p Ä Ä s i h t e e r i s t Ö p o h schengen-luettelo · 2017. 10. 23. · parhaat käytännöt:...

J o u l u k u u 2 0 0 2

Osa 2

FI

EUSchengen-luettelo

E U R O O PAN UNIONINNEUVOSTO

P Ä Ä S I H T E E R I S T Ö

P O H

SCHENGENIN TIETOJÄRJESTELMÄ,SIRENE:

Suositukset ja parhaat käytännöt

SCHENGENIN TIETOJÄRJESTELMÄ,SIRENE:

Suositukset ja parhaat käytännötOsa 2

Joulukuu 2002

EUSchengen-luettelo

3

SISÄLTÖ

JOHDANTO ........................................................................................................................................7

OSA 3: SCHENGENIN TIETOJÄRJESTELMÄ

Yksityiskohtaisia tietoja suosituksista ja parhaista käytännöistä ....................................................11Yleinen osio .......................................................................................................................................... 11

Suositukset / Parhaat käytännöt ........................................................................................................ 13

1. SISin kansallinen osa ................................................................................................................ 13

1.1 Järjestelmät ja niitä koskevat järjestelyt...................................................................... 13

1.2 Viestintäinfrastruktuuri ................................................................................................. 13

2. SIRENE...................................................................................................................................... 14

2.1 Kansallinen rakenne ....................................................................................................... 14

2.2 Organisaatio ja järjestelmä............................................................................................ 14

2.3 Palvelukseenotto ja koulutus.......................................................................................... 15

3. Loppukäyttäjät .......................................................................................................................... 18

3.1 Kyselyt ja käyttäjäliittymä............................................................................................. 18

3.2 Koulutus........................................................................................................................... 19

4. Tietojen käsittely ....................................................................................................................... 21

4.1 Ilmoitusten tallentaminen, muuttaminen ja poistaminen ........................................... 21

4.2 Osumien seuranta ........................................................................................................... 23

4.3 Tietojen laatua koskevat toimenpiteet .......................................................................... 25

5. Turvallisuus ............................................................................................................................... 27

5.1 Tietoturvallisuutta koskevan työskentelyn järjestäminen .......................................... 27

5.2 Turvallisuusorganisaatio ................................................................................................ 28

5.3 Voimavarojen valvonta................................................................................................... 28

5.4 Henkilöstöturvallisuus .................................................................................................... 28

4

5.5. Fyysinen turvallisuus ...................................................................................................... 30

5.6 Laitteiden turvallisuus.................................................................................................... 31

5.7 Tietoliikenne- ja käyttöhallinto...................................................................................... 32

5.8 Käyttöoikeuksien valvonta ............................................................................................. 36

5.9 Järjestelmään pääsyn ja järjestelmän käytön seuranta .............................................. 38

5.10 Kehitys ja ylläpito ........................................................................................................... 38

5.11 Toipumissuunnitelma ..................................................................................................... 39

5.12 Valvonta ........................................................................................................................... 40

5

Puheenjohtajavaltio Tanskan laatima esipuhe

Schengenin sopimuksen täytäntöönpanon arviointityöryhmä on neuvoston 28.5.2001 tekemänpäätöksen mukaisesti ryhtynyt laatimaan luetteloa Schengenin säännöstön asianmukaiseksisoveltamiseksi annetuista suosituksista ja parhaista käytännöistä.

Luettelon tarkoituksena on selventää Schengen-säännöstöä ja esittää se yksityiskohtaisesti sekäosoittaa suosituksia ja parhaita käytäntöjä esimerkkeinä Schengen-järjestelmään liittyville valtioillesekä kyseistä säännöstöä jo täysin soveltaville valtioille. Siinä ei pyritä määrittelemään tyhjentävästikoko Schengen-säännöstöä, vaan esitetään suosituksia ja parhaita käytäntöjä sen asianmukaisestasoveltamisesta Schengen-valtioissa jatkuvasti tehtävistä arvioinneista jo saatujen kokemustenperusteella.

Luettelon ensimmäinen osa käsittelee ulkorajoja, maasta poistamista ja takaisinottoa. Sehyväksyttiin ja annettiin ehdokasvaltioille neuvoston 28.2.2002 pidetyssä istunnossa.

Euroopan unionin puheenjohtajana 1.7.2002 lähtien toiminut Tanska pitää erityisen tärkeänä jatkaaluettelon laatimista edelleen. Tanskan puheenjohtajuuskaudella onkin laadittu siihen toinen osa,joka koskee Schengenin tietojärjestelmää sekä Sirene-käsikirjan soveltamista.

Tanska haluaa kiittää Schengen-valtioita ja komissiota niiden avusta ja hyvästä yhteistyöstäluettelon laadinnassa ja osoittaa myös erityiskiitoksensa Norjalle, joka sekakomiteanpuheenjohtajana on auttanut unionin puheenjohtajavaltiota Tanskaa toimimalla luetteloa laatineenalatyöryhmän puheenjohtajana.

Tämä luettelo on selventävä asiakirja, joka ei ole juridisesti sitova. Siinä esitetään ominapalstoinaan Schengen-säännöstön noudattamisen edellyttämät vaatimukset ja joissainjäsenvaltioissa todetut parhaat käytännöt.

Luettelo annetaan Schengen-järjestelmään liittyville valtioille ja ehdokasvaltioille.Puheenjohtajavaltio Tanska uskoo sen olevan toimiva lisäväline, jonka avulla Euroopan unioninuudet jäsenvaltiot voivat aikanaan sopivalla tavalla mukautua järjestelmään.

