

(c) in an IDS-equipped vault in combination with a response force that will, after an alarm annunciation, arrive at the location within the estimated timeframe needed for forced entry.

16. NATO SECRET (NS). Information classified NS shall be stored within a Class I or Class II Security Area by one of the fol- lowing methods:

(a) in the same manner as prescribed for information classified CTS;

(b) in an approved secure cabinet or vault without supplemental controls; or

(i) the location that houses the open storage area shall be subject to continu- ous protection by cleared guard or duty personnel;

(ii) cleared guard or duty personnel shall inspect the open storage area not less than once every four hours; or

(iii) an IDS in combination with a re- sponse force that will, after an alarm annunciation, arrive at the location within the estimated timeframe needed for forced entry.

17. NATO CONFIDENTIAL (NC). Infor- mation classified NC shall be stored in a Class I or Class II Security Area in an ap- proved secure cabinet.

18. NATO RESTRICTED (NR). Infor- mation classified NR shall be stored in a locked cabinet or office furniture (e.g. office desk drawer) within an Administrative

II turva-alueella. Turvallisuusluokkaan NATO RESTRICTED kuuluvaa tietoa voi- daan säilyttää myös lukitussa kaapissa, kas- saholvissa tai avoimella varastoalueella, joka on hyväksytty turvallisuusluokkaan NATO CONFIDENTIAL tai sitä ylempään turvallisuusluokkaan kuuluvan tiedon säilyt- tämiseen.

19. Lisätietoja ja -vaatimuksia Naton turval- lisuusluokitellun tiedon säilyttämisestä an- netaan Naton turvallisuussääntöjä tukevassa toimitilaturvallisuutta koskevassa direktii- vissä.

VIESTINTÄ- JA TIETOJÄRJESTEL- MIEN FYYSINEN SUOJAAMINEN

20. Alueet, joilla Naton turvallisuusluokitel- tua tietoa esitetään tai käsitellään tietotek- niikkaa käyttäen, tai joilla on mahdollista päästä sellaiseen tietoon, on perustettava niin, että luottamuksellisuuden, eheyden ja käytettävyyden kokonaisvaatimus täyttyy.

21. Alueet, joilla viestintä- ja tietojärjestel- miä käytetään turvallisuusluokkaan NATO CONFIDENTIAL tai sitä ylempiin turvalli- suusluokkiin kuuluvan tiedon näyttämiseen, tallentamiseen, käsittelyyn tai siirtämiseen tai joissa on mahdollista päästä sellaiseen tietoon, on perustettava Naton luokan I tai II turva-alueena tai vastaavan kansallisen tason alueena. Alueet, joilla viestintä- ja tietojär- jestelmiä käytetään turvallisuusluokkaan NATO RESTRICTED kuuluvan tiedon näyttämiseen, tallentamiseen, käsittelyyn tai siirtämiseen tai joilla on mahdollista päästä sellaiseen tietoon, voidaan perustaa hallin- nollisina vyöhykkeinä.

22. Pääsyä alueille, joilla säilytetään ja halli- taan kriittisiä viestintä- ja tietojärjestelmien osia, on nimenomaisesti valvottava, ja pääsy on rajoitettava koskemaan vain sellaista tur- vallisuuteen ja järjestelmä-/verkko-/salaus- hallintaan liittyvää henkilöstöä, jolla on lupa olla alueella.

Zone, Class I Security Area, or Class II Se- curity Area. Information classified NR may also be stored in a locked cabinet, vault, or open storage area approved for information classified NC or higher.

19. Additional details and requirements for the storage of NATO Classified Information are set out in the supporting Directive on Physical Security.

PHYSICAL PROTECTION OF COM- MUNICATION AND INFORMATION SYSTEMS

20. Areas in which NATO Classified Infor- mation is presented or handled using infor- mation technology, or where potential ac- cess to such information is possible, shall be established in a way that the aggregate re- quirement for confidentiality, integrity and availability is met.

21. Areas in which CIS are used to display, store, process, or transmit information clas- sified NC and above, or where potential ac- cess to such information is possible, shall be established as NATO Class I or Class II Se- curity Areas or the national equivalent. Ar- eas in which CIS are used to display, store, process or transmit information classified NR, or where potential access to such infor- mation is possible, may be established as Administrative Zones.

22. Access to areas where critical CIS com- ponents are housed and managed shall be specifically controlled and limited to only authorised personnel associated with secu- rity and system/network/crypto administra- tion.

SUOJAAMINEN TEKNISILTÄ HYÖK- KÄYKSILTÄ

23. Työskentelytilat tai alueet, joissa sään- nöllisesti keskustellaan turvallisuusluokkaan NATO SECRET tai sitä ylempiin turvalli- suusluokkiin kuuluvasta tiedosta, on suojat- tava passiivisia ja aktiivisia salakuuntelu- hyökkäyksiä vastaan luotettavilla fyysisillä turvallisuustoimenpiteillä ja kulunvalvon- nalla, kun riski sitä edellyttää. Vastuu riskin määrittämisestä tulee koordinoida teknisten asiantuntijoiden kanssa, ja siitä päättää asi- anmukainen turvallisuusviranomainen. Lisä- tietoja passiiviselta ja aktiiviselta salakuun- telulta suojautumisesta on Naton turvalli- suussääntöjä tukevassa toimitilaturvalli- suutta koskevassa direktiivissä.

HYVÄKSYTYT LAITTEET

24. Naton jäsenvaltioiden tulee käyttää vain sellaisia laitteita, jotka asianmukainen tur- vallisuusviranomainen on hyväksynyt Naton turvallisuusluokitellun tiedon suojaamiseen. Naton siviili- ja sotilaselinten on varmistet- tava, että hankitut laitteet on hyväksytty käyttöön vastaavissa olosuhteissa jossakin Naton jäsenvaltiossa. Naton siviili- ja soti- laselimet voivat myös hankkia asianmukai- sen turvallisuusviranomaisen käyttöön hy- väksymiä laitteita, kun hankinta perustuu tehtyyn riskinarviointiin, joka tukee tunnis- tetun riskin tai tunnistettujen riskien vähen- tämistä tai lieventämistä.

PROTECTION AGAINST TECHNICAL ATTACKS

23. Offices or areas in which information classified NS and above is regularly dis- cussed shall be protected against passive and active eavesdropping attacks, by means of sound physical security measures and access control, where the risk warrants it. The re- sponsibility for determining the risk shall be co-ordinated with technical specialists and decided by the appropriate security author- ity. The supporting Directive on Physical Security provides details on protection against passive and active eavesdropping.

APPROVED EQUIPMENT

24. NATO Nations shall only use equipment which has been approved for the protection of NATO Classified Information by an ap- propriate security authority. NATO Civil and Military bodies shall ensure that any equipment purchased has been approved for use by one of the NATO Nations in similar conditions. NATO Civil and Military bodies may also purchase equipment approved for use by an appropriate security authority based on a completed risk assessment that supports the reduction or mitigation of the identified risk(s).

LIITE E C-M(2002)49-REV1

LIITE E

NATON TURVALLISUUSLUOKITEL- LUN TIEDON TURVALLISUUS

JOHDANTO

1. Tässä liitteessä esitetään Naton turvalli- suusluokitellun tiedon turvallisuutta koske- vat periaatteet ja vähimmäisvaatimukset. Li- sätietoja ja -vaatimuksia on Naton turvalli- suussääntöjä tukevassa direktiivissä Naton turvallisuusluokitellun tiedon turvallisuu- desta (AC/35-D/2002).

2. Tietoturvallisuus on yleisten suojaustoi- menpiteiden ja -menettelyjen soveltamista turvallisuusluokitellun tiedon katoamisen tai vaarantumisen estämiseksi, sekä katoamisen tai vaarantumisen havaitsemiseksi ja korjaa- miseksi. Turvallisuusluokiteltua tietoa on suojattava koko sen elinkaaren ajan sen tur- vallisuusluokan mukaisella tasolla. Tietoa hallittaessa varmistetaan, että se on asian- mukaisesti luokiteltu, selvästi määritetty tur- vallisuusluokitelluksi ja pysyy turvallisuus- luokiteltuna ainoastaan niin kauan kuin tämä on tarpeen. Tietoturvallisuutta täydennetään henkilöstöturvallisuudella, toimitilaturvalli- suudella sekä viestintä- ja tietojärjestelmien turvallisuudella, jotta varmistetaan tasapai- noinen toimenpiteiden kokonaisuus Naton turvallisuusluokitellun tiedon suojaamiseksi.

NATON TURVALLISUUSLUOKAT, ERITYISET TUNNUKSET, MERKIN- NÄT JA YLEISET PERIAATTEET

3. Alkuperäinen luovuttaja vastaa turvalli- suusluokitellun tiedon turvallisuusluokan määrittämisestä ja tiedon alustavasta jake- lusta.

4. Turvallisuusluokkaa ei saa vaihtaa eikä alentaa eikä turvallisuusluokitusta saa pois- taa ilman alkuperäisen luovuttajan suostu- musta. Turvallisuusluokkaa määrittäessään alkuperäinen luovuttaja ilmoittaa mahdolli- suuksien mukaan, voidaanko sitä alentaa tai

ENCLOSURE “E”

C-M(2002)49-REV1

ENCLOSURE “E”

SECURITY OF NATO CLASSIFIED IN- FORMATION

INTRODUCTION

1. This Enclosure sets out the policy and minimum standards for the security of NATO Classified Information. Additional details and requirements are found in the supporting Directive on the Security of NATO Classified Information (AC/35- D/2002).

2. Security of information is the application of general protective measures and proce- dures to prevent, detect and recover from the loss or compromise of classified infor- mation. Classified information shall be pro- tected throughout its life cycle to a level commensurate with its security classifica- tion. It shall be managed to ensure that it is appropriately classified, is clearly identified as classified and remains classified only as long as this is necessary. Security of infor- mation shall be complemented by Personnel, Physical and Communication and Infor- mation Systems (CIS) Security in order to ensure a balanced set of measures for the protection of NATO Classified Information.

NATO SECURITY CLASSIFICA- TIONS, SPECIAL DESIGNATORS, MARKINGS AND GENERAL PRINCIPLES

3. The originator is responsible for deter- mining the security classification and initial dissemination of classified information.

4. The security classification shall not be changed, downgraded or declassified with- out the consent of the originator. At the time of its creation, the originator shall indicate,

voidaanko tiedon luokitus poistaa tiettynä ajankohtana tai tietyn tapahtuman jälkeen.

5. Tiedolle annettu turvallisuusluokka mää- rää sen, minkälaisella toimitilaturvallisuu- della ja viestintä- ja tietojärjestelmien tur- vallisuudella tietoa suojataan sitä säilytettä- essä, siirrettäessä, välitettäessä, jaettaessa ja hävitettäessä sekä minkälaista henkilöturval- lisuusselvitystodistusta pääsy kyseiseen tie- toon edellyttää. Siksi tosiasiallisen turvalli- suuden ja tehokkuuden vuoksi on vältettävä tiedon luokittelemista sekä liian korkeaan että liian alhaiseen turvallisuusluokkaan.

6. Turvallisuusluokat merkitään turvalli- suusluokiteltuun tietoon osoittamaan sitä va- hinkoa, joka Naton ja/tai sen jäsenvaltioiden turvallisuudelle voi aiheutua, jos tieto altis- tuu luvattomalle ilmitulolle. Turvallisuus- luokitellun tiedon alkuperäisellä luovutta- jalla on etuoikeus määrätä turvallisuus- luokka tai muuttaa sitä. Naton turvallisuus- luokat ja niiden merkitykset ovat seuraavat:

(a) COSMIC TOP SECRET (CTS) luvaton ilmitulo aiheuttaisi Natolle poik- keuksellisen vakavaa vahinkoa;

(b) NATO SECRET (NS)

luvaton ilmitulo aiheuttaisi Natolle vaka- vaa vahinkoa;

(d) NATO RESTRICTED (NR) luvaton ilmitulo haittaisi Naton etuja tai sen toiminnan tehokkuutta.

7. Naton turvallisuusluokat osoittavat Naton turvallisuusluokitellun tiedon arkaluontei- suuden, ja niitä sovelletaan tarkoituksena kiinnittää vastaanottajien huomio tarpeeseen varmistaa tiedon suojaaminen sen vahingon vakavuuden mukaan, joka luvattomasta pää- systä tietoon tai sen luvattomasta ilmitulosta aiheutuisi.

where possible, whether their classified in- formation can be downgraded or declassi- fied on a certain date or event.

5. The security classification assigned deter- mines the physical and CIS Security pro- vided to the information in storage, transfer and transmission, its circulation, destruction and the Personnel Security Clearance (PSC) required for access. Therefore, both over- classification and underclassification shall be avoided in the interests of effective secu- rity as well as efficiency.

6. Security classifications shall be applied to classified Information in order to indicate the possible damage to the security of NATO and/or its member Nations if the in- formation is subjected to unauthorised dis- closure. It is the prerogative of the originator of the classified information to determine or modify the security classification. NATO security classifications and their significance are:

(a) COSMIC TOP SECRET (CTS) unauthorised disclosure would result in exceptionally grave damage to NATO;

(b) NATO SECRET (NS) unauthorised disclosure would result in grave damage to NATO;

(d) NATO RESTRICTED (NR) unauthorised disclosure would be detri- mental to the interests or effectiveness of NATO.

7. NATO security classifications indicate the sensitivity of NATO Classified Infor- mation and are applied in order to alert re- cipients to the need to ensure protection in proportion to the degree of damage that would occur from unauthorised access or disclosure.

8. Ryhmään NATO UNCLASSIFIED kuu- luvaa tietoa ja julkista tietoa suojataan ja kä- sitellään Naton tiedonhallinnan periaatteiden (C-M(2007)0118) ja Naton turvallisuus- luokittelemattoman tiedon hallintaa koske- van asiakirjan (C-M(2002)60) mukaisesti.

9. Naton operaatioiden, koulutuksen, harjoi- tusten, transformaation ja yhteistyön (OTETC) suunnittelu, valmistelu, toteutta- minen ja tukeminen voi edellyttää myös tiet- tyjen muiden turvallisuusnäkökulmien huo- mioon ottamista; Naton turvallisuussääntöjä tukeva asiakirja tiedustelutiedon ja muun tiedon jakamisesta muiden kuin Natoon kuuluvien toimijoiden kanssa (AC/35- D/1040) sisältää näissä tilanteissa sovelletta- vat turvallisuusmääräykset ja -ohjeet.

10. Naton jäsenvaltiot ja Naton sotilas- ja si- viilielimet toteuttavat toimenpiteet, joilla varmistetaan, että Naton tuottamalle ja Na- tolle annettavalle turvallisuusluokitellulle tiedolle määritetään oikea turvallisuus- luokka ja että tämä tieto suojataan Naton turvallisuussääntöjä tukevan Naton turvalli- suusluokitellun tiedon turvallisuutta koske- van direktiivin vaatimusten mukaisesti.

11. Kukin Naton sotilas- ja siviilielin ottaa käyttöön järjestelmän, jonka avulla varmis- tetaan, että sen luovuttamaa turvallisuus- luokkaan COSMIC TOP SECRET luokitel- tua tietoa arvioidaan uudelleen vähintään viiden vuoden välein ja luokkaan NATO SECRET luokiteltua tietoa vähintään 10 vuoden välein tarkoituksena tarkistaa, onko turvallisuusluokkia edelleen sovellettava. Tätä arviointia ei tarvita, jos alkuperäinen luovuttaja on määrännyt ennalta, että tietyn Naton turvallisuusluokitellun tiedon turvalli- suusluokkaa alennetaan ilman eri toimenpi- teitä ennalta määrätyn ajan jälkeen, ja jos tämä on merkitty kyseiseen tietoon.

12. Koko asiakirjan turvallisuusluokan on oltava vähintään yhtä korkea kuin sen kor- keimmalle turvallisuusluokitellun osan luokka. Kansiasiakirjoihin on merkittävä niihin liitettyyn tietoon kokonaisuutena so-

8. NATO UNCLASSIFIED information and Information releasable to the Public shall be protected and handled in accordance with the NATO Information Management Policy (C-M(2007)0118) and The Management of Non-Classified NATO Information (C- M(2002)60).

9. The planning, preparation, execution and support relating to NATO Operations, Training, Exercises, Transformation and Co- operation (OTETC) may require specific ad- ditional security aspects to be addressed; the Supporting Document on Information and Intelligence Sharing with Non-NATO Enti- ties (AC/35-D/1040) contains security pro- visions and guidance applicable in these circumstances.

10. NATO Nations and NATO Civil and Military bodies shall introduce measures to ensure that classified information created by, or provided to NATO is assigned the correct security classification, and is pro- tected in accordance with the requirements of the supporting Directive on the Security of NATO Classified Information.

11. Each NATO Civil or Military Body shall establish a system to ensure that CTS infor- mation which it has originated is reviewed no less frequently than every five years and NS information no less frequently than every 10 years in order to ascertain whether the security classification still applies. Such a review is not necessary in those instances where the originator has predetermined

that specific NATO Classified Information shall be automatically downgraded after a predetermined period and the classified in- formation has been so marked.

12. The overall security classification of a document shall be at least as high as that of its most highly classified component. Cover- ing documents shall be marked with the overall NATO security classification of the

vellettava Naton turvallisuusluokka. Mah- dollisuuksien mukaan alkuperäisen luovutta- jan olisi asianmukaisesti merkittävä turvalli- suusluokkaan NATO RESTRICTED ja sitä ylempiin turvallisuusluokkiin luokiteltujen asiakirjojen osat, kuten kappaleet, liitteet, li- säykset jne., helpottaakseen päätöksiä asia- kirjojen jakelusta eteenpäin.

13. Kun suuri määrä Naton turvallisuus- luokiteltua tietoa kootaan yhteen, sen alku- peräiset turvallisuusluokitusmerkinnät on säilytettävä ja on arvioitava, miten tämän tietokokonaisuuden katoaminen tai vaaran- tuminen vaikuttaisi järjestöön. Jos tämä ko- konaisvaikutus arvioidaan suuremmaksi kuin kyseisten yksittäisten Naton turvalli- suusluokkien mukainen vaikutus, olisi har- kittava kyseisen tietokokonaisuuden käsitte- lemistä ja suojaamista sen turvallisuusluo- kan mukaisesti, joka vastaa sen katoamisen tai vaarantumisen arvioitua vaikutusta.

Lisämerkinnät

14. COSMIC ja NATO ovat Natoon viittaa- via merkintöjä, jotka Naton turvallisuus- luokiteltuun tietoon tehtyinä osoittavat, että tietoa on suojattava Naton turvallisuusperi- aatteiden mukaisesti.

Erityisluokkien tunnukset

15. "ATOMAL" on merkintä, joka tehdään erityisluokan tietoon osoittamaan, että tieto on suojattava Pohjois-Atlantin sopimuksen osapuolten välillä ydinpuolustustietoja kos- kevasta yhteistyöstä tehdyn sopimuksen (C- M(64)39) ja sitä tukevien hallinnollisten jär- jestelyjen (C-M(68)41) mukaisesti.

16. "SIOP" on merkintä, joka tehdään eri- tyisluokan tietoon osoittamaan, että tiedon suojaamisessa on noudatettava asiakirjaa C- M(71)27(Revised), joka koskee erityisme- nettelyjä Yhdysvaltojen yhteistä operaatio- suunnitelmaa (US-SIOP) koskevan tiedon käsittelemiseksi Natossa.

17. "CRYPTO" on merkintä ja erityisluokan tunnus, joka merkitään kaikkeen COMSEC-

information to which they are attached. Where possible, component parts like paragraphs, enclosures, annexes, etc., of documents classified NR and above should be marked appropriately by the originator to facilitate decisions on further dissemination.

13. When a large amount of NATO Classi- fied Information is collated together, the original security classification markings shall be retained and that information shall be assessed for the impact its collective loss or compromise would have upon the organi- zation. If this overall impact is assessed as being higher than the impact of the actual individual NATO security classifications then consideration should be given to han- dling and protecting it at a level commensu- rate with the assessed impact of its loss or compromise.

Qualifying Markings

14. The terms COSMIC and NATO are qualifying markings which, when applied to NATO Classified Information, signify that the information shall be protected in accord- ance with NATO Security Policy.

Special Category Designators

15. The term "ATOMAL" is a marking ap- plied to special category information signi- fying that the information shall be protected in accordance with the Agreement between the Parties to the North Atlantic Treaty for Co-operation Regarding Atomic Infor- mation (C-M(64)39) and the supporting Ad- ministrative Arrangements (C-M(68)41).

16. The term "SIOP" is a marking applied to special category information signifying that the information shall be protected in accord- ance with "Special Procedures for the Han- dling of United States Single Integrated Op- erational Plan (US-SIOP) Information Within NATO C-M(71)27(Revised)”.

17. The term “CRYPTO” is a marking and a special category designator identifying all COMSEC keying material used to protect or

avainmateriaaliin, jota käytetään suojaa- maan tai todentamaan televiestintää, joka si- sältää Naton salausten turvallisuuteen liitty- vää tietoa ja joka osoittaa, että tieto on suo- jattava asianmukaisten salausturvallisuuspe- riaatteiden ja -ohjeiden mukaisesti.

18. "BOHEMIA" on merkintä, joka tehdään viestitiedustelusta saatuun tai siihen liitty- vään erityisluokan tietoon. Kaikki merkin- nällä COSMIC TOP SECRET – BOHEMIA merkitty tieto suojataan noudattaen tarkasti asiakirjaa MC 101 (Naton signaalitieduste- lun periaatteet) ja siihen liittyvää liittokun- nan yhteistä AJP-julkaisua, jossa käsitellään sovellettavia periaatteita, sekä Naton signaa- litiedustelun neuvoa-antavan komitean SI- GINT-hallinnon ja -menettelyjen oppaan määräyksiä.

Merkinnät jakelun rajoittamisesta

19. Tiedon alkuperäinen luovuttaja voi käyt- tää merkintää jakelun rajoittamisesta lisä- merkintänä, jolla Naton turvallisuusluokitel- lun tiedon jakelua rajoitetaan tarkemmin.

VALVONTA JA KÄSITTELY

Tilivelvollisuuden tavoitteet

20. Tilivelvollisuuden ensisijaisena tavoit- teena on saada käyttöön riittävät tiedot, joi- den avulla pystytään tutkimaan tahallinen tai tahaton tilivelvollisuuden alaisen tiedon ka- toaminen tai vaarantuminen sekä arvioimaan katoamisesta tai vaarantumisesta aiheutunut vahinko. Tilivelvollisuuden vaatimuksen tarkoituksena on kurinalaisuus tilivelvolli- suuden alaisen tiedon käsittelyssä ja siihen pääsyn valvonnassa.

21. Tilivelvollisuuden vaatimuksen toissijai- sina tavoitteina on

(a) seurata pääsyä tilivelvollisuuden alai- seen tietoon: kenellä on tosiasiallisesti tai mahdollisesti ollut pääsy tällaiseen tie- toon, ja kuka on yrittänyt päästä siihen;

(b) pysyä selvillä tilivelvollisuuden alai- sen tiedon sijainnista;

authenticate telecommunications carrying NATO cryptographic security-related infor- mation; signifying that the information shall be protected in accordance with the appro- priate cryptographic security policies and di- rectives.

18. The term “BOHEMIA” is a marking ap- plied to special category information de- rived from or pertaining to Communications Intelligence (COMINT). All information marked COSMIC TOP SECRET - BOHE- MIA will be protected in strict accordance with MC 101 (NATO Signals Intelligence Policy) and its companion Allied Joint Pub- lication (AJP) which covers doctrine and the NACSI Guide to SIGINT Administration and Procedures which addresses administra- tion and procedures.

Dissemination Limitation Markings

19. As an additional marking to further limit the dissemination of NATO Classified In- formation, a Dissemination Limitation Marking may be applied by the originator.

CONTROL AND HANDLING

Objectives of Accountability

20. The primary objective of accountability is to provide sufficient information to be able to investigate a deliberate or accidental loss or compromise of accountable infor- mation and assess the damage arising from the loss or compromise. The requirement for accountability serves to impose a discipline on the handling of, and control of access to, accountable information.

21. Subordinate objectives are:

(a) to keep track of access to accountable information – who has, or potentially has, had access to accountable information; and who has attempted to access account- able information;

(b) to know the location of accountable information;

(d) pitää kirjaa Naton ulkopuolisille toimi- joille luovutetusta tilivelvollisuuden alai- sesta tiedosta.

22. Luokkiin COSMIC TOP SECRET, NATO SECRET ja ATOMAL luokiteltu tieto on tilivelvollisuuden alaista, ja sitä on valvottava ja käsiteltävä noudattaen tämän liitteen vaatimuksia sekä Naton turvallisuus- luokitellun tiedon turvallisuutta koskevaa tätä liitettä tukevaa direktiiviä. Jos kansalli- set säädökset ja määräykset sitä edellyttävät, sellainen tieto, johon on merkitty muu tur- vallisuusluokka tai erityisluokan merkintä, voidaan katsoa tilivelvollisuuden alaiseksi tiedoksi.

Rekisterijärjestelmä

23. Rekisterijärjestelmän turvallisuusmenet- telyjä ja -vaatimuksia sovelletaan yhtäläi- sesti sekä fyysisessä että sähköisessä ympä- ristössä. Sähköistä ympäristöä koskevia lisä- tietoja ja -vaatimuksia on tämän C-M-asia- kirjan liitteessä F ja tätä asiakirjaa tukevissa ohjeissa.

24. Käytössä on oltava rekisterijärjestelmä, joka vastaa tilivelvollisuuden alaisen tiedon vastaanottamisesta, kirjaamisesta, käsitte- lystä, jakelusta ja hävittämisestä. Tämä vas- tuu voidaan täyttää joko käyttämällä yhtä re- kisterijärjestelmää, jolloin turvallisuusluok- kaan COSMIC TOP SECRET ja muuhun erityisluokkaan luokiteltu tieto on kaikkina aikoina pidettävä tarkasti osastoituna, tai pe- rustamalla erilliset rekisterit ja valvontapis- teet.

25. Tapauksen mukaan kukin Naton jäsen- valtio ja Naton sotilas- ja siviilielin perustaa yhden tai useamman turvallisuusluokkaan COSMIC TOP SECRET luokitellun tiedon keskusrekisterin, joka toimii sen jäsenval- tion tai elimen vastaanottavana ja lähettä- vänä pääviranomaisena, johon rekisteri on perustettu. Tällainen keskusrekisteri voi toi- mia myös tilivelvollisuuden alaisen muun tiedon rekisterinä.

(d) register accountable information that has been released to NNEs.

22. Information classified CTS, NS and ATOMAL shall be accountable, controlled and handled in accordance with the require- ments of this Enclosure and the supporting Directive on the Security of NATO Classi- fied Information. Where required by na- tional laws and regulations, information bearing other classification or special cate- gory markings may be considered as ac- countable information.

The Registry System

23. The security procedures and require- ments of the registry system apply equally across both the physical and electronic do- mains. Additional details and requirements concerning the electronic domain can be found within Enclosure “F” to this C-M and its supporting directives.

24. There shall be a Registry System which is responsible for the receipt, accounting, handling, distribution and destruction of ac- countable information. Such a responsibility may be fulfilled either within a single Regis- try System, in which case strict compart- mentalisation of information classified CTS and other special category information shall be maintained at all times, or by establishing separate registries and control points.

25. Each NATO Nation or NATO Civil or Military Body, as appropriate, shall estab- lish a Central Registry(s) for information classified CTS, which acts as the main re- ceiving and dispatching authority for the Nation or body within which it has been es- tablished. The Central Registry(s) may also act as a registry(s) for other accountable in- formation.

26. Rekisterit ja valvontapisteet toimivat vastuuorganisaatioina turvallisuusluokkiin COSMIC TOP SECRET ja NATO SECRET luokitellun tiedon sisäisessä jakelussa sekä kaiken kyseisen rekisterin tai valvontapis- teen vastuulla olevan tilivelvollisuuden alai- sen tiedon kirjaamisessa; ne voidaan perus- taa ministeriöiden, osastojen tai komento- osastojen tasolle. Turvallisuusluokkiin NATO CONFIDENTIAL ja NATO REST- RICTED luokiteltua tietoa ei tarvitse kirjata rekisterijärjestelmään, jolleivät kansalliset säädökset ja määräykset tätä edellytä.

27. Rekisterien ja valvontapisteiden on kaik- kina aikoina pystyttävä paikantamaan Naton tilivelvollisuuden alaisen tiedon sijainti. Harvoin sallittava ja tilapäinen pääsy tällai- seen tietoon ei välttämättä edellytä rekisterin tai valvontapisteen perustamista, jos käy- tössä on menettelyt, joilla varmistetaan, että tieto pysyy rekisterijärjestelmän valvon- nassa.

28. Turvallisuusluokkaan COSMIC TOP SECRET luokitellun tiedon jakelun on ta- pahduttava COSMIC-rekisterin välityksellä. Kunkin rekisterin on vähintään kerran vuo- dessa luetteloitava kaikki turvallisuusluok- kaan COSMIC TOP SECRET luokiteltu tieto, josta rekisteri on tilivelvollinen, nou- dattaen Naton turvallisuusluokitellun tiedon turvallisuutta koskevan Naton turvallisuus- sääntöjä tukevan direktiivin vaatimuksia. Rekisteriorganisaation tyypistä riippumatta niiden organisaatioiden, jotka käsittelevät turvallisuusluokkaan COSMIC TOP SEC- RET luokiteltua tietoa, on nimettävä COS- MIC-tiedon valvoja (CCO).

29. Naton turvallisuussääntöjä tukevassa di- rektiivissä Naton turvallisuusluokitellun tie- don turvallisuudesta käsitellään muun mu- assa COSMIC-tiedon valvojan tehtäviä, tur- vallisuusluokkiin COSMIC TOP SECRET ja NATO SECRET luokitellun tiedon yksi- tyiskohtaisia käsittelyprosesseja rekisterijär- jestelmässä, Naton turvallisuusluokitellun tiedon jäljennöksiä, käännöksiä ja otteita koskevia menettelyjä, sen jakelua ja lähettä-

26. Registries and control points shall act as the responsible organization for the internal distribution of information classified CTS and NS and for keeping records of all ac- countable information held on that registry’s or control point’s charge; they may be estab- lished at ministry, department, or command levels. NC and NR information is not re- quired to be processed through the Registry System unless specified by national laws and regulations.

27. With regard to NATO accountable infor- mation, registries and control points shall be able at all times to establish its location. In- frequent and temporary access to such infor- mation does not necessarily require the es- tablishment of a registry or control point, provided that procedures are in place to en- sure that the information remains under the control of the Registry System.

28. The dissemination of information classi- fied CTS shall be through COSMIC registry channels. At least annually, each registry shall carry out an inventory of all infor- mation classified CTS for which it is ac- countable, in accordance with the require- ments of the supporting Directive on the Se- curity of NATO Classified Information. Re- gardless of the type of registry organization, those that handle information classified CTS shall appoint a “COSMIC Control Officer” (CCO).

29. The supporting Directive on the Security of NATO Classified Information sets out, inter alia, the responsibilities of the CCO, the detailed registry system handling pro- cesses for information classified CTS and NS, the procedures for reproductions, trans- lations and extracts, the requirements for the dissemination and transfer, and the require- ments for the disposal and destruction of NATO Classified Information.

mistä koskevia vaatimuksia sekä sen hallus- sapitoa ja hävittämistä koskevia vaatimuk- sia.

30. Sotilaskomitea on perustanut erillisen järjestelmän salausaineistoa koskevan tili- velvollisuuden täyttämistä sekä salausaineis- ton valvontaa ja jakelua varten. Tämän jär- jestelmän kautta välitettävä aineisto ei edel- lytä tilivelvollisuuden täyttämistä rekisteri- järjestelmässä.

VALMIUSSUUNNITTELU

31. Naton jäsenvaltiot ja Naton sotilas- ja si- viilielimet laativat valmiussuunnitelmat Na- ton turvallisuusluokitellun tiedon suojaa- miseksi ja hävittämiseksi poikkeusolojen ai- kana estääkseen luvattoman pääsyn tähän tietoon sekä sen luvattoman ilmitulon ja sen käytettävyyden estymisen. Nämä suunnitel- mat perustuvat määräajoin tarkistettaviin uhka-arvioihin, ja niissä asetetaan etusijalle arkaluonteisin sekä tehtävän tai ajan kan- nalta ratkaisevin tieto.

TIETOTURVAPOIKKEAMAT

32. Tietoturvapoikkeama on tapahtuma tai muu tilanne, joka voi vaikuttaa haitallisesti Naton turvallisuusluokitellun tiedon turvalli- suuteen ja joka edellyttää tarkempia tutkin- tatoimia, jotta voidaan todeta tarkasti, onko kyseessä tietoturvaloukkaus vai vähäinen tietoturvapoikkeama.

Tietoturvaloukkaus

33. Tietoturvaloukkaus on tahallinen tai ta- haton teko tai laiminlyönti, joka on näiden turvallisuussääntöjen vastainen ja voi johtaa Naton turvallisuusluokitellun tiedon tai sitä tukevien palvelujen ja resurssien tosiasialli- seen tai mahdolliseen vaarantumiseen.

Vaarantuminen

34. Vaarantuminen tarkoittaa tilannetta, jossa tietoturvaloukkauksen tai haitallisen toiminnan vuoksi Naton turvallisuusluoki- teltu tieto on menettänyt luottamuksellisuu- tensa, eheytensä tai käytettävyytensä tai tätä

30. The Military Committee (MC) has es- tablished a separate system for the accounta- bility, control and distribution of crypto- graphic material. Material being transferred through this system does not require ac- countability in the Registry System.

CONTINGENCY PLANNING

31. NATO Nations and NATO Civil and Military bodies shall prepare contingency plans for the protection or destruction, dur- ing emergency situations, of NATO Classi- fied Information to prevent unauthorised ac- cess and disclosure and loss of availability. These plans will be based on periodically re- viewed threat assessments and shall give highest priority to the most sensitive, and mission- or time-critical information.

SECURITY INCIDENTS

32. A Security Incident is an event or other occurrence that may have an adverse effect upon the security of NATO Classified Infor- mation which requires further investigative actions in order to accurately determine whether or not it constitutes a Security Breach or Infraction.

Security Breach

33. A Security Breach is an act or omission, deliberate or accidental, contrary to the se- curity rules laid down in this policy that may result in the actual or possible compromise of NATO Classified Information or support- ing services and resources.

Compromise

34. Compromise denotes a situation when, due to a Security Breach or adverse activity, NATO Classified Information has lost its confidentiality, integrity or availability, or supporting services and resources have lost their integrity or availability. This includes

tietoa tukevat palvelut ja resurssit ovat me- nettäneet eheytensä tai käytettävyytensä. Vaarantumiseen sisältyvät katoaminen, ilmi- tulo asiattomille, luvaton muuttaminen, hä- vittäminen luvattomalla tavalla ja palvelun estyminen.

Vähäinen tietoturvapoikkeama

35. Vähäinen tietoturvapoikkeama on tahal- linen tai tahaton teko tai laiminlyönti, joka on näiden turvallisuussääntöjen vastainen, mutta ei johda Naton turvallisuusluokitellun tiedon tosiasialliseen tai mahdolliseen vaa- rantumiseen.

36. Kaikista tosiasiallisista ja mahdollisista tietoturvaloukkauksista on ilmoitettava vii- pymättä toimivaltaiselle turvallisuusviran- omaiselle. Kaikki ilmoitetut tietoturvalouk- kaukset on tutkittava sellaisten henkilöiden toimesta, joilla on asiantuntemusta turvalli- suuden, tutkinnan ja tarvittaessa vastatiedus- telun alalla ja jotka ovat riippumattomia niistä henkilöistä, joita tietoturvaloukkaus välittömästi koskee. Naton turvallisuussään- töjä tukevassa direktiivissä Naton turvalli- suusluokitellun tiedon turvallisuudesta se- lostetaan yksityiskohtaisesti toimia, jotka on toteutettava todettaessa tietoturvaloukkaus tai vähäinen tietoturvapoikkeama.

ILMOITTAMINEN

37. Naton turvallisuusluokiteltuun tietoon kohdistuneiden tietoturvaloukkausten ja vaarantumisten ilmoittamisella pyritään en- sisijaisesti antamaan tiedon luovuttaneelle Naton organisaatiolle mahdollisuus arvioida Natolle aiheutunut vahinko ja ryhtyä tar- peellisiksi katsottaviin tai mahdollisiin toi- menpiteisiin vahingon minimoimiseksi. Kansallinen turvallisuusviranomainen / määrätty turvallisuusviranomainen tai kysei- sen Naton sotilas- tai siviilielimen johtaja välittää tiedot vahingon arvioinnista ja va- hingon mimimoimiseksi tehdyistä toimenpi- teistä Naton turvallisuustoimistolle.

38. Ilmoittavan viranomaisen olisi mahdolli- suuksien mukaan ilmoitettava asiasta tiedon luovuttaneelle Naton organisaatiolle samaan aikaan kuin Naton turvallisuustoimistolle,

loss, disclosure to unauthorized individuals, unauthorised modification, destruction in an unauthorised manner, or denial of service.

Infraction

35. Infraction is an act or omission, deliber- ate or accidental, contrary to the security rules laid down in this policy, that does not result in the actual or possible compromise of NATO Classified Information.

36. All Security Breaches or potential Secu- rity Breaches shall be reported immediately to the appropriate security authority. Each reported Security Breach shall be investi- gated by individuals who have security, in- vestigative and, where appropriate, counter- intelligence experience, and who are inde- pendent of those individuals immediately concerned with the Security Breach. The supporting Directive on Security of NATO Classified Information provides details on actions to be taken upon discovery of a Se- curity Breach or Infraction.

REPORTING

37. The main purpose of reporting Security Breaches and compromises of NATO Clas- sified Information is to enable the originat- ing NATO component to assess the resulting damage to NATO and to take whatever ac- tion is desirable or practicable to minimize the damage. Reports of the damage assess- ment and minimising action taken shall be forwarded to the NOS by the NSA/DSA or Head of the NATO Civil or Military Body concerned.

38. Where possible, the reporting authority should inform the originating NATO com- ponent at the same time as the NOS, but the latter may be requested to do this when the

mutta Naton turvallisuustoimistoa voidaan pyytää tekemään ilmoitus, jos alkuperäistä luovuttajaa on vaikea selvittää. Naton tur- vallisuustoimistolle tehtävien ilmoitusten ajoitus riippuu tiedon arkaluonteisuudesta ja olosuhteista.

39. Naton turvallisuustoimisto voi Naton pääsihteerin puolesta pyytää toimivaltaisia viranomaisia tutkimaan asiaa tarkemmin ja ilmoittamaan havainnoistaan Naton turvalli- suustoimistolle. Olosuhteista ja vaarantumi- sen vakavuudesta riippuen Naton turvalli- suustoimisto voi ilmoittaa asiasta turvalli- suuskomitealle.

40. Naton turvallisuussääntöjä tukevassa di- rektiivissä Naton turvallisuusluokitellun tie- don turvallisuudesta käsitellään tietoturva- loukkauksiin ja turvallisuuden vaarantumi- siin liittyviä yksityiskohtaisia toimia, kir- jauksia ja ilmoittamista koskevia vaatimuk- sia

41. Sotilaskomitea on antanut Naton jäsen- valtioiden viestintäturvallisuusviranomai- sille ja Naton sotilas- ja siviilielimille erilli- set määräykset salausaineiston vaarantumi- sesta.

originator is difficult to identify. The timing of submitting reports to the NOS depends on the sensitivity of the information and the cir- cumstances.

39. The NOS, on behalf of the Secretary General of NATO, may request the appro- priate authorities to make further investiga- tions and to report their findings back to the NOS. Depending upon the circumstances and severity of the compromise, the NOS may inform the Security Committee (SC).

40. The supporting Directive on the Security of NATO Classified Information sets out the detailed actions, records and reporting requirements for Security Breaches and compromises of security.

41. Separate provisions relating to the com- promise of cryptographic material have been issued by the MC to communications secu- rity authorities of NATO Nations and NATO Civil and Military bodies.

LIITE F C-M(2002)49-REV1

LIITE F

VIESTINTÄ- JA TIETOJÄRJESTEL- MIEN TURVALLISUUS

1. JOHDANTO

1.1 Tässä liitteessä esitetään periaatteet ja vähimmäisvaatimukset, jotka koskevat Na- ton turvallisuusluokitellun tiedon sekä sitä tukevien järjestelmäpalvelujen ja resurssien1 suojaamista viestinnässä, tallennettaessa tätä tietoa tietojärjestelmiin ja muihin säh- köisiin järjestelmiin sekä käsiteltäessä ja siirrettäessä sitä näissä järjestelmissä.

1.2 Tämä liite tukee Naton tiedonhallinnan periaatteita ja täydentää Naton turvallisuus- luokittelemattoman tiedon hallinnan periaat- teita, joissa käsitellään niitä perusperiaatteita ja vaatimuksia, joita Naton sotilas- ja sivii- lielimissä sekä Naton jäsenvaltioissa sovel- letaan Naton turvallisuusluokittelemattoman tiedon suojaamiseksi.

1.3 Viestintä- ja tietojärjestelmien turvalli- suus (CIS Security) on yksi tietojen turvaa- misen (kuva 1) osatekijöistä, ja sillä tarkoi- tetaan turvatoimien soveltamista tarkoituk- sena suojata viestinnän, tietojärjestelmien ja muiden sähköisten järjestelmien2 sekä näi- hin järjestelmiin tallennettavan ja niissä kä- siteltävän ja siirrettävän3 tiedon luottamuk- sellisuutta, eheyttä, käytettävyyttä, aitoutta ja kiistämättömyyttä.

ENCLOSURE “F”

C-M(2002)49-REV1

ENCLOSURE “F” COMMUNICATION AND INFOR- MATION SYSTEM SECURITY

1. INTRODUCTION

1.1. This Enclosure sets out the policy and minimum standards for the protection of NATO classified information, and support- ing system services and resources1 in com- munication, information and other electronic systems storing, processing or transmitting NATO classified information.

1.2. This Enclosure supports the NATO In- formation Management Policy and comple- ments the Policy on Management of Non- Classified NATO Information which ad- dresses the basic principles and standards to be applied within NATO civil and military bodies and NATO member nations for the protection of non-classified NATO infor- mation.

1.3. Communication and Information Sys- tem Security (CIS Security) is one of the el- ements of Information Assurance (Figure 1) and is defined as the application of security measures for the protection of communica- tion, information and other electronic sys- tems2, and the information that is stored, processed or transmitted3 in these systems with respect to confidentiality, integrity, availability, authentication and non-repudia- tion.

1 Tietoa tukevilla järjestelmäpalveluilla ja resursseilla tarkoitetaan niitä palveluja ja resursseja, jotka tarvitaan varmistamaan, että viestintä- ja tietojärjestelmien turvallisuustavoitteet saavutetaan; näitä palveluja ja resursseja ovat esimerkiksi salaustuotteet ja -menetelmät, COMSEC-aineisto, luettelopalvelut sekä käyttöympäristön jär- jestelyt ja valvonta.

1 Supporting System Services and Resources - those services and resources required to ensure that the security objectives of the CIS are achieved; to include, for example, cryptographic products and mechanisms, COMSEC materials, directory services, and environmental facilities and controls.

2 Jäljempänä tässä liitteessä "CIS".

2 Hereafter referred to within this Enclosure as CIS.

3 Jäljempänä tässä liitteessä "käsiteltävä".

3 Hereafter referred to within this Enclosure as handled.

1.4 Jotta saavutetaan näissä viestintä- ja tie- tojärjestelmissä käsiteltävän turvallisuus- luokitellun tiedon luottamuksellisuuden, eheyden, käytettävyyden, aitouden ja kiistä- mättömyyden turvallisuustavoitteet4, toteu- tetaan tasapainoinen toimitila-, henkilöstö- ja tietoturvallisuutta sekä viestintä- ja tieto- järjestelmien turvallisuutta koskevien toi- menpiteiden kokonaisuus turvallisen käyt- töympäristön aikaansaamiseksi näille järjes- telmille. Kun yritykset käsittelevät turvalli- suusluokiteltua tietoa sopimusten perus- teella, sovelletaan lisäksi erityisiä yritystur- vallisuustoimia tämän C-M-asiakirjan liit- teen G ja sitä tukevan yritysturvallisuusdi- rektiivin mukaisesti.

[*Kuva asiakirjan lopussa]

Kuva 1 – Suhde tietojen turvaamisen ja viestintä- ja tietojärjestelmien turvallisuuden välillä

1.5 Viestintä- ja tietojärjestelmien turvalli- suuden päädirektiivissä, jonka turvallisuus- komitea (SC) ja tiedonvälityksen, johtami- sen ja valvonnan ohjausryhmä (C3B) ovat julkaisseet näiden turvallisuussääntöjen tu- eksi, käsitellään näitä järjestelmiä koskevia turvallisuustoimia niiden elinkaaren aikana sekä komiteoiden ja Naton sotilas- ja sivii- lielinten vastuuta näiden järjestelmien tur- vallisuudesta. Viestintä- ja tietojärjestelmien turvallisuuden päädirektiiviä tukevat direk- tiivit, joissa käsitellään viestintä- ja tietojär- jestelmien turvallisuuden hallintaa (kuten turvallisuusriskien hallintaa, turvallisuuden akkreditointia, turvallisuuteen liittyvää do- kumentointia ja turvallisuuden uudelleenar- viointia/tarkastamista) sekä viestintä- ja tie- tojärjestelmien turvallisuuden teknisiä ja to- teuttamiseen liittyviä näkökohtia (kuten tie- tokoneiden ja lähiverkkojen turvallisuutta, yhteen liitettyjen verkkojen turvallisuutta,

1.4. In order to achieve the security objec- tives of confidentiality, integrity, availabil- ity, authentication and non-repudiation4 for classified information handled in these CIS, a balanced set of security measures (physi- cal, personnel, information and CIS) shall be implemented to create a secure environment in which to operate a CIS. Where classified information is handled by industry in con- tracts, additional specific industrial security measures shall be applied in accordance with Enclosure G of this C-M and the sup- porting industrial security directive.

[*Figure at the end of the document]

Figure 1 - Relationship between Information As- surance and CIS Security

1.5. The “Primary Directive on CIS Secu- rity”, which is published by the SC and the C3B in support of this policy, addresses the CIS Security activities in the CIS life-cycle, and the CIS Security responsibilities of committees, and NATO civil and military bodies. The “Primary Directive on CIS Se- curity” is supported by directives addressing CIS Security management (including secu- rity risk management, security accreditation, security-related documentation, and security review / inspection) and CIS Security tech- nical and implementation aspects (including computer and local area network (LAN) se- curity, interconnection of networks security, cryptographic security, transmission secu- rity, and emission security).

4 Jäljempänä tässä liitteessä "turvallisuustavoitteet".

4 Hereafter referred to within this Enclosure as Security Objectives.

salaukseen perustuvaa turvallisuutta, tiedon- siirron turvallisuutta ja hajasäteilyn turvalli- suutta).

2. TURVALLISUUSTAVOITTEET

2.1. Viestintä- ja tietojärjestelmissä käsitel- tävän Naton turvallisuusluokitellun tiedon suojaamiseksi asianmukaisesti määritetään ja toteutetaan tasapainoinen toimitila- ja henkilöstöturvallisuuden, tietoturvallisuuden sekä viestintä- ja tietojärjestelmien turvalli- suuden toimenpiteiden kokonaisuus turvalli- sen ympäristön luomiseksi näiden järjestel- mien toiminnalle ja seuraavien turvallisuus- tavoitteiden saavuttamiseksi:

(a) varmistetaan Naton turvallisuusluoki- tellun tiedon luottamuksellisuus valvo- malla tiedon ja sitä tukevien järjestelmä- palvelujen ja resurssien paljastamista ja pääsyä niihin;

(b) varmistetaan Naton turvallisuusluoki- tellun tiedon ja sitä tukevien järjestelmä- palvelujen ja resurssien eheys;

(c) varmistetaan Naton turvallisuusluoki- tellun tiedon ja sitä tukevien järjestelmä- palvelujen ja resurssien käytettävyys;

(d) varmistetaan niiden henkilöiden, lait- teiden ja palvelujen luotettava määrittämi- nen ja tunnistaminen, jotka pääsevät Na- ton turvallisuusluokiteltua tietoa käsittele- viin viestintä- ja tietojärjestelmiin; ja

(e) varmistetaan tietoa käsitelleiden henki- löiden ja toimijoiden asianmukainen kiis- tämättömyys.

2.2. Naton turvallisuusluokiteltu tieto sekä sitä tukevat järjestelmäpalvelut ja resurssit suojataan vähintään toimenpidekokonaisuu- della, jonka tarkoituksena on varmistaa ylei- nen suojaus yleisesti esiintyviltä (tahatto- milta tai tahallisilta) ongelmilta, joiden tie- detään vaikuttavan kaikkiin järjestelmiin ja tietoa tukeviin järjestelmäpalveluihin ja re- sursseihin. Olosuhteiden mukaan ryhdytään muihin toimenpiteisiin, jos turvallisuusris- kien arvioinnissa on todettu, että Naton tur- vallisuusluokiteltuun tietoon ja/tai sitä tuke- viin järjestelmäpalveluihin ja resursseihin

2. SECURITY OBJECTIVES

2.1. To achieve adequate security protection of NATO classified information handled in CIS, a balanced set of security measures (physical, personnel, information and CIS) shall be identified and implemented to cre- ate a secure environment in which a CIS op- erates, and to meet the following security objectives:

(a) to ensure the confidentiality of infor- mation by controlling the disclosure of, and access to, NATO classified infor- mation, and supporting system services and resources;

(b) to ensure the integrity of NATO clas- sified information, and supporting system services and resources;

(d) to ensure the reliable identification and authentication of persons, devices and services accessing CIS handling NATO classified information; and

(e) to ensure appropriate non-repudiation for individuals and entities having pro- cessed the information.