Joulukuu 2002

7

SCHENGEN-LUETTELO

JOHDANTO

1. Neuvosto asetti 28.5.2001 pidetyssä istunnossaan Schengenin sopimuksen täytäntöönpanon

arviointityöryhmän jatkotyöskentelyn tavoitteeksi määritellä "… parhaat käytännöt varsinkin

rajatarkastusten alalla, jotta ne voivat toimia ohjenuorana niin Schengenin sopimukseen

liittyville kuin Schengenin säännöstöä täysimääräisesti jo soveltaville valtioille. Arviointien ja

parhaiden käytäntöjen määrittelyn tuloksia on käytettävä pohjana laadittaessa normeja

Schengenin säännöstön vähimmäissoveltamistason määrittelemiseksi asianomaisissa

työryhmissä (...)" (Schengenin sopimuksen täytäntöönpanon arviointityöryhmälle annettu

toimeksianto) (8881/01 – SCH-EVAL 17, COMIX 371).

Tämän toimeksiannon mukaisesti Schengenin sopimuksen täytäntöönpanon arviointityöryhmä

kehitteli periaatteita ja menettelytapoja luettelon laatimiseksi Schengenin säännöstön

asianmukaiseksi soveltamiseksi annetuista suosituksista ja parhaista käytännöistä. Siihen

viitataan jäljempänä 'luettelona suosituksista ja parhaista käytännöistä' tai vain 'luettelona'.

Tavoitteena on tarkastella yksityiskohtaisesti Schengenin säännöstöä ja selventää sitä sekä

esittää suosituksia ja parhaita käytäntöjä ohjenuoraksi niin Schengenin sopimukseen liittyville

kuin Schengenin säännöstöä täysimääräisesti jo soveltavillekin valtioille. Luettelo tarjoaa

Euroopan unionin ehdokasvaltioille niiden omasta pyynnöstä hyvän selvityksen siitä, mitä

niiltä odotetaan erityisesti käytännössä Schengenin osalta. Tarkoituksena ei ole käydä koko

Schengenin säännöstöä tyhjentävästi läpi, vaan esittää suosituksia ja parhaita käytäntöjä sen

kokemuksen pohjalta, jonka Schengenin sopimuksen täytäntöönpanon arviointityöryhmä on

saanut tarkastellessaan Schengenin säännöstön asianmukaista soveltamista useissa maissa.

Tekstissä ei pyritä esittämään uusia vaatimuksia, vaan sen tarkoituksena on kiinnittää

neuvoston huomio siihen, että eräitä Schengenin säännöstön määräyksiä saattaa olla syytä

muuttaa, jotta komissio ja aiheellisissa tapauksissa jäsenvaltiot voivat ottaa suositukset ja

parhaat käytännöt huomioon tehdessään ehdotuksia tai virallisia aloitteita. Luetteloiminen on

ensimmäinen vaihe valmisteluprosessissa, jonka päätteeksi neuvosto määrittelee

vähimmäisstandardit.

8

Lisäksi luettelo toimii viiteasiakirjana ehdokasvaltioissa myöhemmin tehtävien arviointien

yhteydessä. Luettelosta käy myös ilmi kyseisille valtioille osoitettavat tehtävät, joten sitä on

sovellettava rinnakkain Sirene-käsikirjan kanssa.

2. Schengenin sopimuksen täytäntöönpanon arviointityöryhmä on laatinut seuraavat

määritelmät:

suositukset: täydennettävissä oleva luettelo toimista, jonka avulla voidaan luoda pohja

Schengenin säännöstön asianmukaiselle soveltamiselle sekä tämän valvomiselle

parhaat käytännöt: täydennettävissä oleva luettelo työskentelytavoista ja toimenpidemalleista,

joiden katsotaan vastaavan Schengenin säännöstön optimaalista soveltamista, ottaen

huomioon, että kullakin Schengen-yhteistyön osa-alueella voi olla useita parhaita käytäntöjä.

3. Luettelossa olevalla maininnalla 'Schengenin säännöstöä soveltavista jäsenvaltioista'

tarkoitetaan tällä hetkellä Euroopan unionista tehtyyn sopimukseen ja Euroopan yhteisön

perustamissopimukseen liitetyssä, Schengenin säännöstön sisällyttämisestä osaksi Euroopan

unionia tehdyssä pöytäkirjassa (jäljempänä 'Schengen-pöytäkirja') tarkoitettuja kolmeatoista

EU:n jäsenvaltioita ja niiden lisäksi Islantia ja Norjaa Euroopan unionin neuvoston sekä

Islannin tasavallan ja Norjan kuningaskunnan välisen, 18.5.1999 allekirjoitetun sopimuksen

mukaisesti, joka koskee viimeksi mainittujen osallistumista Schengenin säännöstön

täytäntöönpanoon, soveltamiseen ja kehittämiseen. Kyseisiin 15 jäsenvaltioon viitataan

jäljempänä termillä 'Schengen-valtiot'.

Yhdistynyt kuningaskunta ja Irlanti ovat ilmoittaneet haluavansa osallistua joidenkin

Schengenin säännöstön osien soveltamiseen. Yhdistyneen kuningaskunnan osallistumista

koskevat yksityiskohtaiset säännöt vahvistettiin 29.5.2000 tehdyssä neuvoston päätöksessä

(2000/365/EY) ja Irlantia koskevat 28.2.2002 tehdyssä neuvoston päätöksessä (2002/192/EY).