2.2. NATO classified information and sup- porting system services and resources, shall be protected by a minimum set of measures aimed at ensuring general protection against commonly encountered problems (whether accidental or intentional) known to affect all systems and supporting system services and resources. Additional measures shall be taken, appropriate to the circumstances, where a security risk assessment has estab- lished that NATO classified information and/or supporting system sevices and re- sources are subject to increased risks from specific threats and vulnerabilities.

kohdistuu tiettyjen uhkien ja haavoittuvuuk- sien vuoksi aiempaa suurempia riskejä.

2.3. Käsiteltävän Naton tiedon turvallisuus- luokasta riippumatta Naton turvallisuusvi- ranomaiset arvioivat riskit ja sen vahingon tason, joka Natolle aiheutuu, jos toimenpi- teet muiden turvallisuustavoitteiden kuin luottamuksellisuuden saavuttamiseksi lai- minlyödään. Muun kuin luottamuksellisuu- den varmistavia palveluja koskevien toimen- piteiden vähimmäiskokonaisuus määritetään näitä turvallisuussääntöjä tukevien direktii- vien mukaisesti.

3. TURVALLISUUDEN AKKREDI- TOINTI

3.1. Se, missä määrin turvallisuustavoitteet on saavutettava ja missä määrin viestintä- ja tietojärjestelmiin kohdistuvia turvallisuus- toimenpiteitä tarvitaan Naton turvallisuus- luokitellun tiedon ja sitä tukevien järjestel- mäpalvelujen ja resurssien suojaamiseksi, määritellään kyseistä turvallisuusvaatimusta laadittaessa. Turvallisuuden akkreditoinnilla todetaan, että riittävä suojauksen taso on saavutettu ja sitä ylläpidetään.

3.2. Kaikkien Naton turvallisuusluokiteltua tietoa käsittelevien kansallisten viestintä- ja tietojärjestelmien osalta suoritetaan turvalli- suuden akkreditointi, jossa käsitellään tur- vallisuustavoitteita.

4. HENKILÖSTÖTURVALLISUUS

4.1. Henkilöt, joille sallitaan pääsy Naton turvallisuusluokiteltuun tietoon sen jossakin muodossa, on turvallisuusselvitettävä, ottaen tarvittaessa huomioon heidän kokonaisvas- tuunsa tietoa ja sitä tukevia järjestelmäpal- veluja ja resursseja koskevien turvallisuusta- voitteiden saavuttamisesta. Näitä henkilöitä ovat myös ne, joille sallitaan pääsy tietoa tu- keviin järjestelmäpalveluihin ja resursseihin tai jotka vastaavat niiden suojauksesta, vaikkei heille sallittaisikaan pääsyä järjestel- mässä käsiteltävään tietoon.

2.3. Independent of the security classifica- tion of the NATO information being han- dled, NATO security authorities shall assess the risks and the level of damage done to NATO if the measures to achieve the non- confidentiality security objectives fail. The minimum set of measures for nonconfidenti- ality services shall be determined in accord- ance with directives supporting this policy.

3. SECURITY ACCREDITATION

3.1. The extent to which the security objec- tives are to be met, and the extent to which CIS Security measures are to be relied upon for the protection of NATO classified infor- mation and supporting system services and resources shall be determined during the process of establishing the security require- ment. The security accreditation process shall determine that an adequate level of protection has been achieved, and is being maintained.

3.2 All CIS handling NATO classified infor- mation shall be subject to a security accredi- tation process, addressing the Security Ob- jectives.

4. PERSONNEL SECURITY

4.1. Individuals authorised access to NATO classified information in any form shall be security cleared, where appropriate, taking account of their aggregate responsibility for achieving the Security Objectives of the in- formation and the supporting system ser- vices and resources. This includes individu- als who are authorised access to supporting system services and resources, or who are responsible for their protection, even if they are not authorised access to the information handled by the system.

5. TOIMITILATURVALLISUUS

5.1. Alueet, joilla Naton turvallisuusluoki- teltua tietoa esitetään tai käsitellään tietotek- niikkaa käyttäen tai joilla on mahdollista päästä sellaiseen tietoon, on perustettava si- ten, että turvallisuustavoitteiden saavuttami- sen kokonaisvaatimus täyttyy.

6. TIETOTURVALLISUUS

6.1. Kaikki turvallisuusluokitellut tietoko- neiden tallennusvälineet on merkittävä, säi- lytettävä ja suojattava asianmukaisesti, tal- lennettavan tiedon korkeimman turvallisuus- luokan mukaan.

6.2. Uudelleen käytettävälle tietokoneen tal- lennusvälineelle tallennetun Naton turvalli- suusluokitellun tiedon saa poistaa tallennus- välineeltä ainoastaan toimivaltaisen turvalli- suusviranomaisen hyväksymiä menettelyjä noudattaen.

6.3. Tietokoneen tallennusvälineelle tallen- netun Naton turvallisuusluokitellun tiedon suojaamiseen voidaan soveltaa näitä turval- lisuussääntöjä tukevien direktiivien mukai- sesti toteutettavia hyväksyttyjä (luottamuk- sellisuutta ja muuta kuin luottamukselli- suutta koskevia) turvatoimia siten, että toi- mitilaturvallisuuden vaatimuksia lievenne- tään alempaa turvallisuusluokkaa vastaa- viksi.

7. YRITYSTURVALLISUUS

7.1 Sopimusten toteuttamiseen käytettävä hankeosapuolen toimitila, jossa käsitellään Naton turvallisuusluokiteltua tietoa vies- tintä- ja tietojärjestelmissä, on perustettava siten, että se täyttää turvallisuustavoitteiden saavuttamisen kokonaisvaatimuksen.

7.2. Tapauksen mukaan sopimuksissa, tur- vallisuusnäkökohtia koskevissa kirjeissä (SAL) ja/tai ohjelman/hankkeen turvalli- suusohjeissa (PSI) ja/tai palvelutasosopi- muksissa (SLA) on selostettava johdonmu- kainen viestintä- ja tietojärjestelmiin kohdis- tuvien turvatoimien kokonaisuus, joka han- keosapuolten on toteutettava saavuttaakseen

5. PHYSICAL SECURITY

5.1. Areas in which NATO classified infor- mation is presented or handled using infor- mation technology, or where potential ac- cess to such information is possible, shall be established such that the aggregate require- ment for the Security Objectives is met.

6. SECURITY OF INFORMATION

6.1. All classified computer storage media shall be properly identified, stored and pro- tected in a manner commensurate with the highest classification of the stored infor- mation.

6.2. NATO classified information recorded on re-usable computer storage media, shall only be erased in accordance with proce- dures approved by the appropriate security authority.

6.3. Approved security measures (confiden- tiality and non-confidentiality), imple- mented in accordance with directives sup- porting this policy, may be used to protect NATO classified information in computer storage media in such a manner as to reduce the physical security requirements commensurate with a lower classification level.

7. INDUSTRIAL SECURITY

7.1. A contractor facility used for contracts in which NATO classified information is handled on CIS shall be established to meet the aggregate requirement for the Security Objectives.

7.2. A consistent set of CIS security measures shall be described in contracts, Se- curity Aspect Letters (SAL) and/or Project Security Instructions (PSI) and/or Service Level Agreements (SLA), as applicable, and be implemented by contractors to meet the NATO CIS security objectives and to pro- tect NATO classified information and sup- porting services.

Naton viestintä- ja tietojärjestelmien turval- lisuustavoitteet ja suojatakseen Naton tur- vallisuusluokitellun tiedon ja sitä tukevat palvelut.

8. TURVATOIMET

8.1. Kaikkiin Naton turvallisuusluokiteltua tietoa käsitteleviin viestintä- ja tietojärjestel- miin on sovellettava johdonmukaista turval- lisuustoimenpiteiden kokonaisuutta, jotta saavutetaan tiedon ja sitä tukevien järjestel- mäpalvelujen ja resurssien suojaamisen tur- vallisuustavoitteet. Näitä turvallisuustoi- menpiteitä ovat tapauksen mukaan seuraa- vat:

(a) keinot, joiden avulla saadaan riittävät tiedot, jotta pystytään tutkimaan mahdolli- sesti aiheutuvan vahingon edellyttämällä tavalla tahallinen tai tahaton turvallisuus- luokiteltua tietoa ja sitä tukevia järjestel- mäpalveluja ja resursseja koskevien tur- vallisuustavoitteiden vaarantuminen tai vaarantamisen yritys;

(b) keinot, joiden avulla määritetään ja tunnistetaan luotettavasti henkilöt, laitteet ja palvelut, joille sallitaan pääsy tietoon, järjestelmäpalveluihin ja resursseihin. Tie- toa ja aineistoa, jonka avulla säädellään pääsyä viestintä- tai tietojärjestelmään, on valvottava ja se on suojattava sitä tietoa vastaavien järjestelyjen mukaisesti, johon tieto tai aineisto voi mahdollistaa pääsyn. Naton viestintä- ja tietojärjestelmissä on sovellettava henkilöiden vahvan tunnista- misen menetelmää;

(c) keinot, joiden avulla valvotaan tiedon- saantitarpeen periaatteen perusteella Na- ton turvallisuusluokitellun tiedon ja sitä tukevien järjestelmäpalvelujen ja resurs- sien paljastamista ja pääsyä niihin;

(d) keinot, joiden avulla todennetaan Na- ton turvallisuusluokitellun tiedon ja sitä tukevien järjestelmäpalvelujen ja resurs- sien eheys ja alkuperä;

(e) keinot, joiden avulla ylläpidetään Na- ton turvallisuusluokitellun tiedon ja sitä tukevien järjestelmäpalvelujen ja resurs- sien eheyttä;

8. SECURITY MEASURES

8.1. For all CIS handling NATO classified information, a consistent set of security measures shall be applied to meet the Secu- rity Objectives to protect information and supporting system services and resources. The security measures shall include, where appropriate, the following:

(a) a means to provide sufficient infor- mation to be able to investigate a deliber- ate, accidental or attempted compromise of the security objectives of classified in- formation and supporting system services and resources, commensurate with the damage that would be caused;

(b) a means to reliably identify and au- thenticate persons, devices and services authorised access. Information and mate- rial which controls access to a CIS shall be controlled and protected under ar- rangements commensurate with the infor- mation to which it may give access. On NATO CIS strong authentication mecha- nisms for persons shall be implemented;

(c) a means to control disclosure of, and access to, NATO classified information and supporting system services and re- sources, based upon the need-to-know principle;

(d) a means to verify the integrity and origin of NATO classified information, and supporting system services and re- sources;

(e) a means to maintain the integrity of NATO classified information and sup- porting system services and resources;

(f) keinot, joiden avulla ylläpidetään Na- ton turvallisuusluokitellun tiedon ja sitä tukevien järjestelmäpalvelujen ja resurs- sien käytettävyyttä;

(g) keinot, joiden avulla valvotaan Naton turvallisuusluokiteltua tietoa käsittelevien viestintä- ja tietojärjestelmien yhteyttä;

(h) viestintä- ja tietojärjestelmien suojaus- menetelmien luotettavuuden toteaminen;

(i) keinot, joiden avulla arvioidaan ja to- dennetaan viestintä- ja tietojärjestelmien turvallisuuden suojausmenetelmien asian- mukainen toimivuus näiden järjestelmien elinkaaren ajan;

(j) keinot, joiden avulla tutkitaan käyttä- jien ja viestintä- ja tietojärjestelmien toi- mintaa;

(k) keinot, joiden avulla annetaan takeet kiistämättömyydestä siten, että tiedon lä- hettäjälle todistetaan, että tieto on lähe- tetty, ja tiedon vastaanottajalle todistetaan lähettäjän identiteetti; ja

(l) keinot, joiden avulla suojataan säilytet- tävä Naton turvallisuusluokiteltu tieto, jos fyysiset turvallisuustoimenpiteet eivät täytä vähimmäisvaatimuksia.

8.2. Käytössä on oltava turvallisuuden hal- lintajärjestelmät ja -menettelyt, joiden avulla estetään, torjutaan, havaitaan ja kestetään Naton turvallisuusluokiteltua tietoa ja sitä tukevia järjestelmäpalveluja ja resursseja koskeviin turvallisuustavoitteisiin vaikutta- vien tapahtumien vaikutukset ja korjataan ne, mukaan lukien tietoturvapoikkeamista il- moittaminen.

8.3. Turvallisuustoimenpiteitä hallitaan ja ne toteutetaan näitä turvallisuusääntöjä tuke- vien direktiivien mukaisesti.

9. TURVALLISUUSRISKIEN HAL- LINTA

9.1. Naton sotilas- ja siviilielimissä käytettä- viin Naton turvallisuusluokiteltua tietoa kä- sitteleviin viestintä- ja tietojärjestelmiin so-

(f) a means to maintain the availability of NATO classified information and sup- porting system services and resources;

(g) a means to control the connection of CIS handling NATO classified infor- mation;

(h) a determination of the confidence to be placed in the protection mechanisms of CIS Security;

(i) a means to assess and verify the proper functioning of the protection mechanisms of CIS Security over the life-cycle of the CIS;

(j) a means to investigate user and CIS activity;

(k) a means to provide non-repudiation assurances that the sender of information is provided with proof of delivery and the recipient is provided proof of the sender's identity; and

(l) a means to protect stored NATO clas- sified information where the physical se- curity measures do not meet the mini- mum standards.

8.2. Security management mechanisms and procedures shall be in place to deter, pre- vent, detect, withstand, and recover from, the impacts of incidents affecting the Secu- rity Objectives of NATO classified infor- mation and supporting system services and resources, including the reporting of security incidents.

8.3. The security measures shall be managed and implemented in accordance with direc- tives supporting this policy.

9. SECURITY RISK MANAGEMENT

9.1. CIS handling NATO classified infor- mation, in NATO civil and military bodies,

velletaan turvallisuusriskien hallintaa, mu- kaan lukien turvallisuusriskien arviointi, näitä turvallisuussääntöjä tukevien direktii- vien vaatimusten mukaisesti.

9.2. Naton viestintä- ja tietojärjestelmien turvallisuusriskien hallinnalla varmistetaan järjestelmän haavoittuvuuksien ja turvalli- suusvaatimustenmukaisuuden jatkuva arvi- ointi, ja siinä on pyrittävä dynaamiseen ris- kienhallintaan, jotta voidaan reagoida tehok- kaasti nykyisten monimutkaisten toimintas- kenaarioiden ja monitahoisten uhkaympäris- töjen asettamiin haasteisiin.

10. NATON TURVALLISUUSLUOKI- TELLUN TIEDON SÄHKÖMAGNEET- TINEN SIIRTÄMINEN5

10.1. Kun Naton turvallisuusluokiteltua tie- toa siirretään sähkömagneettisesti, on toteu- tettava erityiset toimenpiteet turvallisuusta- voitteiden saavuttamiseksi näissä siirroissa. Naton viranomaiset määräävät vaatimukset, joita sovelletaan siirrettävän tiedon suojaa- miseksi ilmitulolta, sieppaamiselta tai hy- väksikäytöltä.

11. SALAUKSEEN PERUSTUVA TUR- VALLISUUS

11.1. Kun luottamuksellisuuden ja muun kuin luottamuksellisuuden suojaamiseksi tarvitaan salaustuotteita tai -menetelmiä tie- don siirtämisen, käsittelyn tai säilyttämisen (data at rest) aikana, nämä tuotteet tai mene- telmät on erikseen hyväksytettävä tätä tar- koitusta varten ja fyysisten, menettelyllisten ja teknisten toimenpiteiden on täytettävä eri- tyiset salausta koskevat vaatimukset, jotta vaadittavat turvallisuustavoitteet saavute- taan.

11.2. Säilytettävä tieto on suojattava vaadit- tavien turvallisuustavoitteiden edellyttämää tasoa vastaavasti, ja käytettäessä salaustuot- teita tai -menetelmiä on salausta koskevien

shall be subject to security risk manage- ment, including security risk assessment, in accordance with the requirements

of directives supporting this policy.

9.2. Security risk management of NATO CIS shall ensure continuous assessment of system vulnerabilities and security compli- ance and shall move towards dynamic risk management to be able to face effectively the challenges posed by today’s complex operational scenarios and multifaceted threat environments.

10. ELECTROMAGNETIC TRANSMIS- SION5 of NATO CLASSIFIED INFOR- MATION

10.1. When NATO classified information is transmitted electromagnetically, special measures shall be implemented to achieve the Security Objectives of such transmis- sions. NATO authorities shall determine the requirements for protecting transmissions from detection, interception or exploitation.

11. CRYPTOGRAPHIC SECURITY

11.1. When cryptographic products or mechanisms are required to provide confi- dentiality and non-confidentiality protection, whether during information transmission, processing or storage (data at rest), such products or mechanisms shall be specifically approved for the purpose and specific cryp- tographic requirements for physical, proce- dural and technical measures shall be implemented to achieve the required Secu- rity Objectives.

11.2. Data at rest shall be protected to a level adequate to the required Security Ob- jectives, and, where cryptographic products and mechanisms are used, the requirements

5 "Sähkömagneettinen siirtäminen" tarkoittaa siirtämistä, joka on luonteeltaan tai ominaisuuksiltaan sekä säh- köistä että magneettista, ja se sisältää muun muassa näkyvän valon, radioaallot, mikroaallot ja infrapunasäteilyn. 5 The term "electromagnetic transmission" covers transmission having both an electrical and magnetic character or properties, and includes, inter alia, visible light, radio waves, microwave, and infrared radiation

turvallisuusvaatimusten oltava sovelletta- vien Naton teknisten ja täytäntöönpanoa koskevien direktiivien mukaiset.

11.3. Turvallisuusluokkaan NATO SECRET ja sitä ylempiin luokkiin luokitellun tiedon luottamuksellisuus on tietoa siirrettäessä suojattava Naton sotilaskomitean (NAVMILCOM) hyväksymillä salaustuot- teilla tai -menetelmillä.

11.4. Turvallisuusluokkaan NATO CONFI- DENTIAL tai NATO RESTRICTED luoki- tellun tiedon luottamuksellisuus on tietoa siirrettäessä suojattava joko Naton sotilasko- mitean tai Naton jäsenvaltion hyväksymillä salaustuotteilla tai -menetelmillä.

11.5. Tietoa siirrettäessä on muuta kuin luot- tamuksellisuutta koskevien vaatimusten täyttäminen varmistettava viestintäjärjestel- mää koskevan käyttövaatimuksen mukai- sesti. Salaustekniikkaan perustuvien muuta kuin luottamuksellisuutta koskevien mene- telmien arviointia koskevat vaatimukset ja näiden menetelmien hyväksyntäviranomai- nen on yksilöitävä ja hyväksyttävä tekni- sissä direktiiveissä hyväksytyllä tavalla käyttövaatimukseen sisältyvien näitä mene- telmiä koskevien vaatimusten yhteydessä.

11.6. Poikkeuksellisissa toimintaolosuh- teissa turvallisuusluokkiin NATO CONFI- DENTIAL ja NATO SECRET luokiteltu tieto voidaan siirtää selväkielisenä, jos kukin tällainen siirto raportoidaan asianmukaisesti ylemmille viranomaisille. Poikkeuksellisia olosuhteita ovat seuraavat:

(a) kriisin uhka tai toteutuminen, selkkaus tai sotatila; ja

(b) tilanteet, joissa lähetyksen nopeus on ensiarvoisen tärkeää, salauskeinoja ei ole käytettävissä ja arvioidaan, ettei siirrettä- vää tietoa ehditä käyttää ajoissa toiminnan haittaamiseen.

11.7. Poikkeuksellisissa toimintaolosuh- teissa, joissa nopeus on ensiarvoisen tär-

for cryptographic security shall be in ac- cordance with the relevant NATO Technical and Implementation Directives.

11.3. During transmission, the confidential- ity of information classified NS and above shall be protected by cryptographic products or mechanisms approved by the NATO Mil- itary Committee (NAMILCOM).

11.4. During transmission, the confidential- ity of information classified NC or NR shall be protected by cryptographic products or mechanisms approved by either the NA- MILCOM or a NATO member nation.

11.5. During transmission, the non-confi- dentiality requirements shall be assured in accordance with the communications sys- tem’s operational requirement. The evalua- tion requirements and approval authority, for non-confidentiality mechanisms based on cryptography, shall be identified

and agreed in conjunction with the specifi- cation of such mechanisms in the opera- tional requirement, as agreed in technical di- rectives.

11.6. Under exceptional operational circum- stances, information classified NC and NS may be transmitted in clear text provided each occasion is properly reported to the higher authorities. The exceptional circum- stances are as follows:

(a) during impending or actual crisis, conflict, or war situations; and

(b) when speed of delivery is of para- mount importance, means of encryption are not available and it is assessed that the transmitted information cannot be ex- ploited in time to adversely influence op- erations.

11.7. Under exceptional operational circum- stances, when speed is of paramount im-

keää, salauskeinoja ei ole käytettävissä ja ar- vioidaan, ettei siirrettävää tietoa ehditä käyt- tää ajoissa toiminnan haittaamiseen, turvalli- suusluokkaan NATO RESTRICTED luoki- teltu tieto voidaan siirtää selväkielisenä.

11.8. Kun turvallisuusluokkaan NATO SECRET ja sitä ylempiin luokkiin luokitel- tua tietoa siirretään Naton ja Naton ulkopuo- lisen valtion tai kansainvälisen järjestön (NNN/IO) viestintä- ja tietojärjestelmien vä- lillä, tiedon luottamuksellisuus on siirron ai- kana suojattava Naton sotilaskomitean hy- väksymillä salaustuotteilla tai -menetelmillä.

11.9. Kun turvallisuusluokkaan NATO SECRET ja sitä ylempiin luokkiin luokitel- tua tietoa siirretään Naton ulkopuolisen val- tion tai kansainvälisen järjestön viestintä- ja tietojärjestelmissä, tiedon luottamukselli- suus on siirron aikana suojattava Naton soti- laskomitean (NAVMILCOM) hyväksymillä salaustuotteilla tai -menetelmillä.

11.10. Jos 11.8 ja 11.9 kohdan vaatimuksia ei voida täyttää, Nato ja kansainvälinen jär- jestö voivat sopia, että ne hyväksyvät vasta- vuoroisesti toistensa arviointi- valinta- ja hyväksymismenettelyt, joita sovelletaan nii- hin salaustuotteisiin tai -menetelmiin, joiden käyttö sallitaan turvallisuusluokkaan NATO SECRET tai kansainvälisen järjestön vastaa- vaan turvallisuusluokkaan luokitellun tiedon suojaamiseksi sitä siirrettäessä. Tämän hy- väksynnän ehdot on esitetty jäljempänä koh- dassa 11.12.

11.11. Poikkeuksellisissa olosuhteissa, jos

11.8 ja 11.9 kohdan vaatimuksia ei voida täyttää, Nato voi tiettyjen käyttövaatimusten täyttämistä tukeakseen hyväksyä Naton ul- kopuolisen valtion arviointi- valinta- ja hy- väksymismenettelyt, joita sovelletaan niihin salaustuotteisiin tai -menetelmiin, joiden käyttö sallitaan turvallisuusluokkaan NATO SECRET tai Naton ulkopuolisen valtion vastaavaan turvallisuusluokkaan luokitellun tiedon suojaamiseksi sitä siirrettäessä. Tä- män hyväksynnän ehdot on esitetty jäljem- pänä kohdassa 11.12.

portance, means of encryption are not avail- able and it is assessed that the transmitted information cannot be exploited in time to adversely influence operations, information classified NR may be transmitted in clear text.

11.8. During transmission between NATO and non-NATO nations / International Or- ganisations (NNN/IO) CIS, the confidential- ity of information classified NS and above shall be protected by cryptographic products or mechanisms approved by the NATO Mil- itary Committee (NAMILCOM).

11.9. During transmission within NNN/IO CIS, the confidentiality of information clas- sified NS and above shall be protected by cryptographic products or mechanisms ap- proved by the NATO Military Committee (NAMILCOM).

11.10. Where the requirements of para- graphs 11.8 and 11.9 above cannot be met, NATO and an IO may reach agreement on the mutual acceptance of each others' evalu- ation, selection and approval processes for cryptographic products or mechanisms au- thorised for the protection in transmission of NS information or IO information of the equivalent classification level. The condi- tions for such acceptance are set out in para- graph 11.12 below.

11.11. In exceptional circumstances, in or- der to support specific operational require- ments, and where the requirements of para- graphs 11.8 and 11.9 above cannot be met, NATO may agree the NNN's evaluation, se- lection and approval processes for crypto- graphic products or mechanisms authorised for the protection in transmission of NS in- formation or NNN information of the equiv- alent classification level. The conditions for such agreement are set out in paragraph

11.12 below.

11.12. Edellä 11.10 ja 11.11 kohdassa esitet- tyihin tilanteisiin sovelletaan seuraavia eh- toja:

(a) Naton ulkopuolisella valtiolla tai kan- sainvälisellä järjestöllä on oltava voimassa Naton kanssa tehty turvallisuussopimus ja Naton turvallisuustoimiston todistus siitä, että ne pystyvät asianmukaisesti suojaa- maan luovutettavaa Naton turvallisuus- luokiteltua tietoa;

(b) kutakin Naton ulkopuolista valtiota tai kansainvälistä järjestöä kohdellaan tapaus- kohtaisesti, ja kunkin hyväksynnän pe- rusta määrätään Naton ja Naton ulkopuoli- sen valtion tai kansainvälisen järjestön vä- listä turvallisuussopimusta tukevissa tur- vallisuusjärjestelyissä;

(c) hyväksynnän ehdot on hyväksytettävä Naton sotilaskomitealla Naton turvalli- suustoimiston tekemän puolueettoman ar- vion pohjalta; tämä arvio koskee Naton ul- kopuolisen valtion tai kansainvälisen jär- jestön valmiutta tehdä salausta koskevia arvioita, jotka täyttävät vastaavat vaati- mukset kuin Xxxxx vaatimukset turvalli- suusluokkaan NATO SECRET luokitellun tiedon suojaamiselle salauksen avulla; ar- vion tekee Naton turvallisuustoimisto yh- dessä sotilaskomitean viestintä- ja tietojär- jestelmien turvallisuus- ja arviointiviras- ton (SECAN), tiedonvälityksen, johtami- sen ja valvonnan ohjausryhmän tietojen turvaamista ja kyberpuolustusvalmiutta käsittelevän paneelin sekä Naton pääma- jan tiedonvälityksen, johtamisen ja val- vonnan esikunnan kanssa; ja

(d) Naton turvallisuustoimiston, SECA- Nin ja Naton päämajan tiedonvälityksen, johtamisen ja valvonnan esikunnan on yh- dessä vakuututtava todentamisen ja mää- räajoin tapahtuvan uudelleen todentami- sen avulla siitä, että Naton ulkopuolisella valtiolla tai kansainvälisellä järjestöllä on käytössään asianmukaiset rakenteet, sään- nöt ja menettelyt salaustuotteiden ja -me- netelmien arviointia, valintaa, hyväksyn- tää ja valvontaa varten ja että näitä raken- teita, sääntöjä ja menettelyjä sovelletaan käytännössä tehokkaasti ja turvallisesti.

11.12. The following conditions are applica- ble in respect to the scenarios described at paragraphs 11.10 and 11.11 above:

(a) the NNN/IO shall have a Security Agreement with NATO and be certified by the NATO Office of Security (NOS) that they can appropriately protect re- leased NATO classified information;

(b) each NNN/IO shall be treated on a case-by-case basis; and the basis of any acceptance / agreement shall be set out in the security arrangements supporting the Security Agreement between NATO and the NNN/IO;

(c) the terms of any such acceptance / agreement shall be approved by the NA- MILCOM on the basis of an objective as- sessment carried out by the NOS, work- ing in conjunction with the NAMILCOM Communications and Information Sys- tems Security and Evaluation Agency (SECAN), the C3B Information Assur- ance and Cyber Defence Capability Panel and the NATO HQ C3 Staff, of the capa- bility of the NNN/IO to perform cryptographic evaluations that meet re- quirements equivalent to those used within NATO for the cryptographic pro- tection of NS information; and

(d) the NOS, in conjunction with SECAN and the NATO HQ C3 Staff, shall satisfy themselves, through verification and peri- odic re-verification, that the NNN/IO has in place appropriate structures, rules and procedures for the evaluation, selection, approval and control of cryptographic products and mechanisms, and that those structures, rules and procedures are being effectively and securely applied in prac- tice.

11.13. Kun hyväksyntä tapahtuu 11.12 koh- dan ehtojen mukaisesti, turvallisuusluok- kaan NATO SECRET luokitellun tiedon luottamuksellisuus voidaan suojata joko Na- ton sotilaskomitean hyväksymillä salaus- tuotteilla tai -menetelmillä tai sellaisilla sa- laustuotteilla tai -menetelmillä, jotka Naton ulkopuolisen valtion tai kansainvälisen jär- jestön kansallinen viestintä- ja tietojärjestel- mien turvallisuusviranomainen (tai vastaava viranomainen) on hyväksynyt vastaavan tur- vallisuusluokan tiedon suojaamiseen.

11.14. Kun turvallisuusluokkaan NATO CONFIDENTIAL tai NATO RESTRICTED luokiteltua tietoa siirretään Naton ja Naton ulkopuolisen valtion tai kansainvälisen jär- jestön viestintä- ja tietojärjestelmien välillä ja Naton ulkopuolisen valtion tai kansainvä- lisen järjestön viestintä- ja tietojärjestel- missä, tiedon luottamuksellisuus on siirron aikana suojattava toimivaltaisen viranomai- sen hyväksymillä salaustuotteilla tai -mene- telmillä. Toimivaltainen viranomainen voi olla Naton sotilaskomitea, Naton jäsenval- tion kansallinen viestintä- ja tietojärjestel- mien turvallisuusviranomainen tai Naton ul- kopuolisen valtion tai kansainvälisen järjes- tön vastaava viranomainen, jos tällä valtiolla tai järjestöllä on käytössään asianmukaiset rakenteet, säännöt ja menettelyt kyseisten tuotteiden ja menetelmien arviointia, valin- taa, hyväksyntää ja valvontaa varten ja jos näitä rakenteita, sääntöjä ja menettelyjä so- velletaan käytännössä tehokkaasti ja turval- lisesti. Näistä rakenteista, säännöistä ja me- nettelyistä sovitaan Naton sotilaskomitean ja kyseisen Naton ulkopuolisen valtion tai kan- sainvälisen järjestön välillä.

11.15. Naton turvallisuusluokitellun tiedon suojaamiseen käytettävän salausaineiston ar- kaluonteisuus edellyttää erityisten turvatoi- mien soveltamista niiden toimien lisäksi, jotka vaaditaan Naton muun turvallisuus- luokitellun tiedon suojaamiseksi.

11.16. Salausaineiston suojauksen on vastat- tava sitä vahinkoa, joka voi aiheutua, jos suojaus laiminlyödään. Käytössä on oltava positiiviset keinot, joilla arvioidaan ja toden- netaan salaustuotteiden ja -menetelmien

11.13. Where acceptance / agreement is reached in accordance with the conditions set out in paragraph 11.12 above, the confi- dentiality of information classified NS may be protected by either cryptographic prod- ucts or mechanisms approved by the NATO Military Committee (NAMILCOM) or cryp- tographic products or mechanisms approved by the NCSA (or equivalent authority) of the NNN/IO for the protection of the equiv- alent classification level.

11.14. During transmission between NATO and NNN/IO CIS and within NNN/IO CIS, the confidentiality of information classified NC or NR shall be protected by crypto- graphic products or mechanisms evaluated and approved by an appropriate authority. The appropriate authority may be the NA- MILCOM, the NCSA of a NATO member nation or the equivalent authority of the NNN/IO, provided that the NNN/IO has ap- propriate structures, rules and procedures in place for the evaluation, selection, approval and control of such products or mechanisms, and that those structures, rules and proce- dures are being effectively and securely ap- plied in practice. The structures, rules and procedures shall be agreed between the NA- MILCOM and the NNN/IO.

11.15. The sensitive nature of the crypto- material used to protect NATO classified in- formation necessitates the application of special security precautions beyond those required for the protection of other NATO classified information.

11.16. The protection which shall be af- forded to cryptomaterial shall be commen- surate with the damage that may be caused should that protection fail. There shall be

suojaaminen ja asianmukainen toiminta sekä salaustiedon (esim. toteuttamisen yksityis- kohtien ja niihin liittyvän dokumentoinnin) suojaaminen ja hallinta.

11.17. Salaustiedon erityisen arkaluontei- suuden vuoksi Natossa ja kaikissa jäsenval- tioissa on oltava käytössä erityismääräykset ja -elimet, jotka säätelevät Naton salaustie- don vastaanottamista ja hallintaa sekä sen jakelua erikseen hyväksytyille henkilöille.

11.18. On myös noudatettava erityisiä me- nettelyjä, joilla säädellään teknisen tiedon jakamista sekä salaustuotteiden ja -menetel- mien valintaa, tuottamista ja hankintaa.

12. HAJASÄTEILYTURVALLISUUS

12.1. On toteutettava turvatoimet, joilla suo- jataan turvallisuusluokkaan NATO CONFI- DENTIAL ja sitä ylempiin turvallisuusluok- kiin luokiteltu tieto vaarantumiselta, joka johtuu tahattomasta sähkömagneettisesta ha- jasäteilystä. Toimenpiteiden on oltava hy- väksikäytön riskin ja tiedon arkaluonteisuu- den mukaiset.

13. VIESTINTÄ- JA TIETOJÄRJES- TELMIÄ KOSKEVAT ERITYISET VASTUUT

13.1. Naton sotilaskomitea (NAVMIL- COM)

13.1.1. Naton sotilaskomitean vastuulla viestintä- ja tietojärjestelmien turvallisuuden osalta on salauslaitteiden turvallisuuden hy- väksyminen ja niiden luovuttaminen sekä osallistuminen salaustuotteiden ja -menetel- mien arviointiin ja valintaan Naton tavan- omaista käyttöä varten. Sotilaskomitean neljä virastoa (SECAN, DACAN, EUSEC ja EUDAC), joissa on kansallinen henkilöstö, neuvovat ja tukevat viestintä- ja tietojärjes- telmien turvallisuusasioissa sotilaskomiteaa, turvallisuuskomiteaa, tiedonvälityksen, joh- tamisen ja valvonnan ohjausryhmää sekä

positive means to assess and verify the pro- tection and proper functioning of the crypto- graphic products and mechanisms, and the protection and control of cryptographic in- formation (e.g. implementation details and associated documentation).

11.17. In recognition of the particular sensi- tivity of cryptographic information, special regulations and bodies shall exist within NATO and within each member nation to govern the receipt, control and dissemina- tion of NATO cryptographic information to specially certified persons.

11.18. Special procedures shall also be fol- lowed which regulate the sharing of tech- nical information, and which regulate the se- lection, production and procurement of cryptographic products and mechanisms.

12. EMISSION SECURITY

12.1. Security measures shall be imple- mented to protect against the compromise of information classified NC and above through unintentional electromagnetic emis- sions. The measures shall be commensurate with the risk of exploitation and the sensitiv- ity of the information.

13. SPECIFIC CIS SECURITY RE- SPONSIBILITIES

13.1 NATO Military Committee (NA- MILCOM)

13.1.1. The NAMILCOM's responsibilities on CIS Security include the security ap- proval and release of cryptographic equip- ment and participating in the evaluation and selection of cryptographic products and mechanisms for standard NATO use. The four nationally manned agencies of the Mili- tary Committee (SECAN, DACAN, EUSEC and EUDAC) provide advice and support on CIS Security to the NAMILCOM, to the SC, to the C3B and, as appropriate, to their sub- structures, to member nations and to other NATO organisations.

tarvittaessa näiden alaisia yksiköitä, jäsen- valtioita ja muita Naton organisaatioita.

13.2. C3-ohjausryhmä (C3B)

13.2.1. Liittokunnan ylimpänä alansa komi- teana tiedonvälityksen, johtamisen ja val- vonnan (C3) ohjausryhmä (C3B) tukee Na- ton sotilaskomiteaa ja Naton poliittisia vi- ranomaisia niiden C3-toiminnan valmiuk- sien ja hankkeiden arviointiprosessissa arvi- oimalla C3-toimintaa koskevia operatiivisia vaatimuksia. Ohjausryhmä vastaa turvallis- ten ja yhteentoimivien Naton laajuisten C3- järjestelmien saattamisesta käyttöön. Naton päämajan C3-esikunta (NHQC3S) antaa henkilöstöä C3-ohjausryhmän tueksi.

13.3. Naton kyberpuolustuksen ohjaus- ryhmä (CDMB)

13.3.1. Kyberpuolustuksen ohjausryhmä on kyberpuolustusta koordinoiva elin, joka vas- taa kyberpuolustuksen periaatteiden toteut- tamisen strategisesta suunnittelusta ja oh- jauksesta sekä Naton jäsenvaltioiden kanssa tehtävän yhteistyön edistämisestä. Kyber- puolustuksen ohjausryhmä raportoi Pohjois- Atlantin neuvostolle ja saa siltä poliittista ohjausta puolustuspolitiikan ja -suunnittelun komitean vahvistetun kokoonpanon (DPPC(R)) välityksellä. Jäsenvaltiot valvo- vat kyberpuolustuksen ohjausryhmää kyber- puolustuksen periaatteita ja C3-periaatteiden toteuttamista koskevissa asioissa C3-ohjaus- ryhmän välityksellä. Kyberpuolustuksen oh- jausryhmä neuvottelee yksittäisistä asioista toimivaltaisten Naton komiteoiden välityk- sellä.

13.4. Kansallinen viestintä- ja tietojärjes- telmien turvallisuusviranomainen (NCSA)

13.4.1. Kukin Naton jäsenvaltio ja xxxxxx- xxx mukaan Naton ulkopuolinen valtio mää- rää kansallisen viestintä- ja tietojärjestel- mien turvallisuusviranomaisen, joka voidaan perustaa virastoksi kansalliseen turvallisuus- infrastruktuuriin. Kansallisen viestintä- ja tietojärjestelmien turvallisuusviranomaisen vastuulla on

13.2. C3 Board (C3B)

13.2.1. As the senior Consultation, Com- mand and Control (C3) policy committee within the Alliance, the C3B supports the NAMILCOM and the NATO political au- thorities in their validation process for C3 capabilities and projects by reviewing oper- ational C3 requirements. The C3B is respon- sible for the provision of secure and interop- erable NATO-wide C3 systems. Staff sup- port to the C3B is provided by the NATO HQ C3 Staff (NHQC3S).

13.3. NATO Cyber Defence Management Board (CDMB)

13.3.1 The CDMB is the cyber defence co- ordination body providing strategic planning and direction for the implementation of the Cyber Defence Policy and facilitating coop- eration with Allies. The CDMB reports to and receive political guidance from the NAC through the Defence Policy and Planning Committee in reinforced format (DPPC(R)). The CDMB is supervised by Allies through the C3B on C3 policy and implementation aspects of cyber defence. CDMB consults on specific subject matters through the appropriate NATO committees.

13.4. National CIS Security Authority (NCSA)

13.4.1. Each NATO and non-NATO nation, where applicable to the latter, shall identify an NCSA, which may be established as an agency in the national security infrastruc- ture. The NCSA is responsible for:

(a) valvoa teknistä salaustietoa, joka liit- tyy Naton tiedon suojaamiseen kyseisessä valtiossa;

(b) varmistaa, että Xxxxx tiedon suojaami- seen käytettävät salausjärjestelmät, -tuot- teet ja -menetelmät valitaan asianmukai- sesti ja niitä käytetään ja ylläpidetään asi- anmukaisesti;

(c) varmistaa, että Naton tiedon suojaami- seen käytettävät viestintä- ja tietojärjestel- mien turvallisuustuotteet valitaan asian- mukaisesti ja niitä käytetään ja ylläpide- tään asianmukaisesti kyseisessä valtiossa;

(d) olla yhteydessä toimivaltaisiin Naton elimiin ja kansallisiin elimiin viestintä- ja tietojärjestelmien turvallisuuteen liitty- vissä Naton viestintäturvallisuutta ja tek- niikkaa koskevissa asioissa sekä sotilas- että siviilialalla; ja

(e) kansallisen TEMPEST-viranomaisen yksilöiminen tarvittaessa.

13.4.2. Kansallisten viestintä- ja tietojärjes- telmien turvallisuusviranomaisten toiminta koordinoidaan kansallisten turvallisuusvi- ranomaisten toiminnan kanssa.

13.5. Kansallinen jakeluviranomainen (NDA)

13.5.1. Kukin Naton jäsenvaltio ja xxxxxx- xxx mukaan Naton ulkopuolinen valtio yksi- löi kansallisen jakeluviranomaisen, joka voi- daan perustaa virastoksi kansalliseen turval- lisuusinfrastruktuuriin ja joka vastaa Naton salausaineiston hallinnasta kyseisessä valti- ossa ja varmistaa, että kaiken salausaineis- ton kattavaa kirjaamista, turvallista käsitte- lyä, säilyttämistä, jakelua ja hävittämistä varten toteutetaan asianmukaiset menettelyt ja perustetaan tarvittavat kanavat.

13.5.2. Kansallisten jakeluviranomaisten toi- minta koordinoidaan kansallisten turvalli- suusviranomaisten toiminnan kanssa.

13.6. Turvallisuuden akkreditointiviran- omainen/viranomaiset

(a) controlling cryptographic technical information related to the protection of NATO information within their nation;

(b) ensuring that cryptographic systems, products and mechanisms for protecting NATO information are appropriately se- lected, operated and maintained;

(c) ensuring that CIS security products for protecting NATO information are ap- propriately selected, operated and main- tained within their nation;

(d) communicating on NATO communi- cations security and technical matters on CIS Security, both civil and military, with appropriate NATO and national bodies; and

(e) identifying a National TEMPEST Au- thority, as appropriate.

13.4.2. NCSAs work in co-ordination with their NSA(s).

13.5. National Distribution Authority (NDA)

13.5.1 Each NATO and non-NATO nation, where applicable to the latter, shall identify an NDA, which may be established as an agency in the national security infrastruc- ture, which is responsible for the manage- ment of NATO cryptomaterial within their nation and shall ensure that appropriate procedures are enforced and channels estab- lished for the comprehensive accounting, se- cure handling, storage, distribution and de- struction of all cryptomaterial.

13.5.2. NDAs work in co-ordination with their NSA(s).

13.6. Security Accreditation Authority(s)

13.6.1. Kukin Naton jäsenvaltio ja xxxxxx- xxx mukaan Naton ulkopuolinen valtio mää- rää yhden tai useamman turvallisuuden ak- kreditointiviranomaisen, joka vastaa seuraa- vien turvallisuuden akkreditoinnista:

(a) Naton turvallisuusluokiteltua tietoa käsittelevät kansalliset viestintä- ja tieto- järjestelmät; ja

(b) kansallisissa elimissä/organisaatioissa käytettävät Naton viestintä- ja tietojärjes- telmät, tapauksen mukaan Naton ulkopuo- lisissa valtioissa.

13.6.2. Jos Naton jäsenvaltioon perustetaan Naton sotilas- tai siviilielin, Naton viestintä- ja tietojärjestelmien turvallisuuden akkredi- toi Naton turvallisuuden akkreditointiviran- omainen (SAA). Tällöin turvallisuuden ak- kreditointi voidaan koordinoida toimivaltai- sen kansallisen turvallisuuden akkreditointi- viranomaisen kanssa.

13.7. Naton turvallisuuden akkreditointi- viranomainen (SAA)

13.7.1. Naton turvallisuusluokiteltua tietoa käsittelevien Naton viestintä- ja tietojärjes- telmien turvallisuuden akkreditoinnista vas- taa kolme Naton turvallisuuden akkreditoin- tiviranomaista. Turvallisuuden akkreditoin- tiviranomaiset ovat Naton turvallisuustoi- miston johtaja ja strategiset komentajat tai heidän valtuutetut/nimetyt edustajansa, ak- kreditoitavan viestintä- tai tietojärjestelmän mukaan.

13.7.2. Naton viestintä- ja tietojärjestelmien turvallisuusjärjestelyjen hyväksyntälauta- kunta, joka koostuu edellisessä kohdassa tar- koitetuista Naton turvallisuuden akkredi- tointiviranomaisista, valvoo turvallisuuden akkreditointia kaikkien Naton turvallisuus- luokiteltua tietoa käsittelevien Naton vies- tintä- ja tietojärjestelmien osalta varmistaak- seen yhteisen ja johdonmukaisen lähesty- mistavan näiden järjestelmien turvallisuu- teen. Hyväksyntälautakunnan työjärjestys hyväksytetään turvallisuuskomitealla.

13.8. Naton ulkopuolisen valtion turvalli- suusviranomainen

13.6.1. Each NATO and non-NATO nation, where applicable to the latter, shall identify a security accreditation authority(s) which is responsible for the security accreditation of the following:

(a) national CIS handling NATO classi- fied information; and

(b) NATO CIS operating within national bodies / organisations, as appropriate for non-NATO Nations.

13.6.2. Where a NATO civil or military body is established within a NATO nation, the NATO CIS shall be subject to security accreditation by a NATO SAA. In this case, the security accreditation may be co-ordi- nated with the appropriate national security accreditation authority.

13.7. NATO Security Accreditation Au- thority (SAA)

13.7.1. There are three NATO SAAs which are responsible for the security accreditation of NATO CIS handling NATO classified in- formation. The SAA shall be the Director, NATO Office of Security and the Strategic Commanders, or their delegated / nominated representative(s), dependent upon the CIS to be accredited.

13.7.2. The NATO CIS Security Accredita- tion Board, composed of the NATO SAAs as identified in the paragraph above, shall have security accreditation oversight for all NATO CIS handling NATO classified infor- mation to ensure a corporate and consistent approach to security of NATO CIS. The NSAB Terms of Reference shall be subject to approval by the Security Committee.

13.8. Security Authority for NNN

13.8.1. Naton ulkopuolinen valtio nimeää turvallisuusviranomaisen vastaamaan tämän liitteen turvallisuusmääräysten noudattami- sesta sekä valvonnasta, joka kohdistuu sel- laisiin Naton ulkopuolisen valtion viran- omaisiin, joilla on erityisiä turvallisuusvas- tuita Naton turvallisuusluokiteltua tietoa kä- sittelevistä kansallisista viestintä- ja tietojär- jestelmistä (mukaan lukien kansallinen vies- tintä- ja tietojärjestelmien turvallisuusviran- omainen, kansallinen jakeluviranomainen ja turvallisuuden akkreditointiviranomaiset).

13.8.1. The NNN shall appoint a security authority to be responsible for the security provisions of the present Enclosure and the oversight of the NNN Authorities with spe- cific CIS Security responsibilities for na- tional CIS handling NATO classified infor- mation (including NCSA, NDA and SAAs).

LIITE G C-M(2002)49-REV1

LIITE G TURVALLISUUSLUOKITELTUJEN HANKKEIDEN TURVALLISUUS JA

YRITYSTURVALLISUUS

JOHDANTO

1. Tässä liitteessä esitetään Naton turvalli- suusluokitellun tiedon turvallisuutta yrityk- sissä koskevat periaatteet ja vähimmäisvaa- timukset. Lisätietoja ja -vaatimuksia on Na- ton turvallisuussääntöjä tukevassa direktii- vissä turvallisuusluokiteltujen hankkeiden turvallisuudesta ja yritysturvallisuudesta.

2. Yritysturvallisuus on suojaustoimien ja - menettelyjen soveltamista sellaisen turvalli- suusluokitellun tiedon katoamisen tai vaa- rantumisen estämiseksi, havaitsemiseksi ja korjaamiseksi, jota yritykset käsittelevät hankesopimusten perusteella. Yrityksille an- nettava ja yritysten kanssa tehtävien hanke- sopimusten perusteella tuotettava Naton tur- vallisuusluokiteltu tieto sekä yritysten kanssa tehtävät turvallisuusluokitellut han- kesopimukset on suojattava Naton turvalli- suussääntöjen ja niitä tukevien direktiivien mukaisesti.

3. Kansallisten turvallisuusviranomaisten / määrättyjen turvallisuusviranomaisten on varmistettava, että niillä on keinot määrätä yritysturvallisuutta koskevat vaatimuksensa yrityksiä sitoviksi sekä oikeus tarkastaa ja hyväksyä yritysten toimet turvallisuusluoki- tellun tiedon suojaamiseksi.

YRITYSTURVALLISUUTTA KOSKE- VAT VAATIMUKSET

4. Kaikilla hankeosapuolilla / alihankki- joilla, jotka tekevät sellaisia hankesopimuk- sia, joihin liittyy Naton turvallisuusluokitel- tua tietoa ja jotka edellyttävät pääsyä turval- lisuusluokkaan NATO CONFIDENTIAL tai sitä ylempään luokkaan luokiteltuun tietoon tai tällaisen tiedon tuottamista, on oltava asi- anmukaisen tason yritysturvallisuusselvityk- sestä annettu todistus (FSC), jonka on anta- nut sen valtion toimivaltainen kansallinen

ENCLOSURE “G”

C-M(2002)49-REV1

ENCLOSURE “G”

CLASSIFIED PROJECT AND INDUS- TRIAL SECURITY

INTRODUCTION

1. This Enclosure sets out the policy and minimum standards for the security of NATO Classified Information within indus- try. Additional details and requirements are found in the supporting Directive on Classi- fied Project and Industrial Security.