Neuvosto ei ole vielä tehnyt päätöstä kyseessä olevien säännösten täytäntöönpanosta.

Schengenin säännöstöä ja toimielinten jatkossa sen soveltamisalalla toteuttamia toimia

pidetään Schengen-pöytäkirjan 8 artiklan mukaisesti säännöstönä, joka kaikkien jäsenyyttä

hakevien valtioiden on hyväksyttävä kokonaisuudessaan.

9

4. Schengenin säännöstö on sisällytetty osaksi EU:n rakenteita Schengen-pöytäkirjalla.

Säännöstökokonaisuus on määritelty neuvoston päätöksessä 1999/435/EY (EYVL L 176,

10.7.1999).

Schengenin säännöstöä on kehitetty ja muutettu sen jälkeen, kun se sisällytettiin osaksi

Euroopan unionin rakenteita, joten se on jatkuvasti kehittyvä kokonaisuus.

Schengenin säännöstöä ovat täydentäneet myös sen pysyvän arviointi- ja soveltamiskomitean

eli nykyisen 'Schengenin sopimuksen täytäntöönpanon arviointityöryhmän' puitteissa tehtyjen

arviointien tulokset. Kyseisen työryhmän toimeksiannon mukaisesti neuvostolle esitetään

arviointiraportteja toisaalta sen toteamiseksi, täyttyvätkö Schengenin säännöstön

voimaantulolle asetetut edellytykset valtiossa, joka haluaa osallistua kyseisen säännöstön tai

sen osan soveltamiseen, ja toisaalta sen valvomiseksi, että Schengen-valtiot soveltavat

Schengenin säännöstöä asianmukaisesti. Raporteissa pyritään erityisesti tunnistamaan

ongelmia ja ehdottamaan niihin ratkaisuja.

5. Luettelon ensimmäinen osa, joka toimitettiin hakijavaltioille 28.2.2002 pidetyssä neuvoston

istunnossa, käsitteli lähinnä rajoihin ja maasta poistamiseen liittyviä kysymyksiä. Tämä

luettelon toinen osa käsittelee Schengenin tietojärjestelmää, erityisesti Sirene-käsikirjan

soveltamista. Vapaa liikkuvuus Schengen-valtioiden alueella merkitsee vapautta, joka

edellyttää vastapainoksi paitsi yhteisten ulkorajojen vahvistamista ja toimintapolitiikkaa,

jonka mukaisesti jossakin maassa laittomasti oleskelevat kolmansien maiden kansalaiset

poistetaan sieltä, myös nopeaa ja tehokasta tietojen vaihtoa rajavalvonnan ja poliisiyhteistyön

yhteydessä. Toiminnan tarkoituksena on vahvistaa Euroopan yhdentymistä ja erityisesti

vauhdittaa EU:n kehittymistä vapauteen, turvallisuuteen ja oikeuteen perustuvaksi alueeksi.

6. Tämä luettelon osa koskee Schengenin tietojärjestelmää (SIS) ja Sireneä. Yleisessä osiossa

kuvataan lyhyesti suositusten ja parhaiden käytäntöjen peruslinjaukset. Suositukset on esitetty

taulukossa vasemmassa sarakkeessa ja parhaat käytännöt oikeassa aina vastaavan suosituksen

kohdalla.

* * *

11

OSA 3: SCHENGENIN TIETOJÄRJESTELMÄ

YKSITYISKOHTAISIA TIETOJA SUOSITUKSISTA JA PARHAISTA KÄYTÄNNÖISTÄ

YLEINEN OSIO

Jäljempänä oleva suositusten ja parhaiden käytäntöjen luettelo on laadittu pääasiassa viime vuosien

aikana tehtyjen arviointien, sekä SISiä eri maissa koskevien että Sireneä koskevien

erityisarviointien, tulosten perusteella.

Luettelo on laadittu niin, että se on riippumaton käytettävästä teknisestä järjestelmästä, kuten

SIS I+:sta tai SIS II:sta. Sitä onkin tarkoitus käyttää luotaessa kansallisia tietokantoja, joista saadaan

tietoja SISiin, samoin kuin SISin kansallisen osan valmistelussa, missä muodossa tämä sitten onkin

SIS II -arkkitehtuurissa.

Palautetaan mieliin, että aina kun Schengenin tietotekniikkajärjestelmien käyttäjät käsittelevät EU:n

turvaluokiteltavia tietoja, sovelletaan neuvoston turvallisuussääntöjen vahvistamisesta annettua

neuvoston päätöstä 2001/264/EY (EYVL 101, 11.4.2001, s. 1).

Ilmoitusten SISiin tallentamisen osalta on olennaista löytää tasapaino siten, että SISiin tallennetaan

mahdollisimman paljon ilmoituksia yleissopimuksen määräysten puitteissa ja toisaalta että SISiin

tallennetut tiedot ovat laadultaan hyviä. Molemmat ovat olennaisen tärkeitä SISin tehokkuuden ja

hyödyllisyyden kannalta. Kaikki Schengenin kannalta tärkeät kansalliset ilmoitukset olisi

periaatteessa tallennettava SISiin. Jotta ilmoituksen suhteen pystyttäisiin toteuttamaan

toimenpiteitä, sen tietojen on oltava oikeita, mahdollisimman täydellisiä ja jäljitettäviä. On lisäksi

muistettava, että kun Schengen-valtio panee ilmoituksen täytäntöön, sillä on oikeus olettaa, että

ilmoituksen tehnyt valtio seuraa osumaa. Sillä, että ilman (laillista) syytä niin ei tehdä, on kielteinen

vaikutus (paikallisten) viranomaisten halukkuuteen käyttää SISiä ja hyödyntää maksimaalisesti sen

tarjoamia mahdollisuuksia.

12

Sirenen asema SISin toiminnassa on ehdottoman tärkeä. Vaikka ei oleteta eikä ole tarpeellista, että

Sirene vastaisi kaikista toimista SISin suhteen, Sirene on inhimillinen liittymä SISiin. Tämä

tarkoittaa, että se on ensimmäinen kontaktitaho sekä muille Sirene-toimistoille että kansallisille

viranomaisille ja loppukäyttäjille. Tapauksesta riippuen Sirenen on pystyttävä käsittelemään se

itsenäisesti tai siirrettävä se toimivaltaisten viranomaisten tai virastojen tehtäväksi. Sirene-

henkilökunnan olisikin siksi oltava pätevää ja koulutettua, ja sillä olisi oltava hyvät suhteet

kansallisiin ja ulkomaisiin viranomaisiin.

13

SUOSITUKSET / PARHAAT KÄYTÄNNÖT

SUOSITUKSET PARHAAT KÄYTÄNNÖT

1. SISin kansallinen osa

1.1 Järjestelmät ja niitä koskevat järjestelyt

– SISin kansallisen osan on oltava käytettävissä

24 tuntia 7 päivänä viikossa, ja riittävä

tekninen tuki on oltava saatavilla kaikkina

aikoina.

– On taattava tietojen eheys SISin kansallisen

osan ja kaikkien olemassa olevien

kansallisten teknisten kopioiden välillä.

– Laitteiston ja ohjelmistojen ylläpidon ja

niiden palvelutasoa koskevien sitoumusten

suhteen on huolehdittava siitä, että

varmistetaan 24 tuntia 7 päivää viikossa

jatkuva toiminta.

– Kopiot on synkronoitava tosiaikaisesti.

– Tietokantoja on vertailtava säännöllisesti.

1.2 Viestintäinfrastruktuuri

– Kansallisen verkon olisi oltava vakaa.

– Olisi varmistettava, että kyselyihin vastataan

nopeasti.

– Konsuliedustustoissa saatavissa olevat

SIS-tiedot on ajantasaistettava säännöllisesti.

– Olisi huolehdittava asianmukaisista ylläpitoa

ja palvelutasoa koskevista sitoumuksista,

jotta verkko olisi mahdollisimman

luotettavasti käytettävissä.

– Vastausajan olisi oltava alle 5 sekuntia.

– Parasta olisi, jos konsuliedustustoilla olisi

verkkoyhteys asiaankuuluviin SIS-tietoihin.

– Mikäli voidaan tarjota ainoastaan muu kuin

verkkoyhteys, tietokantojen päivitykset olisi

toimitettava joka toinen viikko ja lisäksi olisi

tehtävä tarkistus puhelimitse.

14


2. Sirene

2.1 Kansallinen rakenne

– On perustettava Sirene-toimisto, ja nimettäväse kunkin Schengen-valtion ainoaksiyhteyspisteeksi SIS-ilmoitusten ja osumanjälkeisen menettelyn osalta.

– Olisi noudatettava periaatetta, jonka mukaanSchengen-ilmoitukset menevät Interpol-ilmoitusten edelle, ja toimittava senmukaisesti.

– Kaikkiin kansainvälisestä poliisiyhteistyöstävastuussa oleviin virastoihin olisi saatavayhteys yhden ainoan yhteyspisteen kautta,niiden olisi sisällyttävä samaanhallintorakenteeseen ja sijaittava samassapaikassa.

– Interpol-ilmoitukseen olisi sisällytettäväSchengen-valtioita koskeva, ilmoituksenSchengen-tunnistenumeron osoittavahuomautus.

2.2 Organisaatio ja järjestelmä

– Sirenen on tarjottava yhteys kaikkiin muihinSireneihin ja kansallisiin viranomaisiin24 tuntia 7 päivänä viikossa.

– Koko henkilöstöllä, myös virka-ajanulkopuolella tehtävään työhön määrätyillähenkilöillä, olisi oltava pätevyys ja kokemustarvittavan palvelun tarjoamiseksi muilleSireneille ja kaikkien saapuvien ilmoitustenkäsittelemiseksi.

– Hallinnollisen ja operatiivisen henkilöstönlisäksi tarvitaan selvästi myöstietotekniikkatuesta vastaavaa henkilöstöä.

– Sirene on varustettava tehokkaalla jatoimivalla työnohjausjärjestelmällä(workflow).

– Hallinnon ja teknisten näkökohtien jatkuvuusja henkilöstön pitkäaikaisuus olisi taattava.

– Työ olisi järjestettävä joustavasti.

– Olisi huolehdittava laitteiston jaohjelmistojen ylläpitoa ja palvelutasoakoskevista sitoumuksista sen takaamiseksi,että toiminta jatkuu 24 tuntia 7 päivänäviikossa.

– Sirene-toimijoille tarkoitetun sähköisentyönohjaus- ja asianhallintajärjestelmän onhavaittu parantavan työn laatua ja vähentävänvirheiden mahdollisuutta.