2. Industrial security is the application of protective measures and procedures to pre- vent, detect and recover from the loss or compromise of classified information han- dled by industry in contracts. NATO Classi- fied Information disseminated to industry, generated as a result of a contract with in- dustry, and classified contracts with industry shall be protected in accordance with NATO Security Policy and supporting directives.

3. NSAs/DSAs shall ensure that they have the means to make their industrial security requirements binding upon industry and that they have the right to inspect and approve the measures taken in industry for the pro- tection of classified information.

FACILITY SECURITY REQUIRE- MENTS

4. All Contractors/Sub-contractors undertak- ing a contract involving NATO Classified Information requiring access to, or genera- tion of information classified NATO CON- FIDENTIAL (NC) or above shall hold a Fa- cility Security Clearance (FSC) at the appro- priate level issued by the responsible NSA/ DSA of the country that has jurisdiction over the Contractor/Sub-contractor’s facility.

turvallisuusviranomainen / määrätty turvalli- suusviranomainen, jonka toimivaltaan han- keosapuolen / alihankkijan yksikkö kuuluu.

5. Turvallisuusluokkaan NATO RESTRIC- TED luokiteltuun tietoon pääsemiseksi tai tällaisen tiedon tuottamiseksi ei vaadita to- distusta yritysturvallisuusselvityksestä.

TARJOUSKILPAILUT, NEUVOTTE- LUT JA PÄÄTÖKSET SOPIMUK- SISTA, JOIHIN LIITTYY NATON TURVALLISUUSLUOKITELTUA TIE- TOA

6. Naton ohjelman/hankkeen pääsopimuksen neuvottelee ja tekee Naton ohjelman/hank- keen johtokunta/toimisto. Todistus yritystur- vallisuusselvityksestä vaaditaan kaikilta sel- laisilta hankeosapuolilta, joilta hankesopi- mukset edellyttävät, että yksikkö hallitsee tai tuottaa turvallisuusluokkaan NATO CONFIDENTIAL ja sitä ylempiin turvalli- suusluokkiin kuuluvaa tietoa tai pääsee tä- hän tietoon. Turvallisuusluokkaan NATO RESTRICTED luokiteltujen hankesopimus- ten osalta ei vaadita todistusta yritysturvalli- suusselvityksestä.

7. Naton ohjelman/hankkeen johtokunta/toi- misto tai muu sopimusviranomainen, joka panee sopimuksenteon vireille, varmistaa, että hankeosapuolen yksiköillä on asianmu- kaiset todistukset yritysturvallisuusselvityk- sestä kyseistä sopimuksenteon vaihetta var- ten. Sopimusviranomainen tarkistaa, että hankeosapuolen henkilöstöllä, joka pääsee turvallisuusluokkaan NATO CONFIDEN- TIAL tai sitä ylempään luokkaan luokitel- tuun tietoon sopimusviranomaisen toimiti- loissa, on asianmukainen todistus henkilö- turvallisuusselvityksestä.

8. Kun pääsopimus on tehty, ensisijainen hankeosapuoli voi neuvotella alihankintaso- pimuksia muiden hankeosapuolten eli ali- hankkijoiden kanssa. Nämä alihankkijat voi- vat myös neuvotella alihankintasopimuksia muiden alihankkijoiden kanssa. Jos nämä alihankintasopimukset edellyttävät pääsyä turvallisuusluokkaan NATO CONFIDEN- TIAL ja sitä ylempiin luokkiin luokiteltuun

5. A FSC is not required for access to, or generation of information classified NATO RESTRICTED (NR).

TENDERING, NEGOTIATION AND LETTING OF CONTRACTS INVOLV- ING NATO CLASSIFIED INFOR- MATION

6. The prime contract for a NATO pro- gramme/project shall be negotiated and awarded by a NATO Programme/Project Agency/Office (NPA/NPO). An FSC shall be required for all Contractors involved in contracts that require the Contractor’s facil- ity to manage, generate or have access to in- formation classified NATO CONFIDEN- TIAL (NC) and above. For contracts classi- fied NATO RESTRICTED (NR), an FSC is not required.

7. The NPA/NPO or other contracting au- thority which initiates the contract shall en- sure that Contractor’s facilities hold an ap- propriate FSC for the specific phase of the contract. The contracting authority shall ver- ify that Contractor’s personnel accessing in- formation classified NC or above at the premises of the contracting authority hold the appropriate PSC.

8. After the prime contract has been let, a prime Contractor may negotiate sub-con- tracts with other Contractors, i.e., Sub-con- tractors. These Sub-contractors may also ne- gotiate sub-contracts with other Sub-con- tractors. If these sub-contracts require access to information classified NC and above, the facility and personnel security requirements

tietoon, sovelletaan niitä yritys- ja henkilös- töturvallisuutta koskevia vaatimuksia, jotka on asetettu tämän liitteen osassa "Naton han- kesopimuksiin liittyvät yritysturvallisuussel- vitykset" sekä direktiivissä turvallisuus- luokiteltujen hankkeiden turvallisuudesta ja yritysturvallisuudesta. Jos mahdollinen ali- hankkija kuuluu Naton ulkopuolisen valtion toimivaltaan1, Naton ohjelman/hankkeen johtokunnalta/toimistolta tai muulta sopi- musviranomaiselta on saatava etukäteen lupa neuvotella alihankintasopimus. Jos Na- ton ohjelman/hankkeen johtokunta/toimisto on rajoittanut sopimusten tekemistä sellais- ten Naton jäsenvaltioiden toimivaltaan kuu- luvien hankeosapuolten kanssa, jotka eivät osallistu ohjelmaan/hankkeeseen, johtokun- taa/toimistoa pyydetään harkitsemaan luvan antamista ja antamaan luvan ennen sopimus- neuvotteluja kyseisten valtioiden hankeosa- puolten kanssa.

9. Tehtyään hankesopimuksen Naton ohjel- man/hankkeen johtokunta/toimisto tai muu sopimusviranomainen ilmoittaa asiasta han- keosapuolen valtion kansalliselle turvalli- suusviranomaiselle / määrätylle turvallisuus- viranomaiselle ja varmistaa, että ensisijai- selle hankeosapuolelle annetaan hankesopi- muksen mukana tapauksen mukaan turvalli- suusnäkökohtia koskeva kirje (SAL) ja/tai ohjelman/hankkeen turvallisuusohjeet (PSI).

TURVALLISUUSVAATIMUKSET HANKESOPIMUKSILLE, JOIHIN LIITTYY NATON TURVALLISUUS- LUOKITELTUA TIETOA

10. Ensisijaisen hankeosapuolen ja alihank- kijoiden on sopimuksella edellytettävä to- teuttavan niiden sopimuksen irtisanomisen uhalla kaikki kansallisten turvallisuusviran- omaisten / määrättyjen turvallisuusviran- omaisten määräämät toimet hankeosapuolen tuottaman tai sille annetun tai hankeosapuo- len valmistamiin esineisiin sisältyvän Naton turvallisuusluokitellun tiedon suojaamiseksi.

identified in the “Industrial Security Clear- ances for NATO Contracts” section of this Enclosure and in the Directive on Classified Project and Industrial Security shall apply. If a potential Sub-contractor is under the ju- risdiction1 of a non-NATO nation prior per- mission to negotiate a sub-contract shall be obtained from the NPA/NPO or other con- tracting authority respectively. If the NPA/ NPO has placed restrictions on the award of contracts to NATO Nations that are not par- ticipants in a programme/project, the NPA/ NPO shall be requested to consider and give permission prior to contract discussion with contractors from those Nations.

9. Upon letting the contract, the NPA/NPO or other contracting authority shall notify the NSA/DSA of the Contractor, and ensure that the Security Aspect Letter (SAL) and/or the Project Security Instruction (PSI), as ap- plicable, is provided to the prime Contrac- tor, with the contract.

SECURITY REQUIREMENTS FOR CONTRACTS INVOLVING NATO CLASSIFIED INFORMATION

10. The prime Contractor and Sub-contrac- tors shall be contractually required, under penalty of termination of their contract, to take all measures prescribed by the NSAs/ DSAs for protecting all NATO Classified Information generated by or entrusted to the Contractor, or embodied in articles manu- factured by the Contractor:

1 Oikeus käyttää valtaa tietyssä asiassa tai tietyllä maantieteellisellä alueella.

1 Power to exercise authority over a subject matter or a territory/geographic area.

(a) Merkittäviä ohjelmia/hankkeita koske- viin hankesopimuksiin, joihin liittyy Na- ton turvallisuusluokiteltua tietoa, on liitet- tävä ohjelman/hankkeen turvallisuusoh- jeet; turvallisuusohjeiden osana on oltava ohjelman/hankkeen turvallisuusluoki- tusopas. Kaikkiin muihin hankesopimuk- siin, joihin liittyy Naton turvallisuusluoki- teltua tietoa, on sisällytettävä vähintään turvallisuusnäkökohtia koskeva kirje, jona voivat toimia soveltamisalaltaan rajoitetut ohjelman/hankkeen turvallisuusohjeet. Viimeksi mainitussa tapauksessa ohjel- man/hankkeen turvallisuusluokitusoppaa- seen voidaan viitata "turvallisuusluokituk- sen tarkistuslistana". Ohjelman/hankkeen turvallisuusohjeet täydentävät Naton tur- vallisuussääntöjä ja -vaatimuksia, ja näissä ohjeissa määrätään kyseiseen Naton ohjelmaan/hankkeeseen liittyvät erityiset turvallisuusmenettelyt sekä vastuut turval- lisuusluokiteltua tietoa koskevien turvatoi- mien toteuttamisesta.

(b) Hankesopimuksista, joihin liittyy aino- astaan turvallisuusluokkaan NATO RESTRICTED luokiteltua tietoa, on eri- tyiset määräykset direktiivissä turvalli- suusluokiteltujen hankkeiden turvallisuu- desta ja yritysturvallisuudesta, etenkin sen liitteessä 4 sellaisten tarjousten ja hanke- sopimusten turvallisuuslausekkeesta, joi- hin liittyy turvallisuusluokkaan NATO RESTRICTED luokiteltua tietoa.

11. Ohjelman/hankkeen mahdollisiin alihan- kintasopimuksiin liittyvän tiedon turvalli- suusluokituksen on perustuttava ohjel- man/hankkeen turvallisuusluokitusoppaa- seen.

NATON ULKOPUOLISTEN VALTIOI- DEN HANKEOSAPUOLTEN KANSSA TEHTÄVÄT HANKESOPIMUKSET, JOIHIN LIITTYY NATON TURVALLI- SUUSLUOKITELTUA TIETOA

12. Kun Naton ulkopuolisten valtioiden han- keosapuolten kanssa tehdään hankesopi- muksia, joihin liittyy Naton turvallisuus- luokiteltua tietoa, tämä on tiedon luovutta- mista, ja siinä on noudatettava tämän C-M-

(a) Contracts for major programme/pro- jects involving NATO Classified Infor- mation shall contain a PSI as an annex; a “Project Security Classification Guide” shall be a part of the PSI. All other con- tracts involving NATO Classified Infor- mation shall include, as a minimum, a SAL, which may be a PSI that is reduced in scope. In the latter case, the Pro- gramme/Project Security Classification Guide may be referred to as a “Security Classification Checklist”. The PSI sup- plements the NATO security policies and requirements, establishes specific secu- rity procedures associated with the NATO programme/project concerned and assigns responsibilities for the implemen- tation of security measures concerning classified information.

(b) For contracts involving only infor- mation classified NR specific regulations have been established in the Directive on Classified Project and Industrial Security, in particular in its Appendix 4 “Contract Security Clause for Tenders and Con- tracts involving NATO RESTRICTED Information”.

11. The security classification for pro- gramme/project elements of information as- sociated with possible sub-contracts shall be based on the Programme/Project Security Classification Guide.

CONTRACTS INVOLVING NATO CLASSIFIED INFORMATION WITH CONTRACTORS IN NON-NATO NA- TIONS

12. The letting of contracts involving NATO Classified Information with Contractors in non-NATO nations constitutes release of in- formation and shall be in accordance with Enclosure “E” to this C-M, the Directive on

asiakirjan liitettä E, direktiiviä Naton turval- lisuusluokitellun tiedon turvallisuudesta sekä direktiiviä turvallisuusluokiteltujen hankkeiden turvallisuudesta ja yritysturvalli- suudesta. Tiedon luovuttamiseen on aina ol- tava sen alkuperäisen yhden tai useamman luovuttajan suostumus.

13. Naton ulkopuolisten valtioiden han- keosapuolten kanssa tehtävät hankesopi- mukset, joihin liittyy Naton turvallisuus- luokiteltua tietoa, edellyttävät kahdenvälisen turvallisuussopimuksen / järjestelyn olemas- saoloa Naton tai sopimuksen tekevän / ta- kaajana toimivan Naton jäsenvaltion ja ky- seisen Naton ulkopuolisen valtion välillä. Jos hankesopimukseen sovelletaan kahden- välistä turvallisuussopimusta / järjestelyä so- pimuksen tekevän / takaajana toimivan Na- ton jäsenvaltion ja Naton ulkopuolisen val- tion välillä, Naton jäsenvaltion on annettava Natolle kirjallinen turvallisuusvakuutus, jossa vahvistetaan, että luovutettavaan Na- ton turvallisuusluokiteltuun tietoon sovelle- taan kyseistä turvallisuussopimusta / järjes- telyä. Jäljennös vakuutuksesta on annettava Naton turvallisuustoimistolle ja kyseiselle Naton ohjelman/hankkeen toimistolle/johto- kunnalle.

14. Tehtäessä hankesopimusta Naton ulko- puolisen valtion hankeosapuolen kanssa on noudatettava menettelyjä, jotka kuvataan di- rektiivissä turvallisuusluokiteltujen hankkei- den turvallisuudesta ja yritysturvallisuu- desta.

15. Naton ulkopuolisiin valtioihin on nimet- tävä yksi tai useampi toimivaltainen turvalli- suusviranomainen, joka hoitaa Naton jäsen- valtion kansallisen turvallisuusviranomaisen

/ määrätyn turvallisuusviranomaisen tehtä- viä vastaavia tehtäviä.

NATON HANKESOPIMUKSIIN LIIT- TYVÄT YRITYSTURVALLISUUSSEL- VITYKSET

Yleistä

16. Hankesopimuksiin ja alihankintasopi- muksiin sovelletaan yksiköitä ja henkilöitä

the Security of NATO Classified Infor- mation and the Directive on Classified Pro- ject and Industrial Security. The release shall always be with the consent of the relevant originator(s).

13. Contracts involving NATO Classified Information with Contractors in non-NATO nations require the existence of a bilateral Security Agreement/Arrangement between NATO or a contracting/sponsoring NATO Nation and the non-NATO nation. If the contract is governed by a bilateral Security Agreement/Arrangement between a con- tracting/sponsoring NATO Nation and a non-NATO nation, the NATO Nation shall provide a written Security Assurance to NATO confirming that the NATO Classi- fied Information provided is governed under the scope of that Security Agreement/Ar- rangement. A copy of the assurance shall be provided to the NOS and the relevant NPO/ NPA.

14. Placing a contract to a Contractor of a non-NATO nation shall follow the proce- dures as established in the Directive on Classified Project and Industrial Security.

15. For non-NATO nations, an appropriate security authority(s) shall be identified that fulfils the equivalent functions of a NATO Nation’s NSA/DSA.

INDUSTRIAL SECURITY CLEAR- ANCES FOR NATO CONTRACTS

General

16. The policy described in subsequent para- graphs for facilities and individuals apply to contracts and sub-contracts.

koskevia periaatteita, jotka esitetään seuraa- vissa kohdissa.

Yritysturvallisuusselvitystodistukset (FSC)

17. Kunkin Naton jäsenvaltion kansallisen turvallisuusviranomaisen / määrätyn turval- lisuusviranomaisen vastuulla on varmistaa, että sen toimivaltaan kuuluvat yksiköt, jotka tarvitsevat pääsyn turvallisuusluokkaan NATO CONFIDENTIAL ja sitä ylempiin luokkiin luokiteltuun tietoon, ovat toteutta- neet tarvittavat suojaustoimet saadakseen to- distuksen yritysturvallisuusselvityksestä. Antaessaan todistuksen yritysturvallisuus- selvityksestä kansallisen turvallisuusviran- omaisen / määrätyn turvallisuusviranomai- sen on varmistettava, että sillä on keinot saada tieto seikoista, jotka voivat vaikuttaa todistuksen antamiseen.

18. Arvioinnissa, joka tehdään ennen yritys- turvallisuusselvitystä koskevan todistuksen antamista, on noudatettava sovellettavia kansallisia säädöksiä ja määräyksiä sekä niitä vaatimuksia ja perusteita, jotka on ku- vattu direktiivissä turvallisuusluokiteltujen hankkeiden turvallisuudesta ja yritysturvalli- suudesta. Arvioinnin tulee kohdistua ainakin hankeosapuolen/alihankkijan rehellisyyteen ja nuhteettomuuteen, sen henkilöstön ja muiden sellaisten henkilöiden turvallisuus- profiiliin, jotka saattavat yhteyksiensä vuok- si tarvita pääsyä Naton turvallisuusluokitel- tuun tietoon, sekä ulkomaiseen omistukseen, määräysvaltaan ja vaikutusvaltaan.

19. Tarjoajaa, jolla ei ole mahdollisen han- kesopimuksen/alihankintasopimuksen edel- lyttämää asianmukaista todistusta yritystur- vallisuusselvityksestä, ei saa automaattisesti sulkea pois kilpailusta. Sopimusviranomai- sen olisi pyrittävä kaikin keinoin rajoitta- maan tarjoajille annettava tieto mahdollisim- man alhaisen turvallisuusluokan tietoon, joka kuitenkin edelleen mahdollistaa tietoon perustuvan ja kilpailukelpoisen vastauksen tarjouspyyntöön. Tarjouspyyntöasiakirjassa on kuitenkin ilmoitettava, että ennen hanke-

Facility Security Clearances (FSC)

17. The NSA/DSA of each NATO Nation is responsible for ensuring that any facility un- der its jurisdiction which will require access to information classified NC and above has adopted the protective security measures necessary to qualify for an FSC. In granting an FSC, the NSA/DSA shall ensure that they have the means to be advised of any circum- stances that could have a bearing upon the viability of the clearance granted.

18. The assessment to be made prior to issu- ing an FSC shall be in accordance with the requirements and criteria set out in the sup- porting Directive on Classified Project and Industrial Security in addition to any appli- cable national laws and regulations. As a minimum the assessment shall cover aspects of the integrity and probity of the Contrac- tor/Sub-Contractor, security status of its per- sonnel and of other individuals who may, by virtue of their association be required to have access to NATO Classified Infor- mation, and aspects of the foreign owner- ship, control and influence.

19. A bidder, not holding an appropriate FSC as required by the potential contract/ subcontract shall not be automatically ex- cluded from the competition. The contract- ing authority should make all efforts in re- stricting the security classification level of the information required to be provided to bidders to the lowest possible level still per- mitting an informed and qualified response to the invitation to tender. However, the ten- der document shall advise on the require- ment for an appropriate FSC prior to the award of the contract/subcontract.

sopimuksen/alihankintasopimuksen teke- mistä vaaditaan asianmukainen todistus yri- tysturvallisuusselvityksestä.

20. Yritysturvallisuusselvityksiä koskevien vaatimusten soveltamistilanteita esitetään Naton turvallisuussääntöjä tukevassa direk- tiivissä turvallisuusluokiteltujen hankkeiden turvallisuudesta ja yritysturvallisuudesta.

21. Todistusta yritys- tai henkilöturvalli- suusselvityksestä ei vaadita sellaisia hanke- sopimuksia varten, joihin liittyy turvalli- suusluokkaan NATO RESTRICTED luoki- teltua tietoa, eikä tällaiseen tietoon pääsyä varten. Valtio, jonka kansalliset turvallisuus- säädökset ja -määräykset edellyttävät todis- tusta yritysturvallisuusselvityksestä turvalli- suusluokkaan NATO RESTRICTED luoki- tellun hankesopimuksen tai alihankintasopi- muksen tekemiseksi, ei saa syrjiä tällaista todistusta vaatimattoman valtion hankeosa- puolta, vaan sen on varmistettava, että han- keosapuolelle on tiedotettu sen velvollisuuk- sista tiedon suojaamisen suhteen ja että han- keosapuoli vahvistaa valtiolle hyväksyvänsä nämä velvollisuudet.

Yksiköiden työntekijöiden henkilöturval- lisuusselvitykset

22. Yksikön työntekijöillä, jotka tarvitsevat pääsyn turvallisuusluokkaan NATO CON- FIDENTIAL ja sitä ylempiin turvallisuus- luokkiin luokiteltuun Naton turvallisuus- luokiteltuun tietoon, on oltava asianmukai- nen todistus henkilöturvallisuusselvityk- sestä. Todistukset henkilöturvallisuusselvi- tyksestä on annettava noudattaen tämän C- M-asiakirjan liitettä C, direktiiviä henkilös- töturvallisuudesta sekä direktiiviä turvalli- suusluokiteltujen hankkeiden turvallisuu- desta ja yritysturvallisuudesta.

23. Hankeosapuolen työntekijöiden turvalli- suusselvityksiä haetaan siltä kansalliselta turvallisuusviranomaiselta / määrätyltä tur- vallisuusviranomaiselta, jonka vastuulle ky- seinen yksikkö kuuluu.

24. Jos yksikkö tahtoo palkata Naton ulko- puolisen valtion kansalaisen tehtävään, joka

20. Scenarios identifying FSC requirements are provided in the supporting Directive on Classified Project and Industrial Security.

21. An FSC or PSC is not required for con- tracts or access to information classified NR. A nation which, under its national secu- rity laws and regulations, requires an FSC for a contract or sub-contract classified NR shall not discriminate against a Contractor from a nation not requiring an FSC, but shall ensure that the Contractor has been in- formed of its responsibilities in respect to the protection of the information, and ob- tains an acknowledgement of those respon- sibilities.

Personnel Security Clearances for Facil- ity Employees

22. The facility’s employees who require ac- cess to NATO Classified Information NC and above shall hold an appropriate PSC. The issuing of PSCs shall be in accordance with Enclosure “C” to this C-M, the Di- rective on Personnel Security and the Di- rective on Classified Project and Industrial Security.

23. Applications for the security clearance for Contractor employees shall be made to the NSA/DSA which is responsible for the facility.

24. If a facility wishes to employ a citizen of a non-NATO nation in a position that re-

edellyttää pääsyä Naton turvallisuusluokitel- tuun tietoon, palkkaajayksikön suhteen toi- mivaltaisen valtion kansallisen turvallisuus- viranomaisen / määrätyn turvallisuusviran- omaisen on tehtävä tässä määrätty turvalli- suusselvitys ja päätettävä, voidaanko henki- lölle sallia pääsy tietoon noudattaen tämän C-M-asiakirjan liitteen C vaatimuksia, di- rektiiviä henkilöstöturvallisuudesta sekä di- rektiiviä turvallisuusluokiteltujen hankkei- den turvallisuudesta ja yritysturvallisuu- desta.

NATON TURVALLISUUSLUOKITEL- LUN TIEDON LUOVUTTAMINEN HANKESOPIMUKSIA TEHTÄESSÄ

25. Hankesopimuksia tehtäessä Naton tur- vallisuusluokiteltua tietoa voidaan luovuttaa joko Naton ulkopuolisille valtioille ja kan- sainvälisille järjestöille tai Naton valtioiden toimijoille, jotka eivät osallistu ohjel- miin/hankkeisiin. Luovuttamiseen on saa- tava tapauksen mukaan kyseisen ohjel- man/hankkeen johtokunnan/toimiston ja/tai tiedon alkuperäisen luovuttajan suostumus, ja siinä on noudatettava muita sovellettavia Naton turvallisuussääntöjen liitteitä, direktii- viä Naton turvallisuusluokitellun tiedon tur- vallisuudesta sekä direktiiviä turvallisuus- luokiteltujen hankkeiden turvallisuudesta ja yritysturvallisuudesta.

TURVALLISUUSLUOKITELLUN TIE- DON KÄSITTELY VIESTINTÄ- JA TIETOJÄRJESTELMISSÄ

26. Naton turvallisuusluokitellun tiedon säi- lyttämiseen, käsittelyyn ja siirtämiseen (jäl- jempänä "käsittely") saa käyttää ainoastaan asianmukaisesti akkreditoituja viestintä- ja tietojärjestelmiä. Tämän C-M-asiakirjan liit- teessä F, päädirektiivissä viestintä- ja tieto- järjestelmien turvallisuudesta (AC/35- D/2004), viestintä- ja tietojärjestelmien tur- vallisuuden hallintaa koskevassa direktii- vissä (AC/35-D/2005) sekä kaikissa sovel- lettavissa viestintä- ja tietojärjestelmien tur- vallisuuden teknisissä ja toimeenpanodirek- tiiveissä (AC/322-asiakirjat) esitetään lisää periaatteita ja ohjeita Naton turvallisuus- luokiteltua tietoa käsittelevien viestintä- ja

quires access to NATO Classified Infor- mation, it is the responsibility of the NSA/ DSA of the Nation which has jurisdiction over the hiring facility, to carry out the secu- rity clearance procedure prescribed herein, and determine that the individual can be granted access in accordance with the re- quirements of Enclosure “C” to this C-M, the Directive on Personnel Security and the Directive on Classified Project and Indus- trial Security.