15


– Sirenen olisi voitava toimittaa nopeasti jatehokkaasti kuvia, kuten valokuvia jasormenjälkiä.

– Sähköisen työnohjaus- ja asianhallinta-järjestelmän olisi oltava vuorovaikutuksessaN.SIS-sovelluksen ja kansallistenjärjestelmien kanssa saapuvien ja lähtevienilmoitusten hallinnan osalta. Tähän olisisisällytettävä seuraavien tietojenautomaattinen näyttö:

• Onko pyydetty "lippu" lisätty tai poistettu?

• Milloin ilmoitus on muuttunut?

• Uuden 94 artiklan mukaisen ilmoituksensaapuminen.

– Kuvat on suotavaa välittää sähköisestikäyttökelpoisten kuvien siirronvarmistamiseksi.

– Tällaiseen kuvien sähköiseen välittämiseenolisi käytettävä ANSI/NIST-CLS 1-1993-standardia tai sen myöhempiä tarkistettujaversioita.

2.3 Palvelukseenotto ja koulutus

– Sirenellä olisi oltava oma-aloitteiseentoimintaan pystyvä henkilöstö tapaustentehokkaan käsittelyn valmistamiseksi.

– Kaikkien toimijoiden olisi tunnettava hyvinkansalliset oikeusnäkökohdat, kansallinenlainvalvonta (myös teoreettinen tietämyspoliisitoiminnasta), kansallinenlainkäyttöjärjestelmä ja maahanmuutonhallintojärjestelmä, ja heillä olisi oltavavähintään perustiedot kansainvälisistäoikeusnäkökohdista.

– Käytettävissä olisi oltava johdon tukea,mukaan lukien oikeus käyttää virka-ajanulkopuolella oikeudellisia ja muidenasiantuntijoiden neuvoja vastuun siirtämisenmahdollistamiseksi.

– Olisi kiinnitettävä erityistä huomiotahenkilöstöhallintoon henkilöstönpitkäaikaisuuden varmistamiseksi, mikä onetu Sirene-työn laadun parantamisenkannalta.

– Olisi oltava käytettävissä Sirene-työnohjaustakoskeva koulutusjärjestelmä.

16


– Olisi oltava saatavilla lakiasiantuntemusta,johon sisältyy hyvät tiedot kansallisestalainsäädännöstä ja kansainvälisestäoikeudesta, perusteellinen Schengeninyleissopimuksen ja sitä koskevien asetustentuntemus sekä teoreettiset tiedotpoliisitoiminnasta.

– Tarvitaan lainvalvontataustan omaavaahenkilöstöä, jotta saadaan käyttöönmerkittävän hyödylliseksi osoittautunuttakokemusta, joka vähentää koulutusaikaa.

– On luotava yhteiset standardit jamuodostettava yhteinen näkemys.

– Palvelukseen otettavan henkilöstön määrääarvioitaessa olisi otettava huomioonkansallisten ilmoitusten määrä ja kyseistenilmoitusten uudelleentarkastelu niidenvoimassaolon päätyttyä sekä osumien määräkansallisella alueella.

– Sirenen palvelukseenottostrategiassa olisimäärättävä olemassa olevien 95 artiklaanliittyvien tiedostojen validoinnista ennenSISin operatiivista käyttöä.

– Henkilöstöllä olisi oltava riittävä kielitaito.

– Lakiasiantuntemusta voidaan hankkiapalkkaamalla omia oikeudellisianeuvonantajia tai järjestämällä oikeudellistakoulutusta Sirene-henkilöstölle.

– Yhteistä koulutusta, vähintään kerranvuodessa.

– Toimijoiden säännöllistä vaihtoa, joka alkaaennen SISin operatiivista käyttöä.

– Tämän olisi oltava keskeinen tekijä Sirene-henkilöstön rekrytointiprosessissa jameneillään olevassa koulutuksessa.

– Sirene-henkilöstön olisi saatava etusijakielikoulutuksessa.

– Vakiokäytäntönä on vaihtaa lomakkeitailmoituksen tehneen maan kielellä jaenglanniksi.

17

Jotta kahdenvälinen viestintä olisimahdollisimman tehokasta, on käytettävämolemmille osapuolille tuttuja kieliä.

– On selvästi toivottavaa, että toimijat osaavatyleisimmin puhuttuja kieliä, sekä suoranviestinnän kannalta että pystyäkseenkäsittelemään asiakirja-aineistoa käännöstuenpuuttuessa.

18


3. Loppukäyttäjät

3.1 Kyselyt ja käyttäjäliittymä

– Tarvitaan kyselyjä tai hakuja, jotka menevättarkkaa osumaa koskevaa hakua pitemmälle.

– Sekä kansallisia että kansainvälisiäjärjestelmiä koskeva yhteishaku on tehokkaintapa taata SISin systemaattinen käyttö.

– Suora pääsy on suotavaa.

– Tiedot kansallisista ja kansainvälisistäilmoituksista olisi näytettävä samanaikaisesti.

– Tieto siitä, että henkilö katsotaanvaaralliseksi ja/tai aseistetuksi, olisi oltavaloppukäyttäjän saatavilla ensimmäisessänäytössä.

– Kun kansalliset ilmoitukset syötetään,ilmoituksen liittäminen SISiin olisi asetettavaoletustoiminnoksi, siten että liittäminen eiedellytä loppukäyttäjän lisätoimenpiteitä.

– Jo olemassa olevien kansallisten tietojenmerkityksellisyys Schengenin kannalta janiiden virheettömyys olisi tarkistettava,ennen kuin kansallisten ilmoitusten tietojaladataan ensimmäisen kerran SISiin.

– Näytetään täsmälliset tiedot ja ohjeettoimista, joita loppukäyttäjän on suoritettavaosuman sattuessa.

– Esimerkkejä: foneettiset haut,korvausmerkkihaut, sumea logiikka jasoundex (ääntämykseltään samankaltaistennimien luku).

– Olisi huolehdittava siitä, että kansallinenlainsäädäntö ei estä yhteishakua.

– Olisi varmistettava, että yhteishaku onnopeaa ja helppoa.

– Loppukäyttäjille olisi tarjottavamahdollisimman suuri määrätiedonhakulaitteita suorien hakujenmahdollistamiseksi.

– Ilmoitukset olisi tarkastettava ennakkoonkansallisessa tietokannassa ja siirrettävä siitäautomaattisesti N:SISiin.

– Jos henkilöllisyyttä on käytetty väärin,näytössä näytetään selvästi menettelyhenkilöllisyyden väärinkäyttöä koskevanosuman käsittelemiseksi ja myöhemmättutkinnat, jotka olisi suoritettava sentoteamiseksi, onko henkilö väärinkäytön uhrivai väärinkäyttöön syyllistynyt henkilö.

19


– Sovelluksia olisi kehitettäväkäyttäjäystävällisellä tavalla, jokamahdollistaa SIS-tehtävien suorittamisennopeasti ja tehokkaasti.

– SIS-haut voitaisiin tarvittaessa yhdistää olemassaoleviin hakujärjestelmiin.

– Kun järjestelmään syötetään nimi haunyhteydessä, järjestelmän olisi tarkastettava sekähenkilöitä että asiakirjoja koskevat tiedot.

– Käyttöliittymän olisi mahdollistettava jakannustettava seuraavaa:Nimi ja tarvittaessa asiakirjan numero syötetäänsamanaikaisesti, ja sovelluksen olisi tarkastettavamolemmat saman haun yhteydessä.

3.2 Koulutus

– Varmistetaan, että seuraavat asiaankuuluvattahot ovat perillä SISistä: poliisiviranomaisetja muut (lainvalvonta)viranomaiset, oikeus-ja syyttäjäviranomaiset.

– SISiä koskeva koulutus olisi sisällytettäväloppukäyttäjän peruskoulutukseen sekätäydennyskoulutukseen jo ennen SISinoperatiivista käyttöä.

– Huolehditaan edellä mainittujen tahojenjatkuvasta koulutuksesta.

– Saatetaan koulutusjärjestelmä loppukäyttäjiensaataville.

– Varmistetaan asiaankuuluvien tahojen tiiviityhteydet Sireneen yhteyshenkilöiden kautta.

– Lisätään tietoisuutta asiaan liittyvientyöryhmien (poliisiyhteistyö- jarajavalvontatyöryhmät sekä poliisipäälliköidenoperatiivinen toimintaryhmä, oikeudellisenyhteistyön työryhmä ja terrorismityöryhmä) taiEuroopan poliisiakatemian kautta.

– Yleisestä turvallisuudesta vastuussa olevienviranomaisten tietoon voitaisiin saattaa96 artiklan 2 kohdan b alakohdan mukaistenilmoitusten syöttömahdollisuus tai lisätätietoisuutta tästä.

– Selitetään, mikä vaikutus rajatarkastustenpoistamisella sisärajoilla on poliisityöhön.

– Tehdään selväksi SISin käyttö jokapäiväisenäpoliisityön välineenä.

– Koulutuksen olisi katettava sekä järjestelmääntehdyt kyselyt että ilmoitusten tallentaminen.

– Sirene-henkilöstön olisi osallistuttavapoliisikoulujen SIS-koulutukseen.

20


– Olisi kehitettävä sisäisiä menettelyjä

koskevia käsikirjoja.

– Olisi annettava ajantasaistettuja ohjeita,

joissa otetaan huomioon uudet toiminnot.

– Ennen Schengenin käynnistämistä olisi

järjestettävä kumulatiivinen koulutusjakso

(cascade training).

– Olisi tarjottava täydennyskursseja

loppukäyttäjien hankittua tietyn määrän

kokemusta.

– Poliisiviranomaisten intranetissä olisi oltava

saatavilla käsikirjoja, muun muassa Sirene-

käsikirja, tietoja, koulutus- ja

kertausaineistoa tai muita välineitä.

– Ennen SISin operatiivista käyttöä

loppukäyttäjiä hankkeen vaiheesta

informoivalla tiedotuslehdellä voidaan

varmistaa ja taata loppukäyttäjien

mielenkiinto.

– SISin toteuttamisen olisi oltava nykyisten

kansallisten hakuvälineiden saumaton jatke

koulutustarpeen vähentämiseksi.

21


4. Tietojen käsittely

4.1 Ilmoitusten tallentaminen, muuttaminen ja poistaminen

– Tallennusvaiheessa kaikkien ilmoitusten olisitäytettävä kriteerit, joilla varmistetaanosuman seuraaminen.

– 95 artiklan mukaisia ilmoituksia koskevattiedostot on tarkistettava ennen kuin neannetaan loppukäyttäjän käyttöön.

– Olisi noudatettava ensisijaisuutta jayhteensopivuutta koskevia sääntöjä.

– SISiin ilmoituksia tallentaville viranomaisilleon tiedotettava tallentamisen seurauksista jaerityisesti velvollisuudesta seurata osumaa.