RELEASE OF NATO CLASSIFIED IN- FORMATION IN CONTRACTING

25. The release of NATO Classified Infor- mation in contracting can constitute either release to non-NATO nations and Interna- tional Organizations or release to non-Pro- gramme/Project participants from NATO Nations. The release shall be with the con- sent of the relevant NPA/NPO and/or origi- nator, as applicable, and in accordance with other relevant enclosures to the NATO Security Policy, the Directive on the Secu- rity of NATO Classified Information as well as the Directive on Classified Project and Industrial Security.

THE HANDLING OF CLASSIFIED IN- FORMATION IN COMMUNICATION AND INFORMATION SYSTEMS (CIS)

26. Only appropriately security accredited CIS shall be used for the storing, processing or transmitting (called hereafter “handling") of NATO Classified Information. Enclosure “F” to this C-M, the “Primary Directive on CIS Security” (AC/35-D/2004), the “Man- agement Directive on CIS security”

(AC/35-D/2005) and all relevant Technical and Implementation Directives on CIS Se- curity (AC/322 documents) provide further policy and directions for the conformant im- plementation of CIS handling NATO Classi- fied Information.

tietojärjestelmien vaatimustenmukaisesta to- teuttamisesta.

27. Turvallisuusluokkaan NATO RESTRIC- TED luokiteltua tietoa käsittelevien vies- tintä- ja tietojärjestelmien akkreditointi voi- daan kansallisten turvallisuussäädösten ja - määräysten perusteella siirtää hankeosapuol- ten tehtäväksi. Jos tehtävä siirretään han- keosapuolille, toimivaltaisten kansallisten turvallisuusviranomaisten / määrättyjen tur- vallisuusviranomaisten / akkreditointiviran- omaisten on vastattava hankeosapuolen kä- sittelemän turvallisuusluokkaan NATO RESTRICTED luokitellun tiedon suojaami- sesta, ja niillä on oikeus tarkastaa hankeosa- puolten toteuttamat turvatoimet.

KANSAINVÄLISIIN VIERAILUIHIN LIITTYVÄT VALVONTAMENETTE- LYT

28. Naton jäsenvaltioiden, Naton sotilas- ja siviilielinten, hankeosapuolten ja alihankki- joiden edustajien kansainvälisiin vierailui- hin, joihin liittyy Naton turvallisuusluokitel- tua tietoa, sovelletaan kansainvälisiin vierai- luihin liittyviä valvontamenettelyjä. Niitä sovelletaan myös Naton ulkopuolisen val- tion edustajiin, sen hankeosapuolet/alihank- kijat mukaan lukien, jos tämä valtio on otta- nut kansainvälisiin vierailuihin liittyvät val- vontamenettelyt käyttöön.

29. Vierailut, joihin liittyy pääsy turvalli- suusluokkaan NATO CONFIDENTIAL ja sitä ylempiin luokkiin luokiteltuun tietoon tai pääsy turvallisuusalueille ilman saattajaa, on hyväksytettävä kansallisella turvallisuus- viranomaisella / määrätyllä turvallisuusvi- ranomaisella. Vierailut, joihin liittyy pääsy ryhmään NATO UNCLASSIFIED2 kuulu- vaan tai turvallisuusluokkaan NATO REST- RICTED luokiteltuun tietoon, voidaan jär- jestää suoraan lähettävän ja vastaanottavan yksikön välillä ilman muodollisia vaatimuk- sia.

27. The security accreditation of CIS han- dling information classified NR may be del- egated to Contractors according to national security laws and regulations. Where this delegation is exercised, the relevant NSAs/ DSAs/SAAs shall retain the responsibility for the protection of NR information han- dled by the Contractor and the right to in- spect the security measures taken by the Contractors.

INTERNATIONAL VISIT CONTROL PROCEDURES (IVCP)

28. IVCP apply to international visits by representatives of NATO Nations, NATO Civil and Military bodies, Contractors and Sub-Contractors involving NATO Classified Information. They also apply to representa- tives of a non-NATO nation including Con- tractors/Sub-Contractors of such Nation if the Nation has adopted the IVCP.

29. Visits involving access to information classified NC and above or unescorted ac- cess to security areas shall be approved by the NSA/DSA. Visits involving access to NU2 or information classified NR may be arranged directly between the sending and receiving facility without formal require- ments.

2 NATO UNCLASSIFIED ei ole Naton turvallisuusluokka.

2 NU is not a NATO security classification.

30. Yksityiskohtaisia järjestelyitä kansainvä- listen vierailujen toteuttamiseksi on kuvattu direktiivissä turvallisuusluokiteltujen hank- keiden turvallisuudesta ja yritysturvallisuu- desta.

NATON HANKKEESEEN/OHJEL- MAAN LAINATTAVA HENKILÖSTÖ

31. Jos henkilö, josta on tehty turvallisuus- selvitys Naton turvallisuusluokiteltuun tie- toon pääsyä varten, on määrä lainata yksi- köstä toiseen samassa Naton ohje- massa/hankkeessa, mutta toisessa Naton jä- senvaltiossa, henkilön oman yksikön on pyydettävä valtionsa kansallista turvalli- suusviranomaista / määrättyä turvallisuusvi- ranomaista antamaan vahvistus tämän hen- kilön henkilöturvallisuusselvityksestä sen yksikön valtion kansalliselle turvallisuusvi- ranomaiselle / määrätylle turvallisuusviran- omaiselle, johon hänet on määrä lainata.

NATON TURVALLISUUSLUOKITEL- LUN AINEISTON SIIRTÄMINEN JA KULJETTAMINEN KANSAINVÄLI- SESTI

Kaikkiin kuljetusmuotoihin sovellettavat turvallisuusperiaatteet

32. Tarkasteltaessa turvallisuusjärjestelyjä, joita aiotaan noudattaa turvallisuusluokitel- tua aineistoa sisältävien lähetysten kansain- välisissä kuljetuksissa, on noudatettava seu- raavia periaatteita:

(a) turvallisuus on varmistettava kaikissa kuljetuksen vaiheissa ja olosuhteissa alku- peräisestä lähtöpaikasta lopulliseen koh- teeseen;

(b) lähetyksen suojauksen taso on määri- tettävä sen sisältämän aineiston ylimmän turvallisuusluokan mukaan;

(c) kuljetuksen hoitaville yrityksille on tarvittaessa hankittava todistus yritystur- vallisuusselvityksestä. Näissä tapauksissa lähetystä käsittelevälle henkilöstölle on annettava todistus henkilöturvallisuussel- vityksestä tämän liitteen määräysten mu- kaisesti;

30. Detailed arrangements for the conduct of International Visits are laid down in the Di- rective on Classified Project and Industrial Security.

PERSONNEL ON LOAN WITHIN A NATO PROJECT/ PROGRAMME

31. When an individual who has been cleared for access to NATO Classified In- formation is to be loaned from one facility to another in the same NATO programme/ project, but in a different NATO Nation, the individual’s parent facility shall request its NSA/DSA to provide a Personnel Security Clearance Confirmation for the individual to the NSA/DSA of the facility to which they are to be loaned.

INTERNATIONAL TRANSMISSION AND TRANSPORTATION OF NATO CLASSIFIED MATERIAL

Security Principles Applicable to all Forms of Transportation

32. The following principles shall be en- forced when examining proposed security arrangements for the international transpor- tation of consignments of classified mate- rial:

(a) security shall be assured at all stages during the transportation and under all circumstances, from the point of origin to the ultimate destination;

(b) the degree of protection accorded to a consignment shall be determined by the highest security classification level of material contained within it;

(c) an FSC shall be obtained, where re- quired, for companies providing transpor- tation. In such cases, personnel handling the consignment shall be issued a PSC in compliance with the provisions of this Enclosure;

(d) kuljetusten on mahdollisuuksien mu- kaan tapahduttava suoraan pisteestä pis- teeseen, ja ne on tehtävä niin pian kuin olosuhteet sallivat; ja

(e) kuljetusreitit on huolellisesti järjestet- tävä kulkemaan ainoastaan Naton jäsen- valtioiden kautta. Naton ulkopuolisten valtioiden kautta kulkevia reittejä olisi käytettävä vain, jos lähettäjän suhteen toi- mivaltainen kansallinen turvallisuusviran- omainen / määrätty turvallisuusviranomai- nen sallii tämän, ja tällöin on noudatettava Naton turvallisuussääntöjä tukevaa direk- tiiviä Naton turvallisuusluokitellun tiedon turvallisuudesta.

33. Järjestelyistä turvallisuusluokitellun ai- neiston lähettämiseksi määrätään erikseen kunkin ohjelman/hankkeen yhteydessä. Näitä järjestelyjä on kuitenkin noudatettava, jotta minimoidaan todennäköisyys luvatto- maan pääsyyn tähän aineistoon.

34. Naton turvallisuusluokitellun tiedon kansainvälistä välittämistä koskevat turvalli- suusvaatimukset esitetään Naton turvalli- suussääntöjä tukevassa direktiivissä Naton turvallisuusluokitellun tiedon turvallisuu- desta. Yksityiskohtaiset vaatimukset Naton turvallisuusluokitellun aineiston kuljettami- selle mukana ja kaupallisten kuriiriyritysten, turvallisuusvartijoiden ja saattajien välityk- sellä sekä räjähteiden, ajoaineiden ja muiden vaarallisten aineiden kuljettamiselle esite- tään kuitenkin Naton turvallisuussääntöjä tu- kevassa direktiivissä turvallisuusluokiteltu- jen hankkeiden turvallisuudesta ja yritystur- vallisuudesta.

(d) journeys shall be point-to-point to the extent possible, and shall be completed as quickly as circumstances permit; and

(e) care shall be exercised to arrange routes only through NATO Nations. Routes through non-NATO nations should only be undertaken when author- ised by the NSA/ DSA having jurisdic- tion over the consignor and in accordance with the supporting Directive on the Se- curity of NATO Classified Information.

33. Arrangements for consignments of clas- sified material shall be stipulated for each programme/project. However, such arrange- ments shall be in force in order to minimize the likelihood of unauthorised access to classified material.

34. The security standards for the interna- tional transfer of NATO Classified Infor- mation can be found in the supporting Di- rective on the Security of NATO Classified Information. However, the detailed require- ments for the hand carriage of NATO classi- fied material, carriage of classified material by commercial courier companies, security guards and escorts, and the transportation of explosives, propellants or other dangerous substances are set out in the supporting Di- rective on Classified Project and Industrial Security.

LIITE H C-M(2002)49-REV1

LIITE H TURVALLISUUS SUHTEISSA NATON

ULKOPUOLISIIN TOIMIJOIHIN

JOHDANTO

1. Tässä liitteessä esitetään ne periaatteet ja vähimmäisvaatimukset, joita noudatetaan suojattaessa Naton ulkopuolisille valtioille ja muille Naton ulkopuolisille elimille (esim. kansainvälisille järjestöille) (jäljem- pänä "Naton ulkopuoliset toimijat" (NNE)) luovutettavaa tai näiden pääsyoikeuden pii- riin kuuluvaa Naton turvallisuusluokiteltua tietoa, mukaan lukien näitä valtioita tai eli- miä edustavat henkilöt.

2. Naton turvallisuusluokitellun tiedon jaka- misen Naton ulkopuolisten toimijoiden kanssa tulee tapahtua Pohjois-Atlantin neu- voston (NAC) hyväksymän Naton yhteistyö- toiminnan yhteydessä. Pohjois-Atlantin neu- vosto tai asianomainen valtuutettu viran- omainen käsittelee ja hyväksyy tapauskoh- taisesti pyynnöt Naton turvallisuusluokitel- lun tiedon jakamisesta Naton ulkopuolisten toimijoiden kanssa tällaisen yhteistyötoi- minnan ulkopuolella. Lisätietoja ja vaati- muksia Naton ulkopuolisille toimijoille luo- vutettavan tai näiden pääsyoikeuden piiriin kuuluvan Naton turvallisuusluokitellun tie- don suojaamiseksi on Naton turvallisuus- sääntöjä tukevassa direktiivissä turvallisuu- desta Naton suhteissa Naton ulkopuolisiin toimijoihin.

3. "7 Naton ulkopuolista valtiota", (7NNN), tarkoittaa yksinomaan seuraavia valtioita ja niiden kansalaisia: Australia, Irlanti, Itä- valta, Ruotsi, Suomi, Sveitsi ja Uusi-See- lanti.1

4. Kukin Naton ulkopuolinen toimija perus- taa asianmukaisen turvallisuusviranomaisen, joka vastaa Naton turvallisuusluokitellun

ENCLOSURE “H”

C-M(2002)49-REV1

ENCLOSURE “H”

SECURITY IN RELATION TO NON- NATO ENTITIES

INTRODUCTION

1. This Enclosure sets out the policy and minimum standards for the protection of NATO Classified Information to be released to or accessed by non-NATO nations and other non-NATO bodies (e.g. International Organizations) including individuals repre- senting such nations or bodies (hereinafter referred to as non-NATO entities (NNEs)).

2. The sharing of NATO Classified Infor- mation with NNEs shall take place in the context of NATO cooperative activities ap- proved by the North Atlantic Council (NAC). Any request to share NATO Classi- fied Information with NNEs outside such cooperative activities shall be considered and approved by the NAC or the appropriate delegated authority on a case-by-case basis. Additional details and requirements for the protection of NATO Classified Information to be released or accessed by NNEs are found in the supporting Directive for NATO on Security in Relation to NNEs.

3. The term 7 Non-NATO Nations (7NNN) refers solely to the following countries and their citizens: Australia, Austria, Finland, Ireland, New Zealand, Sweden and Switzer- land.1

4. NNEs shall establish an appropriate secu- rity authority responsible for the security of

1 Kansalliset turvallisuusviranomaiset / määrätyt turvallisuusviranomaiset voivat ehdottaa muutoksia valtioiden luetteloon turvallisuuskomitean hyväksyttäväksi.

1 NSAs/DSAs may propose changes to the list of countries, for approval by the Security Committee.

tiedon turvallisuudesta. Naton turvallisuus- sääntöjä tukevassa asiakirjassa turvallisuu- desta Naton ulkopuolisten toimijoiden suh- teissa Natoon annetaan näille toimijoille yleiskuva niistä turvallisuuden perusperiaat- teista ja vähimmäisvaatimuksista, joita on sovellettava suojattaessa ja käsiteltäessä Na- ton turvallisuusluokiteltua tietoa ja vastaa- vaa kansallista tietoa, kun sitä vaihdetaan Pohjois-Atlantin neuvoston hyväksymän Naton yhteistyötoiminnan yhteydessä.

YLEISET VAATIMUKSET

5. Naton turvallisuusluokiteltua tietoa voi- daan vaihtaa Naton ulkopuolisten toimijoi- den kanssa seuraavissa yhteyksissä:

(a) Pohjois-Atlantin neuvoston hyväk- symä yhteistyötoiminta, johon Pohjois-At- lantin neuvosto on hyväksynyt Naton ul- kopuolisen toimijan osallistumaan;

(b) Naton toiminta (esim. ohjelma, hanke, operaatio, tehtävä), jossa Naton ulkopuoli- sen toimijan osallistumisen ja sen muka- naolon toiminnassa joltakin osin katsotaan hyödyttävän Natoa; tai

(c) Naton jäsenvaltion ja Naton ulkopuoli- sen toimijan väliset kahdenväliset si- toumukset, joiden osalta Naton turvalli- suusluokitellun tiedon jakamisen Naton ulkopuolisen toimijan kanssa katsotaan hyödyttävän Natoa.

6. Ennen Naton turvallisuusluokitellun tie- don jakamista Naton ulkopuolisen toimijan kanssa kyseisen toimijan ja Naton on tullut tehdä turvallisuussopimus, jonka toteuttami- nen Naton turvallisuustoimiston (NOS) on vahvistettava. Jos turvallisuussopimusta ei ole tehty, on tullut antaa turvallisuusvakuu- tus, jos on poliittisesti tai operatiivisesti välttämätöntä jakaa Naton turvallisuusluoki- teltua tietoa oikea-aikaisesti Pohjois-Atlan- tin neuvoston hyväksymän yhteistyötoimin- nan tukemiseksi tai poikkeustapauksissa täl- laisen toiminnan ulkopuolella. Turvallisuus- sääntöjä tukevassa direktiivissä turvallisuu- desta Naton suhteissa Naton ulkopuolisiin toimijoihin kuvataan yksityiskohtaiset mää-

NATO Classified Information. The Support- ing Document for Non-NATO Entities on Security in Relation to NATO provides the NNEs with an overview of the basic princi- ples and minimum standards of security to be applied to the protection and handling of NATO Classified Information, and national equivalents exchanged in the context of NATO cooperative activities approved by the NAC.

GENERAL REQUIREMENTS

5. The sharing of NATO Classified Infor- mation with NNEs may take place in the contexts of:

(a) NAC-approved cooperative activities where the NNE’s participation has been approved by the North Atlantic Council (NAC);

(b) NATO activities (e.g. programme, project, operation, task) where the NNE’s participation and the nature of its engage- ment in a specific aspect of an activity is deemed beneficial to NATO; or

(c) bilateral engagements between a NATO Nation and an NNE, where shar- ing of NATO Classified Information with an NNE has been determined to be bene- ficial to NATO.

6. Prior to sharing NATO Classified Infor- mation with an NNE, the NNE and NATO shall have entered into a Security Agree- ment, the implementation of which shall be certified by the NATO Office of Security (NOS). In the absence of a Security Agree- ment, a Security Assurance shall be in place where there is a political or operational im- perative to share NATO Classified Infor- mation in a timely manner in support of a NAC-approved cooperative activity or, in exceptional cases, outside such an activity. The supporting Directive for NATO on Se- curity in Relation to NNEs describes de- tailed provisions applicable to sharing NATO Classified Information with NNEs in the contexts specified in paragraph 5.

räykset, joita sovelletaan Naton turvallisuus- luokitellun tiedon jakamiseen Naton ulko- puolisten toimijoiden kanssa 5. kohdassa mainituissa yhteyksissä.

TURVALLISUUSSOPIMUKSET JA HALLINNOLLISET JÄRJESTELYT

7. Turvallisuussopimus on järjestelmä, jonka avulla mahdollistetaan turvallisuusluokitel- lun tiedon vaihtaminen tietyn Naton ulko- puolisen toimijan kanssa. Turvallisuussopi- muksessa määrätään Naton ja Naton ulko- puolisen toimijan välillä sovitut korkean ta- son strategiset periaatteet, jotka toimivat pe- rustana asianmukaisten turvatoimien toteut- tamiselle tarkoituksena suojata tarvittaessa sekä Naton että Naton ulkopuolisen toimijan turvallisuusluokiteltua tietoa. Ennen Naton turvallisuusluokitellun tiedon luovuttamista Naton ulkopuoliselle toimijalle Naton tur- vallisuustoimiston on vahvistettava, että tämä toimija noudattaa turvallisuussopi- musta.

8. Turvallisuussopimuksen turvallisuusperi- aatteita tuetaan asianmukaisella hallinnollis- ten järjestelyjen kokonaisuudella. Hallinnol- liset järjestelyt tukevat turvallisuussopimuk- sen toteuttamista ja koostuvat määräyksistä, joissa asetetaan turvallisuuden perusvaati- mukset vaihdettavan turvallisuusluokitellun tiedon suojaamiseksi asianmukaisella ja kes- kinäisesti hyväksyttävällä tavalla. Kun hal- linnollisista järjestelyistä on sovittu, Naton turvallisuustoimisto vahvistaa niiden sovel- tamisen turvallisuustarkastuksen avulla.

9. Naton turvallisuustoimisto tekee Naton ulkopuolisten toimijoiden asianomaisille eli- mille määräajoin, vähintään kahden vuoden välein, riskinhallinnan lähestymistapaan pe- rustuvia turvallisuustarkastuksia varmistaak- seen turvallisuussopimuksen ja hallinnollis- ten järjestelyjen jatkuvan noudattamisen.

TURVALLISUUSVAKUUTUKSET

10. Turvallisuusvakuutusta käytetään, jos Naton ja Naton ulkopuolisen toimijan välillä

SECURITY AGREEMENTS AND AD- MINISTRATIVE ARRANGEMENTS

7. A Security Agreement is a mechanism used to enable the exchange of classified information with an identified NNE. It sets out high level strategic principles agreed be- tween NATO and the NNE, providing the basis for the implementation of appropriate security measures to protect NATO Classi- fied Information as well as the NNE’s clas- sified information, when required. The im- plementation of the Security Agreement by the NNE shall be certified by the NOS be- fore any NATO Classified Information is re- leased to an NNE.

8. The security principles identified in the Security Agreement shall be supported by an appropriate set of Administrative Ar- rangements. The Administrative Arrange- ments act in support of the implementation of a Security Agreement and are a set of provisions which outline the basic security requirements for the appropriate and mutu- ally acceptable protection of the exchanged classified information. Once the Administra- tive Arrangements have been concluded their application shall be confirmed by the NOS through the conduct of a security sur- vey.

9. The NOS shall carry out periodic security surveys, at least once every two years, based on a risk management approach, of the rele- vant bodies within the NNE to ensure con- tinued compliance with the Security Agree- ment and the Administrative Arrangements.

SECURITY ASSURANCES

10. A Security Assurance is utilized in the absence of a certified Security Agreement between NATO and an NNE where there is

ei ole voimassa vahvistettua turvallisuusso- pimusta ja jos on poliittisesti tai operatiivi- sesti välttämätöntä jakaa Naton turvallisuus- luokiteltua tietoa oikea-aikaisesti Pohjois- Atlantin neuvoston hyväksymän yhteistyö- toiminnan tukemiseksi tai poikkeustapauk- sissa tällaisen toiminnan ulkopuolella. Na- ton turvallisuussääntöjä tukevassa direktii- vissä turvallisuudesta Naton suhteissa Naton ulkopuolisiin toimijoihin määrätään yksi- tyiskohtaisista edellytyksistä, jotka on täy- tettävä käytettäessä turvallisuusvakuutusta.

11. Turvallisuusvakuutus virallistaa Naton ulkopuolisen toimijan sitoumuksen suojata vastaanottamansa Naton turvallisuusluoki- teltu tieto asianmukaista tasoa noudattaen. Turvallisuusvakuutus rajoitetaan koskemaan tiettyä toimintaa tietyn ajan.

12. Naton ulkopuolisen toimijan antama tur- vallisuusvakuutus, jonka tämän toimijan asi- anmukaisesti valtuuttama edustaja on alle- kirjoittanut, annetaan Naton turvallisuustoi- mistolle, kun turvallisuusvakuutusta käyte- tään tarkoituksena mahdollistaa Naton tur- vallisuusluokitellun tiedon jakaminen seu- raavien tukemiseksi:

(a) Pohjois-Atlantin neuvoston hyväk- symä yhteistyötoiminta tai

(b) tapauskohtaisesti Naton toiminta, jo- hon Pohjois-Atlantin neuvosto tai asian- omainen valtuutettu viranomainen on hy- väksynyt Naton ulkopuolisen toimijan osallistumaan.

Naton jäsenvaltion toimiminen takaajana

13. Naton turvallisuusluokitellun tiedon ja- kaminen muun kuin 12.a tai 12.b kohdassa määritellyn toiminnan yhteydessä Naton jä- senvaltion erityisestä pyynnöstä edellyttää takaajaa. Takaajana toimiminen tarkoittaa tietynlaista Naton jäsenvaltion tukea Naton ulkopuoliselle toimijalle tarkoituksena mah- dollistaa Naton turvallisuusluokitellun tie- xxx xxxxxxxxx tämän toimijan kanssa, jos Naton ja tämän toimijan välillä ei ole voi- massa vahvistettua turvallisuussopimusta.

a political or operational imperative that ne- cessitates the sharing of NATO Classified Information in a timely manner in support of a NAC-approved cooperative activity, or in exceptional cases outside such an activity.

The supporting Directive for NATO on Security in Relation to NNEs provides de- tailed criteria to be fulfilled in cases when a Security Assurance is used.

11. A Security Assurance formalises the NNE’s commitment to provide an appropri- ate degree of protection to any NATO Clas- sified Information received. A Security As- surance is limited to the specific activity, for a specific period of time.