– On luotava kansalliset menettelyt, joissamääritetään täysin, kuka vastaa rikoksenjohdosta tapahtuvaa luovuttamista koskevistapyynnöistä ja varastettujen ajoneuvojentakaisinotosta.

– On varmistettava, että Sirenentyönohjausjärjestelmä antaa automaattisenvaroituksen, kun tehdään uusi 95 artiklanmukainen ilmoitus.

– Vaikka kaikkia 95 artiklan mukaisiailmoituksia koskevia tiedostoja ei olisi ollutmahdollista ennakolta validoida, ilmoituksetolisi kuitenkin saatettava loppukäyttäjiensaataville heti, kun järjestelmä onloppukäyttäjien käytettävissä, odottamattatuloksia, joita Sirene saa A-lomakkeentarkastelusta. Tässä tapauksessa on luotavamenettelyt, joilla varmistetaan tiedoston nopeatarkastus siinä tapauksessa, että ilmoituspannaan täytäntöön.

– Sirene-toimijoille olisi annettava mahdollisuuspoistaa manuaalisesti ilmoitukset, jotka eivätnoudata ensisijaisuutta ja yhteensopivuuttakoskevia sääntöjä.

– "Toissijaiset" ilmoitukset kustakin henkilöstäolisi pidettävä saatavilla, niin että ne voidaantallentaa sitten, kun henkilöä koskevaensimmäinen ilmoitus, jonka kanssatoissijainen ilmoitus ei ollut yhteensopiva,raukeaa.

22

– Kansallisessa lainsäädännössä olisi sallittavakaikki toimet, erityisesti 99 artiklan mukaiset"erityistarkastukset".

– Ennen ilmoituksen voimassaolon jatkamistaon uudelleen tarkistettava, päteekö ilmoitusedelleen ja onko se merkittävä.

– Schengen-tunnistenumeroita ei saisi käyttääuudelleen.

– Ajanjakson tapahtuman ja SISiin tehtävänilmoituksen välillä olisi oltavamahdollisimman lyhyt.

– Schengen-kriteerit täyttävät ilmoitukset olisimahdollisuuksien mukaan tallennettavaSISiin automaattisesti. Siitä, että Sirenentäytyy kopioida tällaiset ilmoituksetmanuaalisesti kansallisista järjestelmistäSISiin, aiheutuu usein viiveitä.

– Ilmoitusten tallentamisen olisi suotavaatapahtua tosiaikaisesti.

– Ilmoitusten (erityisesti esineitä koskevien)tallentamisen on oltava mahdollisimmanhajautettua, jotta voitaisiin välttää sisäisistähallinnollisista menettelyistä, kutenilmoitusten lähettämisestätietojensyöttökeskuksille, johtuvat viiveet.

– Jos suora tallentaminen ei ole mahdollista,olisi tiedon lähettämiseen paikalliselta tasoltatiedonsyöttötasolle oltava käytössä nopeitatiedonsiirtokeinoja, erityisesti kadonneitalapsia ja varastettuja ajoneuvoja koskevienilmoitusten osalta.

23

– Olisi määritettävä tietojenlaadunvarmistustoimenpiteitä, joillavältetään, etteivät SIS-ilmoituksista joudukärsimään henkilöt, joita ne eivät koske.

– Ajoneuvon rekisterinumeroa ei saisi antaauudestaan käyttöön niin kauan kuin sitäkoskeva SIS-ilmoitus on voimassa.

– Vakiokäytäntö on, että ilmoitus poistetaanSISistä ja säilytetään ainoastaan kansallisessatietokannassa, jos todetaan, että hyvässäuskossa toiminut omistaja on laillisestihankkinut varastetun ajoneuvon, ja jos tämäon kansallisen lainsäädännön mukaista.

– Ilmoitusten järjestelmällistä tallentamistaSISiin olisi tehostettava mahdollisimmanpaljon, ja tallentamista varten olisi laadittavakansalliset kriteerit.

– Tietoja tallennettaessa olisi tarkistettava, etteikyseessä ole kaksinkertainen ilmoitus.

– Järjestelmän olisi automaattisestitarkistettava mahdolliset kaksinkertaisetilmoitukset haulla, joka on laajempi kuintarkkaan osumaan pyrkivä haku.

4.2 Osumien seuranta

– Sirenen on oltava ainoa yhteyspiste jakanava, jota pitkin kaikki osumanjälkeiseenmenettelyyn liittyvät tiedot siirretään.

– 95 artiklan mukaisten ilmoitusten osaltaSirenen on oltava ainoa yhteyspiste, ja sevastaa osumanjälkeisestä tietojenvaihdostaainakin siihen asti kun virallinen rikoksenjohdosta tapahtuvaa luovuttamista koskevamenettely alkaa.

– Kaikki tietojenvaihto, joka ei edellytäoikeusapupyyntöä, olisi lähetettävä Sirenenkautta.

– Jos on mahdollista ja/tai tarpeen, Sirene voihelpottaa myös myöhempää tietojenvaihtoapidätyksen jälkeen.

24

– Vastaus tai ainakin alustava vastaustapauksen tilanteesta olisi lähetettäväasetetuissa määräajoissa.

– Olisi varmistettava, että myös kolmansienmaiden kansalaisia koskevista tapauksistavastaavat viranomaiset olisivat tavoitettavissaympäri vuorokauden seitsemänä päivänäviikossa tai että ne olisi muutoin organisoitusiten, että lisätietojen antamiseen asetettujamääräaikoja voidaan noudattaa: Sirenellevoitaisiin antaa pääsy näiden viranomaistentietokantaan.