12. A Security Assurance from an NNE, signed by a representative duly mandated by the NNE, shall be provided to the NOS in cases where a Security Assurance is utilized for the purposes of enabling sharing of NATO Classified Information in support of a:

(a) NAC-approved cooperative activity, or

(b) NATO activity, where the NNE’s par- ticipation has been approved by the NAC or the appropriate delegated authority, on a case-by-case basis.

Sponsorship by a NATO Nation

13. Sharing of NATO Classified Infor- mation outside activities defined in 12 (a) or (b), further to a special request by a NATO Nation, requires sponsorship. A sponsorship means a form of support provided by a NATO Nation to an NNE in order to enable sharing of NATO Classified Information with an NNE in case of absence of a certi- fied Security Agreement between NATO and the NNE.

14. Jotta Naton jäsenvaltio voi toimia takaa- jana, xxxxxxxx ja Naton ulkopuolisen toimi- jan välillä on oltava olemassa asianmukai- nen turvallisuusjärjestely (esim. turvalli- suussopimus tai muu sovellettava järjestely). Takaajan on toimitettava Naton turvallisuus- toimistolle kirjallinen turvallisuusvakuutus, jonka on allekirjoittanut Naton ulkopuolisen toimijan asianmukaisesti valtuuttama edus- taja. Turvallisuusvakuutuksessa asetetaan ne vähimmäisvaatimukset, joita Naton ulko- puolisen toimijan on sovellettava Naton tur- vallisuusluokitellun tiedon suojaamiseksi.

15. Takaajana toimiminen rajoitetaan koske- maan tiettyä toimintaa tietyn ajan.

ERITYISET TURVALLISUUSMÄÄ- RÄYKSET

16. Jaettaessa Naton turvallisuusluokiteltua tietoa Naton ulkopuolisten toimijoiden kanssa voidaan pääsy Naton turvallisuus- luokiteltuun tietoon tai toimitilaan sallia näille toimijoille kolmella tavalla: pääsy Na- ton toimitiloihin, pääsy Naton turvallisuus- luokiteltuun tietoon ja Naton turvallisuus- luokitellun tiedon luovuttaminen. Naton tur- vallisuussääntöjä tukevassa direktiivissä tur- vallisuudesta Naton suhteissa Naton ulko- puolisiin toimijoihin määrätään kussakin ti- lanteessa sovellettavista yksityiskohtaisista edellytyksistä sekä erityistoimista ja menet- telyistä.

Henkilöstöturvallisuus

17. Ennen kuin Naton ulkopuolista toimijaa edustavalle henkilölle annetaan pääsy tur- vallisuusluokkaan NATO CONFIDENTIAL tai sitä ylempään luokkaan luokiteltuun tie- toon, hänen on tullut läpäistä vähintään sa- mantasoinen PSC-menettely kuin se, joka Naton turvallisuusperiaatteiden ja niitä tuke- vien ohjeiden mukaan vaaditaan Naton jä- senvaltion kansalaiselta.

18. Turvallisuusluokkaan NATO RESTRIC- TED luokiteltuun tietoon pääsemiseksi ei vaadita todistusta henkilöturvallisuusselvi- tyksestä. Kyseisellä Naton ulkopuolista toi-

14. In order for a NATO Nation to be able to act as a Sponsor there shall be an appro- priate security framework (e.g. security agreement or other applicable arrangement) in place between the Sponsor and the NNE. The Sponsor shall provide a written Security Assurance, signed by a representative duly mandated by the NNE, to the NOS. The Se- curity Assurance stipulates the minimum standards that the NNE shall apply for the protection of NATO Classified Information.

15. A sponsorship is limited to a specific ac- tivity, for a specific period of time.

SPECIFIC SECURITY PROVISIONS

16. When sharing NATO Classified Infor- mation with NNEs there are three circum- stances in which access to NATO Classified Information or premises can be provided to NNEs: access to NATO premises, access to NATO Classified Information, and release of NATO Classified Information. The sup- porting Directive for NATO on Security in Relation to NNEs provides detailed criteria and the related specific measures and proce- dures applicable for each scenario.

Personnel Security

17. Before an NNE individual is granted ac- cess to information classified NC or above, the individual shall have successfully com- pleted a PSC procedure no less rigorous than that required for a NATO national in accordance with NATO Security Policy and its supporting directives.

18. A PSC is not required for access to in- formation classified NATO RESTRICTED (NR). However, the NNE individual shall have a need-to-know, shall be briefed on their security obligations in respect to the

mijaa edustavalla henkilöllä on kuitenkin ol- tava tiedonsaantitarve, hänelle on selostet- tava hänen turvallisuusvelvoitteensa Naton turvallisuusluokitellun tiedon suojaamisen suhteen, ja hänen on tullut kirjallisesti tai vastaavalla kiistämättömyyden varmista- valla menetelmällä ilmoittaa ymmärtäneensä turvallisuusvelvoitteensa.

19. Todistusta henkilöturvallisuusselvityk- sestä voidaan vaatia edellytyksenä pääsylle Naton toimitiloihin sellaisten erityisten edel- lytysten perusteella, joista määrätään Naton turvallisuussääntöjä tukevassa direktiivissä turvallisuudesta Naton suhteissa Naton ulko- puolisiin toimijoihin ja sovellettavissa pai- kallisissa turvallisuusmääräyksissä.

Toimitilaturvallisuus

20. Naton ulkopuolisia toimijoita edustaville henkilöille, joiden on toimeksiantonsa ja vi- rallisten tehtäviensä vuoksi tavattava sään- nöllisesti Naton henkilöstöä, voidaan sallia pääsy tietyille alueille, joilla säilytetään tai käsitellään turvallisuusluokkaan NATO RESTRICTED ja sitä ylempiin luokkiin luo- kiteltua tietoa ja/tai siitä keskustellaan. Näille henkilöille voidaan myös antaa työs- kentelytilaa tietyiltä alueilta. Pääsyn sallimi- nen ilman saattajaa ja/tai työskentelytilan antaminen käsitellään tapauskohtaisesti.

21. Naton turvallisuussääntöjä tukevassa di- rektiivissä turvallisuudesta Naton suhteissa Naton ulkopuolisiin toimijoihin on yksityis- kohtaista tietoa edellytyksistä, joilla Naton ulkopuolisia toimijoita edustaville henki- löille voidaan sallia pääsy Naton luokan I tai II turva-alueelle tai hallinnolliselle vyöhyk- keelle, sekä tällöin noudatettavasta menette- lystä ja toimivaltaisista hyväksyntäviran- omaisista.

Tietoaineistoturvallisuus

22. Naton ulkopuolisten toimijoiden kanssa tehtävässä yhteistyössä voidaan pääsy Naton turvallisuusluokiteltuun tietoon sallia näille toimijoille kolmella tavalla:

protection of NATO Classified Information and shall have acknowledged their security responsibilities in writing or an equivalent method which ensures non-repudiation.

19. A PSC may be required to access NATO premises based on specific criteria stipulated in the supporting Directive for NATO on Security in Relation to NNEs, and the rele- vant local security regulations.

Physical Security

20. Individuals from NNEs who, because of their assignment and official duties, need regular interface with NATO staff may be granted access to specific areas in which in- formation classified NR and above is stored, handled and/or discussed. Such individuals may also be assigned office space within specific areas. The granting of unescorted access and/or the assignment of office space shall be handled on a case-by-case basis.

21. The supporting Directive for NATO on Security in Relation to NNEs provides de- tailed information on the procedure, ap- proval authorities and the criteria to be ful- filled for individuals from NNEs to be granted access to a NATO Class I or Class II Security Area, or to an Administrative Zone.

Security of Information

22. In the context of cooperation with NNEs there are three circumstances in which ac- cess to NATO Classified Information or premises can be provided to NNEs:

(a) pääsy Naton toimitiloihin. Naton ul- kopuolista toimijaa edustavalle henkilölle sallitaan fyysinen pääsy tiettyyn Naton ti- laan tai yksikköön tai tietylle alueelle yk- sikön sisällä. Fyysinen pääsy ei automaat- tisesti sisällä pääsyä Naton turvallisuus- luokiteltuun tietoon;

(b) pääsy Naton turvallisuusluokitel- tuun tietoon. Naton ulkopuolista toimijaa edustavalle henkilölle sallitaan pääsy Na- ton turvallisuusluokiteltuun tietoon, jotta hän voi hoitaa toimeksiantonsa ja viralli- set tehtävänsä, kun pääsy hyödyttää Na- toa. Pääsy sallitaan vain kyseiselle henki- lölle, eikä hän saa jakaa Naton turvalli- suusluokiteltua tietoa eteenpäin edusta- malleen Naton ulkopuoliselle toimijalle, ellei kyseistä tietoa ole luovutettu vakiin- tuneiden menettelyjen mukaisesti;

(c) Naton turvallisuusluokitellun tiedon luovuttaminen. Naton turvallisuusluoki- teltua tietoa sallitaan luovutettavan Naton ulkopuoliselle toimijalle.

23. Naton turvallisuussääntöjä tukevassa di- rektiivissä turvallisuudesta Naton suhteissa Naton ulkopuolisiin toimijoihin määrätään yksityiskohtaisista edellytyksistä, jotka on täytettävä tietyissä tilanteissa, kun Naton so- tilas- tai siviilielinten tai Naton jäsenvaltioi- den on määrä sallia pääsy Naton turvalli- suusluokiteltuun tietoon tai luovuttaa sitä.

24. Naton turvallisuusluokitellun tiedon luo- vuttaminen Naton ulkopuoliselle toimijalle edellyttää aina alkuperäisen yhden tai use- amman luovuttajan kirjallista ennakkosuos- tumusta.

25. Naton turvallisuusluokiteltua tietoa voi- daan luovuttaa Pohjois-Atlantin neuvoston hyväksymän yhteistyötoiminnan yhteydessä tai Naton toiminnan yhteydessä, jos Pohjois- Atlantin neuvosto tai asianomainen valtuu- tettu viranomainen on hyväksynyt tähän toi- mintaan osallistuvat Naton ulkopuoliset toi- mijat. Naton turvallisuussääntöjä tukevassa direktiivissä turvallisuudesta Naton suh-

(a) Access to NATO premises. A cir- cumstance when an individual represent- ing an NNE is authorised to physically access a specific NATO site, facility or specific area located within a facility. Physical access does not automatically include access to NATO Classified Infor- mation.

(b) Access to NATO Classified Infor- mation. A circumstance when an individ- ual representing an NNE is authorised to access NATO Classified Information in order to fulfil their assignments and offi- cial duties when access is for NATO’s benefit. Access is limited to the individ- ual in question and they are not permitted to disseminate NATO Classified Infor- mation further to their NNE unless that information has been released in accord- ance with the established procedures.

(c) Release of NATO Classified Infor- mation. A circumstance when NATO Classified Information is authorised to be released to an NNE.

23. The supporting Directive for NATO on Security in Relation to NNEs provides de- tailed criteria that needs to be fulfilled in specific circumstances when access to or re- lease of NATO Classified Information is to be provided by NATO Civil or Military bodies, or by NATO Nations.

24. Release of NATO Classified Infor- mation to an NNE is always subject to re- ceiving prior written consent of the origina- tor(s).

25. NATO Classified Information may be released in the context of NAC-approved cooperative activity or in the context of NATO activities, where the NNE partici- pants to that activity have been endorsed by the NAC or the appropriate delegated au- thority. The supporting Directive for NATO on Security in Relation to NNEs provides additional criteria to be applied prior to re- lease.

teissa Naton ulkopuolisiin toimijoihin mää- rätään lisäedellytyksistä, joita on sovellet- tava ennen tiedon luovuttamista.

26. Direktiivissä turvallisuudesta Naton suh- teissa Naton ulkopuolisiin toimijoihin mää- ritetään myös lisäedellytykset, joita on so- vellettava ennen Naton turvallisuusluokitel- lun tiedon luovuttamista, kun sitä luovute- taan Naton jäsenvaltion (takaajan) erityi- sestä pyynnöstä Naton ulkopuoliselle toimi- jalle, joka ei osallistu Pohjois-Atlantin neu- voston hyväksymään yhteistyötoimintaan tai Naton toimintaan, ja kun Pohjois-Atlantin neuvosto tai asianomainen valtuutettu viran- omainen on hyväksynyt kyseiseen toimin- taan osallistuvat Naton ulkopuoliset toimi- jat.

27. Jos kansainvälisen järjestön kanssa on voimassa turvallisuussopimus tai turvalli- suusvakuutus, on luovutettaessa Naton tur- vallisuusluokiteltua tietoa Naton ulkopuoli- sille järjestön jäsenille noudatettava sovel- lettavia turvallisuussopimuksen määräyksiä sekä muita vakiintuneita sääntöjä niiden osallistumisesta Naton toimintaan. Jollei tur- vallisuussopimusta ole voimassa, ja jos kan- sainvälisen järjestön kanssa on voimassa turvallisuusvakuutus, on luovutettaessa Na- ton turvallisuusluokiteltua tietoa Naton ul- kopuolisille järjestön jäsenille noudatettava Naton turvallisuussääntöjä tukevan direktii- vin sovellettavia määräyksiä ja turvallisuus- vakuutusta.

28. Mihinkään turvallisuusluokkaan luoki- teltuun ATOMAL-tietoon ei saa sallia pää- syä eikä sitä saa luovuttaa Naton ulkopuoli- selle toimijalle, joka ei ole osapuolena voi- massa olevassa sopimuksessa Pohjois-At- lantin sopimuksen osapuolten välillä ydin- puolustustietoja koskevasta yhteistyöstä (C- M(64)39).

Luovuttajaviranomainen

29. Pohjois-Atlantin neuvostolla on ylin toi- mivalta luovutettaessa Naton turvallisuus- luokiteltua tietoa Naton ulkopuolisille toimi-

26. For NATO Classified Information to be released on a special request from a NATO Nation (the Sponsor) to an NNE outside NAC-approved cooperative activities or NATO activities, where the NNE partici- pants in that activity have been endorsed by the NAC or the appropriate delegated authority, the supporting Directive for NATO on Security in Relation to NNEs pro- vides additional criteria to be applied prior to release.

27. Where a Security Agreement or Security Assurance is in force with an international organization, the release of NATO Classi- fied Information to its non-NATO members shall be in accordance with the relevant pro- visions of the Security Agreement, as well as other established rules concerning their participation in NATO activities. In the ab- sence of a Security Agreement, where a Se- curity Assurance is in place with an interna- tional organization, the release of NATO Classified Information to its non-NATO members shall be in accordance with the rel- evant provisions of the supporting Directive and the Security Assurance.

28. ATOMAL information of any security classification shall not be accessed by or re- leased to any NNE which is not a party to the current Agreement Between the Parties to the North Atlantic Treaty for Co-opera- tion Regarding Atomic Information C- M(64)39.

Release Authority

29. The NAC is the ultimate authority for the release of NATO Classified Information to NNEs. This authority respects the princi- ple of originator consent and is delegated to:

joille. Tätä toimivaltaa käytettäessä noudate- taan alkuperäisen luovuttajan suostumuksen periaatetta, ja toimivaltaa siirretään

(a) asianomaiselle aihekohtaiselle komite- alle sellaisen turvallisuusluokkaan NATO SECRET ja sitä alempiin luokkiin luoki- tellun tiedon osalta, joka on peräisin ky- seiseltä komitealta ja/tai sen alaisilta eli- miltä. Turvallisuusluokkaan NATO RESTRICTED luokitellun tiedon osalta asianomainen aihekohtainen komitea voi siirtää toimivaltaa edelleen käytettäväksi selvästi määritellyssä henkilöstön tukitoi- minnossa tai kyseisen komitean tukihenki- löstön tietyssä yhdessä tai useammassa tehtävässä;

(b) sotilaskomitealle sellaisen turvalli- suusluokkaan NATO SECRET ja sitä alempiin luokkiin luokitellun tiedon osalta, joka on peräisin sotilaskomitealta ja/tai sen alaisilta elimiltä. Turvallisuus- luokkaan NATO RESTRICTED luokitel- lun tiedon osalta sotilaskomitea voi siirtää toimivaltaa edelleen käytettäväksi selvästi määritellyssä henkilöstön tukitoiminnossa tai sotilaskomitean tukihenkilöstön tie- tyssä yhdessä tai useammassa tehtävässä;

(c) Naton Euroopan joukkojen komenta- jalle tai varakomentajalle sellaisen turval- lisuusluokkaan NATO SECRET ja sitä alempiin luokkiin luokitellun tiedon osalta, joka katsotaan voitavan luovuttaa kulloisellekin operaatiolle (XFOR) tai joka on luokiteltu turvallisuusluokkaan NATO/XFOR SECRET (mission SEC- RET), tietyin edellytyksin, joista määrä- tään yksityiskohtaisesti Naton turvalli- suussääntöjä tukevassa direktiivissä tur- vallisuudesta Naton suhteissa Naton ulko- puolisiin toimijoihin.

(d) Naton transformaatioesikunnan ko- mentajalle tai varakomentajalle turvalli- suusluokkaan NATO SECRET ja sitä alempiin luokkiin luokitellun tiedon osalta tietyin edellytyksin, joista määrätään yksi- tyiskohtaisesti Naton turvallisuussääntöjä tukevassa ohjeessa turvallisuudesta Naton suhteissa Naton ulkopuolisiin toimijoihin;

(a) the appropriate subject-matter com- mittee for information classified up to and including NS which has been origi- nated by that committee and/or bodies subordinate to it. For information classi- fied NR, the appropriate subject-matter committee may further delegate authority to a clearly identified staff support func- tion or a specific role(s) within the sup- port staff to that committee;

(b) the MC for information classified up to and including NS which has been orig- inated by the MC and/or bodies subordi- nate to it. For information classified NR, the MC may further delegate authority to a clearly identified staff support function or a specific role(s) within the support staff to the MC;

(c) SACEUR or D/SACEUR for infor- mation classified up to and including NS which is identified as being releasable to the mission (XFOR), or is classified NATO/ XFOR SECRET (mission SE- CRET), under specific conditions, which are in detail described in the supporting Directive for NATO on Security in Rela- tion to NNEs;

(d) SACT or D/SACT for information classified up to and including NS infor- mation, under specific conditions, which are in detail described in the supporting Directive for NATO on Security in Rela- tion to NNEs;

(e) operaation komentajalle Pohjois-At- lantin neuvoston hyväksymässä operaati- ossa, johon osallistuu joukkoja luovuttavia Naton ulkopuolisia valtioita (NNTCN), sellaisen turvallisuusluokkaan NATO SECRET ja sitä alempiin luokkiin luoki- tellun tiedon osalta, joka on jo katsottu voitavan luovuttaa operaatiolle (XFOR), tietyin edellytyksin, joista määrätään yksi- tyiskohtaisesti Naton turvallisuussääntöjä tukevassa direktiivissä turvallisuudesta Naton suhteissa Naton ulkopuolisiin toi- mijoihin;

(f) Naton tuotanto- ja logistiikkaorgani- saatiolle (NPLO), organisaatioon osallis- tuvien valtioiden kanssa koordinoiden, sellaisen Naton turvallisuusluokitellun tie- don osalta, joka on peräisin yhdeltä tai useammalta organisaatioon osallistuvalta valtiolta ja kuuluu tälle.

30. Lukuun ottamatta 29.a ja 29.b kohdassa mainittuja poikkeuksia, jotka koskevat tur- vallisuusluokkaan NATO RESTRICTED luokiteltua tietoa, valtuutetut luovuttajavi- ranomaiset eivät saa siirtää valtuuksiaan eteenpäin.

31. Toimivaltaa luovuttamiseen saa siirtää asianomaiselle aihekohtaiselle komitealle vain, jos tiedon alkuperäinen yksi tai use- ampi luovuttaja on edustettuna komiteassa. Jos alkuperäistä yhtä tai useampaa luovutta- jaa ei voida selvittää, asianomainen aihekoh- tainen komitea ottaa alkuperäisen luovutta- jan vastuun.

32. Täytäntöönpano-ohjeissa tiedustelutie- don jakamiseksi Naton ja Naton ulkopuolis- ten toimijoiden välillä (DSG(2015)0307- REV1) sekä Naton turvallisuussääntöjä tu- kevassa asiakirjassa tiedon ja tiedustelutie- don jakamisesta Naton ulkopuolisten toimi- joiden kanssa (AC/35-D/1040) määritellään luovuttajaviranomainen operaatioiden, kou- lutuksen, harjoitusten, transformaation ja yhteistyön yhteydessä.

(e) the mission commander for an opera- tion involving Non-NATO Troop Con- tributing Nations (NNTCN), as endorsed by the NAC, for information classified up to and including NS that has already been determined as releasable to the mission (XFOR), under specific conditions, which are in detail described in the sup- porting Directive for NATO on Security in Relation to NNEs;

(f) the NATO Production and Logistics Organization (NPLO), in coordination with the participating nations, for NATO Classified Information originated by and belonging to one or more of the nations participating in the NPLO.

30. With the exceptions applying to infor- mation classified NR stated in paragraphs 29

(a) and (b) above, delegated release authori- ties cannot further delegate their powers.

31. Authority for release shall only be dele- gated to an appropriate subject-matter com- mittee on which the originator(s) is/are rep- resented. If the originator(s) cannot be es- tablished, the appropriate subject-matter committee shall assume the responsibility of the originator.

32. The Implementing Instructions on Intel- ligence Sharing Between NATO and NNEs (DSG(2015)0307-REV1) and the Support- ing Document on Information and Intelli- gence Sharing with Non-NATO Entities (AC/35-D/1040) define the Release Author- ity in the environments of Operations, Training, Exercises, Transformation or Co- operation.

Luovutettua tietoa koskeva kirjanpito

33. Naton sotilas- ja siviilielinten on pidet- tävä kirjaa kaikista päätöksistä, jotka koske- vat niiden Naton ulkopuoliselle toimijalle luovuttamaa turvallisuusluokkaan NATO CONFIDENTIAL ja sitä ylempiin luokkiin luokiteltua tietoa, sekä ilmoitettava yksityis- kohtaisesti päätösten viitenumerot, otsikot ja antamispäivät vähintään kuuden kuukauden välein Naton keskusrekisterille Brysseliin, jollei toimivaltainen turvallisuusviranomai- nen toisin määrää.

Viestintä- ja tietojärjestelmien turvalli- suus

34. Naton turvallisuussääntöjä tukevassa di- rektiivissä turvallisuudesta Naton suhteissa Naton ulkopuolisiin toimijoihin asetetaan erityiset vaatimukset, jotka on täytettävä, jotta Naton ulkopuolista toimijaa edustavalle henkilölle voidaan sallia pääsy Naton vies- tintä- ja tietojärjestelmiin.

35. Naton viestintä- ja tietojärjestelmien yh- teenkytkentä Naton ulkopuolisen toimijan viestintä- ja tietojärjestelmien kanssa on ak- kreditoitava Naton turvallisuussääntöjen ja niitä tukevien direktiivien mukaisesti.

TIETOTURVAPOIKKEAMAT

36. Sellaisten tietoturvapoikkeamien käsitte- lyssä, joihin liittyy Naton hallussa olevaa Naton ulkopuolisen toimijan turvallisuus- luokiteltua tietoa, on noudatettava direktii- viä Naton turvallisuusluokitellun tiedon tur- vallisuudesta (AC/35-D/2002) ja mahdolli- sia muita määräyksiä, jotka on annettu tur- vallisuussopimuksessa ja täytäntöönpanoa koskevissa hallinnollisissa järjestelyissä tai Naton ulkopuolisen toimijan kanssa sovel- lettavassa turvallisuusvakuutuksessa.

37. Tietoturvapoikkeamista, joihin liittyy Naton ulkopuolisen toimijan turvallisuus- luokiteltua tietoa, on viipymättä ilmoitettava Naton turvallisuustoimistolle. Naton turval- lisuustoimiston vastuulla on ilmoittaa viipy- mättä asianomaisen Naton ulkopuolisen toi-

Records of Released Information

33. NATO Civil and Military bodies shall keep records of decisions of all information classified NC and above which they have re- leased to an NNE and shall, at least every six months, report details of the reference number, title and release date to the NATO Central Registry, Brussels, unless otherwise directed by an appropriate Security Author- ity.

Communication and Information Systems Security

34. The supporting Directive for NATO on Security in Relation to NNEs outlines spe- cific requirements that shall be met in order for an NNE individual to be provided access to NATO Communication and Information System (CIS).

35. Interconnection of NATO CIS with an NNE’s CIS shall be security accredited in accordance with the NATO Security Policy and its supporting directives.

SECURITY INCIDENTS

36. Security incidents involving an NNE’s classified information in NATO’s posses- sion shall follow the provisions of the Di- rective on the Security of NATO Classified Information (AC/35-D/2002) and any addi- tional provisions specified in the Security Agreement and the implementing Adminis- trative Arrangements, or Security Assurance with the NNE.

37. Security incidents involving an NNE’s classified information shall be immediately reported to the NOS. The NOS is responsi- ble for promptly informing the relevant NNE’s Security Authority on security inci- dents involving an NNE’s classified infor- mation in accordance with the Security

mijan turvallisuusviranomaiselle tietoturva- poikkeamista, joihin liittyy Naton ulkopuoli- sen toimijan turvallisuusluokiteltua tietoa, noudattaen turvallisuussopimusta ja täytän- töönpanoa koskevia hallinnollisia järjeste- lyjä tai turvallisuusvakuutusta.

Agreement and the implementing Adminis- trative Arrangements, or Security Assur- ance.

SANASTO GLOSSARY

C-M(2002)49-REV1 C-M(2002)49-REV1

SANASTO		GLOSSARY
Pääsy tietoon	Luvan antaminen yhdelle tai useammalle henki- lölle mahdollisuuteen saada tiettyä tietoa vaa- dittavien turvallisuusra- joitusten mukaisesti, jotta henkilö voi suorit- taa selvästi määritellyt tehtävänsä, joihin hänellä on asianmukaiset valtuu- det. Pääsy tietoon tällai- sissa olosuhteissa on ky- seisen henkilön erioi- keus, johon ei sisälly oi- keuksia tiedon levittämi- seen laajemmalti.	Access to infor- mation	The granting of permis- sion for an individual or individuals to be exposed to specific information in line with the required se- curity parameters for the execution of their clearly defined and appropri- ately authorized duties. Access in such circum- stances is the privilege of the individual in question where rights of further dissemination are not permitted.
Pääsy toimitiloihin	Luvan antaminen fyysi- seen pääsyyn tiettyyn paikkaan, jossa nimetty yksi tai useampi henkilö saa oleskella joko nime- tyn saattajan kanssa tai ilman tätä, sen mukaan, mitä kulloisetkin turvalli- suusvaatimukset edellyt- tävät ja kulloisetkin tur- vallisuusselvitykset mah- dollistavat.	Access to pre- mises	The granting of permis- sions for the physical ac- cess to a defined location where a nominated indi- vidual or individuals will be allowed to be present either with or without a designated escort de- pendent upon specific se- curity requirements and clearances.
Tilivelvollisuuden alainen tieto	Kaikki tieto, joka on luo- kiteltu turvallisuusluok- kiin COSMIC TOP SEC- RET (CTS) ja NATO SECRET (NS) sekä kaikki erityisluokan (ku- ten ATOMAL) tieto.	Accountable In- formation	All information classi- fied CTS and NS and all Special Category Infor- mation. (such as ATO- MAL)
Hallinnollinen vyöhyke	Selvästi määritelty suo- jattu alue, jolla henki- löillä ei tarvitse olla saat- tajaa ja jolle pääsy on lu- vanvarainen.	Administrative Zone	A clearly defined pro- tected area in which indi- viduals are not required to be escorted and to which access is subject to authorization.

Kasautumisperi- aate	Kun suuri määrä Naton turvallisuusluokiteltua tietoa kootaan yhteen, sen alkuperäiset turvalli- suusluokitusmerkinnät on säilytettävä, ja on ar- vioitava, miten tämän tietokokonaisuuden ka- toaminen tai vaarantumi- nen vaikuttaisi järjes- töön. Jos tämä kokonais- vaikutus arvioidaan suu- remmaksi kuin kyseisten yksittäisten Naton turval- lisuusluokkien mukainen vaikutus, olisi harkittava kyseisen tietokokonai- suuden käsittelemistä ja suojaamista sen turvalli- suusluokan mukaisesti, joka vastaa tietokokonai- suuden katoamisen tai vaarantumisen arvioitua vaikutusta.	Aggregation Principle	When a large amount of NATO Classified Infor- mation is collated to- gether, the original secu- rity classification mark- ings must be retained and that information shall be assessed for the impact its collective loss or compromise would have upon the organization. If this overall impact is as- sessed as being higher than the impact of the ac- tual individual NATO se- curity classifications then consideration should be given to handling and protecting it at a level commensurate with the assessed impact of its loss or compromise.
Tunnistaminen	Tunnistaminen on toimi, jolla varmistetaan tietyn toimijan väitetty identi- teetti.	Authentication	Authentication is the act of verifying the claimed identity of an entity.
Käytettävyys	Tiedon ja aineiston saa- vutettavuus ja käyttökel- poisuus valtuutetun hen- kilön tai yksikön pyytä- essä sitä.	Availability	The property of infor- mation and material be- ing accessible and usable upon demand by an au- thorised individual or en- tity.
Turval- lisuusluokiteltu tieto	Sellainen tieto (jota voi- daan välittää missä ta- hansa muodossa) tai ai- neisto, jonka katsotaan edellyttävän suojaamista luvattomalta ilmitulolta ja joka on turvallisuus- luokituksella osoitettu sellaiseksi.	Classified Infor- mation	Any information (namely, knowledge that can be communicated in any form) or material de- termined to require pro- tection against unauthor- ised disclosure and which has been so desig- nated by a security clas- sification.
Viestintä- ja tieto- järjestelmien tur- vallisuus (CIS Security)	Turvallisuustoimenpitei- den soveltaminen vies- tintä- ja tietojärjestel- mien ja muiden sähköis- ten järjestelmien sekä näihin järjestelmiin tal-	Communication and Information System Security (CIS Security)	The application of secu- rity measures for the pro- tection of communica- tion, information and other electronic systems, and the information that is stored, processed or

	lennettavien ja niissä kä- siteltävien tai siirrettä- vien tietojen luottamuk- sellisuuden, eheyden, käytettävyyden, aitouden ja kiistämättömyyden suojaamiseksi.		transmitted in these sys- tems with respect to con- fidentiality, integrity, availability, authentica- tion and non-repudiation.
Toimivaltainen tur- vallisuusviran- omainen (CSA)	Kansallisen turvallisuus- viranomaisen nimeämä viranomainen, jolla on toimivalta hoitaa tiettyjä turvallisuustehtäviä, jotka liittyvät muun mu- assa henkilöturvallisuus- selvityksiin, jotta kysei- sen valtion kansalaisille voidaan sallia pääsy Na- ton turvallisuusluokitel- tuun tietoon.	Competent Se- curity Authority (CSA)	An authority identified by the NSA which is au- thorised to carry out spe- cific security roles in- cluding those relating to personnel security clear- ances in order to give their nationals access to NATO Classified Infor- mation.
Vaarantuminen	Vaarantuminen tarkoittaa tilannetta, jossa tietotur- valoukkauksen tai haital- lisen toiminnan (kuten vakoilun, terroriteon, sa- botaasin tai varkauden) vuoksi Naton turvalli- suusluokiteltu tieto on menettänyt luottamuksel- lisuutensa, eheytensä tai käytettävyytensä tai tätä tietoa tukevat palvelut ja resurssit ovat menettä- neet eheytensä tai käytet- tävyytensä. Vaarantumi- seen sisältyvät katoami- nen, paljastuminen asiat- tomille (esim. joukko- viestimille tai vakoilun vuoksi), luvaton muutta- minen, hävittäminen lu- vattomalla tavalla tai pal- velun estyminen.	Compromise	Compromise denotes a situation when - due to a Security Breach or ad- verse activity (such as espionage, acts of terror- ism, sabotage or theft) - NATO Classified Infor- mation has lost its confi- dentiality, integrity or availability, or support- ing services and re- sources have lost their integrity or availability. This includes loss, dis- closure to unauthorized individuals (e.g. through espionage or to the me- dia) unauthorized modi- fication, destruction in an unauthorised manner, or denial of service.
Viestintäkeskus	Organisaatio, joka vastaa viestintäliikenteen käsit- telystä ja valvonnasta ja johon tavallisesti kuuluu sanomakeskus ja salaus- keskus sekä lähetys- ja vastaanottokeskukset.	Communica- tions Centre	An organization respon- sible for handling and controlling communica- tions traffic, normally comprising a message centre, a cryptographic centre, and transmitting and receiving stations.

Luottamuksellisuus	Se, ettei tietoa saateta asiattomien henkilöiden tai muiden toimijoiden saataville eikä paljasteta näille.	Confidentiality	The property that infor- mation is not made avail- able or disclosed to un- authorised individuals or entities.
Vastaanottaja	Hankeosapuoli, yksikkö tai muu organisaatio, joka vastaanottaa aineis- toa lähettäjältä.	Consignee	The contractor, facility or other organization re- ceiving material from the consignor.
Lähettäjä	Hankeosapuoli, yksikkö tai muu organisaatio, joka vastaa aineiston jär- jestämisestä ja lähettämi- sestä.	Consignor	The contractor, facility or other organization re- sponsible for organizing and dispatching material.
Hankesopimus	Oikeudellisesti täytän- töönpanokelpoinen sopi- mus tavaroiden tai palve- lujen toimittamisesta.	Contract	A legally enforceable agreement to provide goods or services.
Hankeosapuoli	Teollinen, kaupallinen tai muu toimija, joka te- kee sopimuksen tavaroi- den tai palvelujen toimit- tamisesta.	Contractor	An industrial, commer- cial or other entity that agrees to provide goods or services.
Kuriiri	Henkilö, joka on viralli- sesti määrätty kuljetta- maan aineistoa muka- naan.	Courier	A person officially as- signed to hand-carry ma- terial.
Kuriiripalvelu	Palvelu, joka välittää henkilöitä, jotka on viral- lisesti määrätty kuljetta- maan aineistoa muka- naan.	Courier Service	A service that provides personnel officially as- signed to hand-carry ma- terial.
Salausaineisto	Salausalgoritmit, salaus- laitteistot ja -ohjelmisto- moduulit sekä tuotteet, joihin sisältyy täytän- töönpanoa koskevia yksi- tyiskohtia sekä niihin liittyviä asiakirjoja ja avainnusaineistoa (sekä symmetrisiä että epäsym- metrisiä salausmenetel- miä varten).	Cryptomaterial	Includes cryptographic algorithms and crypto- graphic hardware – and software- modules and products including im- plementation details and associated documenta- tion and keying material (for both, symmetric and asymmetric crypto- graphic mechanisms).
Määrätty turvalli- suusviranomainen (DSA)	Viranomainen, jonka vastuulla on tiedottaa yrityksille ja muille yh- teisöille kansallisista pe- riaatteista kaikissa Naton	Designated Se- curity Authority (DSA)	An authority responsible for communicating to in- dustry the national policy in all matters of NATO industrial security policy

yhteisöturvallisuuden pe- riaatteita koskevissa asi- oissa sekä antaa ohjausta ja apua niiden soveltami- sessa. Joissakin maissa määrätyn turvallisuusvi- ranomaisen tehtävää voi

hoitaa kansallinen turval- lisuusviranomainen.

and for providing direc- tion and assistance in its implementation. In some countries, the function of a DSA may be carried out by the NSA.

Asiakirja

Mikä tahansa tallennettu tieto riippumatta sen fyy- sisestä muodosta tai omi- naisuuksista, mukaan lu- kien rajoituksetta kirjalli- set ja painotuotteet; tieto- jenkäsittelyssä käytettä- vät kortit ja nauhat; kar- tat, kaaviot, valokuvat, maalaukset, piirustukset, kaiverrukset, luonnokset, työmuistiinpanot ja -pa- perit, hiilipaperikopiot ja värinauhat; millä tahansa menetelmällä tai menet- telyllä tehdyt jäljennök- set; kaikenlaiset ääni-, puhe- ja magneettitallen- teet sekä elektroniset, op- tiset ja videotallenteet; kannettavat tietotekniset laitteet, joissa on kiinteät tallennusvälineet, ja irro- tettavat tietokoneen tal- lennusvälineet.

Document

Any recorded infor- mation regardless of its physical form or charac- teristics, including, with- out limitation, written or printed matter, data pro- cessing cards and tapes, maps, charts, photo- graphs, paintings, draw- ings, engravings, sketches, working notes and papers, carbon cop- ies or ink ribbons, or re- productions by any means or process, and sound, voice, magnetic or electronic or optical or video recordings in any form, and portable IT equipment with resident computer storage media, and removable computer storage media.

Dynaaminen ris- kienhallinta

Kyky harjoittaa riskien- hallintaa siten, että vies- tintä- ja tietojärjestel- mien käytön riskiä arvi- oidaan jatkuvasti, että kaikki viestintä- ja tieto- järjestelmien toiminnan yhteyteen liittyvät muu- tokset kuvastuvat dynaa- misesti riskien tunnis- teissa ja että kussakin ti-

lanteessa sovelletaan oi- kea-aikaisesti tarkoituk-

Dynamic Risk Management

The ability to perform risk management in a way that the risk of using a CIS is continuously as- sessed, any change in the context in which the CIS operates is reflected in the risk signature dynam- ically and the security countermeasures, most appropriate to the situa- tion, are applied timely.

	senmukaisimpia vastatoi- mia turvallisuuden yllä- pitämiseksi.
Saattajat	Aseistetut tai aseistamat- tomat kansalliset poliisit tai sotilashenkilöt tai muu valtion henkilöstö. Saattajien tehtävänä on helpottaa aineiston siirtä- mistä turvallisesti, mutta he eivät ole välittömästi vastuussa aineiston varsi- naiseen suojaamiseen liittyvistä asioista.	Escorts	Armed or unarmed na- tional police, military, or other government per- sonnel. Their function is to facilitate the secure movement of the mate- rial, but they do not have direct responsibility in matters of the protection of the material itself.
Yksikkö	Laitos, tehdas, laborato- rio, toimisto, yliopisto tai muu oppilaitos tai kau- pallinen yritys, mukaan lukien näihin liittyvät va- rastot, säilytysalueet, aputilat ja osat, jotka teh- tävänsä ja sijaintinsa suhteen muodostavat toi- mivan kokonaisuuden.	Facility	An installation, plant, factory, laboratory, of- fice, university or other educational Institution, or commercial undertak- ing, including any asso- ciated warehouses, stor- age areas, utilities and components which, when related by function and location, form an operat- ing entity.
Yritysturvallisuus- selvitystodistus (FSC)	Kansallisen turvallisuus- viranomaisen tai määrä- tyn turvallisuusviran- omaisen hallinnollinen päätös siitä, että turvalli- suuden näkökulmasta yk- sikkö pystyy suojaamaan asianmukaisesti tiettyyn tai sitä alempaan turvalli- suusluokkaan kuuluvan Naton turvallisuusluoki- tellun tiedon ja että yksi- kön henkilöstöstä, joka tarvitsee pääsyn Naton turvallisuusluokiteltuun tietoon, on tehty asian- mukaisesti turvallisuus- selvitys ja sille on selos- tettu ne Naton turvalli- suusvaatimukset, joita on noudatettava Naton tur- vallisuusluokiteltuja so- pimuksia toteutettaessa.	Facility Security Clearance (FSC)	An administrative deter- mination by a NSA/DSA that, from a security viewpoint, a facility can afford adequate security protection to NATO Classified Information of a specified security clas- sification or below, and its personnel who require access to NATO Classi- fied Information have been properly cleared and briefed on NATO se- curity requirements nec- essary to perform on the NATO Classified Con- tracts.
Vartijat	Sotilashenkilöstö tai (valtion tai osallistuvan	Guards	Civilian (government or participating contractor

	hankeosapuolen työnte- kijöistä koostuva) siviili- henkilöstö, joka voi olla aseistettu tai aseistama- ton. Vartijat voidaan määrätä joko pelkästään turvallisuusvartiointiin tai sekä turvallisuusvarti- ointiin että muihin tehtä- viin.		employees) or military personnel who may be armed or unarmed. They may be assigned for se- curity guard duties only or may combine security guard duties with other duties.
Henkilökohtainen kuljettaminen	Tiedon siirtäminen siten, että henkilö kuljettaa sen mukanaan.	Hand Carriage	The transmission of in- formation by an individ- ual carrying that infor- mation on their person.
Isäntävaltio	Yleisesti: Valtio, johon Naton soti- las- tai siviilielin on si- joitettu. Yritysturvallisuuden yh- teydessä: Valtio, jonka Naton vi- rallinen elin on nimennyt siksi valtion virastoksi, joka tekee sopimuksen Naton pääsopimuksen to- teuttamiseksi. Valtioita, joissa toteutetaan alihan- kintasopimuksia, ei sa- nota isäntävaltioiksi.	Host Nation	General: The nation in which a NATO Civil or Military body is located. Industrial security: The nation designated by an official body of NATO to act as the gov- ernmental agency to con- tract for the performance of a NATO prime con- tract. Nations in which sub-contracts are per- formed are not referred to as host nations.
Tieto	Missä tahansa muodossa välitettävä tieto.	Information	Knowledge that can be communicated in any form.
Tietojen turvaami- nen	Tieto on suojattava so- veltamalla tietojen tur- vaamisen periaatetta, jolla tarkoitetaan niiden toimenpiteiden kokonai- suutta, joilla pyritään saavuttamaan tietty luot- tamuksen taso viestintä- ja tietojärjestelmien, muiden sähköisten järjes- telmien ja muiden kuin sähköisten järjestelmien sekä näihin järjestelmiin tallennettavien ja niissä käsiteltävien tai siirrettä- vien tietojen luottamuk- sellisuuden, eheyden,	Information As- surance	Information shall be pro- tected by applying the principle of Information Assurance, which is de- scribed as the set of measures to achieve a given level of confidence in the protection of com- munication, information and other electronic sys- tems, non-electronic sys- tems, and the infor- mation that is stored, processed or transmitted in these systems with re- spect to confidentiality, integrity, availability,

	käytettävyyden, kiistä- mättömyyden ja aitouden suojaamisessa.		nonrepudiation and au- thentication.
Vähäinen tietotur- vapoikkeama	Vähäinen tietoturvapoik- keama on tahallinen tai tahaton teko tai laimin- lyönti, joka on Naton tur- vallisuussääntöjen ja niitä tukevien direktii- vien vastainen mutta ei johda Naton turvallisuus- luokitellun tiedon tosiasi- alliseen tai mahdolliseen vaarantumiseen (esi- merkkejä: Naton turvalli- suusluokiteltua tietoa jä- tetään suojaamattomana suojattuihin toimitiloihin, joissa toimivista henki- löistä on kaikista tehty asianmukaisesti turvalli- suusselvitys; Naton tur- vallisuusluokiteltu tieto jätetään sulkematta kak- sinkertaiseen suojakuo- reen).	Infraction	A security infraction is an act or omission, delib- erate or accidental, con- trary to NATO Security Policy and supporting di- rectives that does not re- sult in the actual or pos- sible compromise of NATO Classified Infor- mation (e.g. NATO Clas- sified Information left unsecured inside a secure facility where all individ- uals are appropriately cleared, failure to double wrap NATO Classified Information, etc.).
Eheys	Se, ettei tietoa (myös- kään dataa, kuten sala- tekstiä) ole muutettu eikä hävitetty luvattomalla ta- valla.	Integrity	The property that infor- mation (including data, such as cipher text) has not been altered or de- stroyed in an unauthor- ised manner.
Kansainväliset vie- railut	Vierailut, joita kansalli- sen turvallisuusviran- omaisen tai määrätyn turvallisuusviranomaisen toimivaltaan tai Naton elimeen kuuluva henki- löstö tekee toisen kansal- lisen turvallisuusviran- omaisen tai määrätyn turvallisuusviranomaisen tai Naton toimivaltaan kuuluviin yksiköihin tai elimiin ja jotka edellyttä- vät pääsyä Naton turval- lisuusluokiteltuun tietoon tai joihin voi liittyä pääsy siihen tai jotka kyseisen tiedon turvallisuusluo-	International Visits	Visits made by individu- als subject to one NSA/DSA or belonging to a NATO body, to fa- cilities or bodies subject to another NSA/DSA or to NATO, which will re- quire, or may give rise to access to NATO Classi- fied Information or where, regardless of the level of classification in- volved, national legisla- tion governing the estab- lishment or body to be visited in support of NATO approved related activities requires that

	kasta riippumatta edellyt- tävät toimivaltaisen kan- sallisen turvallisuusvi- ranomaisen tai määrätyn turvallisuusviranomaisen hyväksyntää sen kansal- lisen lainsäädännön mu- kaan, joka koskee tällai- sen Naton hyväksymää toimintaa tukevan vierai- lun kohteena olevaa yk- sikköä tai elintä. Kaikki Naton sotilas- ja sivii- lielimet kuuluvat turval- lisuusasioissa Naton toi- mivaltaan.		such visits shall be ap- proved by the relevant NSA/DSA. All NATO Civil and Military bodies fall within the security jurisdiction of NATO.
Elinkaari	Tiedon elinkaari käsittää tiedon suunnittelun, ke- räämisen, luomisen tai tuottamisen; sen järjestä- misen, haun, käytön, saa- vutettavuuden ja siirtä- misen; sen säilyttämisen ja suojaamisen; sekä lo- pulta sen käytöstä poista- misen arkistoimalla tai hävittämällä.	Life-cycle	Life cycle of information encompasses the stages of planning, collection, creation or generation of information; its organiza- tion, retrieval, use, acces- sibility and transmission; its storage and protec- tion; and, finally, its dis- position through transfer to archives or destruc- tion.
Koneellisesti luet- tava tietoväline	Tietoväline, joka voi vä- littää tietoja tiettyyn lu- kulaitteeseen.	Machine Reada- ble Medium	A medium that can con- vey data to a given sens- ing device.
Merkittävä oh- jelma/hanke	Suurimerkityksinen oh- jelma tai hanke, johon ta- vallisesti liittyy enem- män kuin kaksi valtiota sekä sellaisia turvatoi- mia, jotka ylittävät ta- vanomaiset Naton turval- lisuusperiaatteissa määri- tellyt perusvaatimukset.	Major Pro- gramme/Project	A programme or project of major significance, normally involving more than two nations and se- curity measures that ex- tend beyond the normal basic requirements de- scribed in NATO Secu- rity Policy.
Aineisto	Aineisto sisältää asiakir- jat ja myös valmistetut ja valmisteilla olevat ko- neet, laitteet/komponen- tit, aseet ja työvälineet.	Material	Material includes docu- ments and also any items of machinery, equip- ment/components, weap- ons or tools, either manu- factured or in the process of manufacture.
Sotilaskomitea (MC)	Naton korkein sotilasvi- ranomainen; sotilaskomi- tea vastaa sotilasasioiden hoitamisesta yleisesti.	Military Com- mittee (MC)	The highest military au- thority in NATO; the MC is responsible for the

	Sotilaskomitea vastaa operatiivisesti niiden käyttäjien vaatimusten hyväksymisestä, joita strategiset komentajat välittävät, sekä näiden vaatimusten asettami- sesta etusijajärjestyk- seen.		overall conduct of mili- tary affairs. The MC is responsible for endorsing and prioritising from an operational point of view the users' requirements submitted by Strategic Commanders.
Kansalaiset	Kansalaisia ovat eri val- tioiden kansalaiset ja Ka- nadan pysyvät asukkaat. Kanadan pysyvät asuk- kaat ovat henkilöitä, jotka ovat läpäisseet asuinpaikkaa ja rikosre- kisteriä koskevat tarkas- tukset sekä turvallisuus- tarkastukset sisältävän kansallisen arviointime- nettelyn ja saavat lailli- sen luvan pysyvään oles- keluun Kanadassa.	Nationals	Nationals includes “na- tionals of a Kingdom”, “citizens of a State”, and “Permanent Residents in Canada”. “Permanent Residents in Canada” are individuals who have gone through a national screening process includ- ing residency checks, criminal records and se- curity checks, and who are going to obtain law- ful permission to estab- lish permanent residence in the nation.
Kansallinen turval- lisuusviranomainen (NSA)	Viranomainen, joka vas- taa Naton turvallisuus- luokiteltujen tietojen tur- vallisuudesta kansalli- sissa virastoissa ja yksi- köissä, sekä sotilas- että siviilialalla, kotimaassa ja ulkomailla.	National Secu- rity Authority (NSA)	An authority which is re- sponsible for the security of NATO Classified In- formation in national agencies and elements, military or civil, at home or abroad.
Nato	”Nato” tarkoittaa Poh- jois-Atlantin liittoa ja niitä elimiä, joihin sovel- letaan joko Ottawassa 20. syyskuuta 1951 alle- kirjoitettua sopimusta Pohjois-Atlantin liiton, kansallisten edustajien ja kansainvälisen henkilös- tön asemasta tai Parii- sissa 28. elokuuta 1952 allekirjoitettua pöytäkir- jaa Pohjois-Atlantin so- pimuksen mukaisesti pe- rustettujen kansainvälis- ten sotilasesikuntien ase- masta.	NATO	“NATO” denotes the North Atlantic Treaty Organization and the bodies governed either by the Agreement on the status of the North Atlan- tic Treaty Organization, National Representatives and International Staff, signed in Ottawa on 20th September, 1951 or by the Protocol on the status of International Military Headquarters set up pur- suant to the North Atlan- tic Treaty, signed in Paris on 28th August, 1952.

Document Metadata

Table of Contents

SUO M EN SÄ ÄDÖ S KO KO ELMAN

Document Metadata