– Ilmoitus olisi poistettava SISistä sen jälkeen,kun ilmoitusta ei enää tarvita.

– Olisi luotava menettelyt sen varmistamiseksi,että kadonneita esineitä koskevat toimettoteutetaan nopeasti.

– 95 artiklan mukaiset ilmoitukset olisipoistettava sen jälkeen, kun rikoksen johdostatapahtuva luovuttaminen on toteutunut.

– 96 artiklan mukaisia ilmoituksia ei pitäisipoistaa osuman jälkeen.

– 97 artiklan mukaiset aikuisia, jotka eivättarvitse suojelua, koskevat ilmoitukset olisipoistettava osuman jälkeen.

– Muut 97 artiklan mukaiset ilmoitukset olisipoistettava sen jälkeen, kunsuojelutoimenpiteet on toteutettu.

– Varastettua ajoneuvoa koskeva ilmoitus (myöskaksinkertaiset ilmoitukset) olisi poistettavanopeasti osuman jälkeen, jottei ajoneuvonpalauttamisessa olisi ongelmia.

– Asianomaisten tehtävät ja vastuut onmääritettävä.

– Osumista on laadittava tilastoja. – Osuma on positiivinen vastaus, joka on saatuSchengen-valtiossa toisen Schengen-valtiontekemään ilmoitukseen.

– Jokainen osuma olisi rekisteröitäväasianmukaisesti, myös 96 artiklan mukaisestitehtyjä ilmoituksia koskevat.

– Osumat olisi luokiteltava artiklan mukaan.

25

4.3 Tietojen laatua koskevat toimenpiteet

– SIS-tiedot olisi tallennettava automaattisestiasiaankuuluvien kansallisten tietokantojen jaN.SIS-tietokannan välille luotavan yhteydenkautta.

– Ilmoitusten automaattiseen tallentamiseen olisiliitettävä tietojen automaattinen muuttaminentosiaikaisesti SISissä tai poistaminen siitä senjälkeen, kun vastaavat muutokset tai poistot ontehty kansalliseen järjestelmään.

– Tämä toteutuu, kun tietojen tallentaminenSISiin on oletusvaihtoehto, kuten luvussa 3.1suositellaan.

– Ilmoitusten olisi oltava mahdollisimmantäydellisiä.

– Ilmoituksen tiedot olisi tarkistettavamieluiten automaattisesti vertaamalla niitäkansallisiin rekistereihin.

– Ilmoitukset olisi pidettävä ajan tasallalisäämällä tietoja esimerkiksi myönnetynasiakirjan numerosta tai varastetun autontunnistenumerosta sitä mukaa kuin niitäsaadaan.

– Varastetun esineen alkuperämaan Sirenenolisi toimitettava lisätietoja ilmoituksenajantasaistamiseksi.

26

– Sirenen olisi toimittava tietojenoikeellisuuden varmistajana.

– Sirenen olisi validoitava jokainen 95 artiklanmukainen ilmoitus.

– Translitterointisääntöjä olisi noudatettava.

– Loppukäyttäjät olisi koulutettava tietojenlaadunvarmistustoimenpiteisiin.

– Sirenellä olisi oltava kansallista toimivaltaasekä operatiiviset ja tekniset keinot tietojenlaadun varmistamiseksi, myös pääsykansallisiin tietokantoihin, ja sen olisiotettava näytteet kaikkien ilmoitustenkaikista ryhmistä.

– Sirenen olisi oltava mukana käyttäjienkoulutuksessa.

– Osumaluetteloita olisi verrattava poistettujenilmoitusten luetteloihin.

– Ilmoitusten ja osumien suhdetta olisitarkasteltava.

– Paikallisviranomaisilta olisi säännöllisestitarkistettava, onko kadonnutta alaikäistäkoskeva ilmoitus säilytettävä.

– Yksityiskohtaiset tiedottranslitterointisäännöistä olisi saatettavaloppukäyttäjien käyttöön.

– Sellaisia tietoja, joita ei voida jäljittää, ei saatallentaa, esim. merkitsemällä pakollisiinkenttiin "ei tiedossa", jättämällä valinnaisiakenttiä tyhjiksi sen sijaan, että merkittäisiin"ei tiedossa" tai "?" jne.

27


5. Turvallisuus

5.1 Tietoturvallisuutta koskevan työskentelyn järjestäminen

– Schengenin tietotekniikkajärjestelmiä (N.SIS,C.SIS, Sirene ja loppukäyttäjäjärjestelmät)koskevan turvallisuuspolitiikan määrittelynolisi sisällyttävä kiinteänä osana niitäviranomaisia koskevan yleisenturvallisuuspolitiikan määrittelyyn, jotkajoutuvat tekemisiin kyseisten järjestelmienkanssa.

– Toimivaltaisten viranomaisten ondokumentoitava turvallisuuspolitiikkakirjallisesti.

– On ratkaisevan tärkeää, ettäturvatoimenpiteiden luomista ja ylläpitoa vartenmyönnetään tarvittavat resurssit.

– Kansallisella tasolla olisi määriteltävämenettelyt ja vastuualueet sen varmistamiseksi,että turvatoimenpiteitä päivitetään jatarkistetaan jatkuvasti.

– Turvatoimenpiteet olisi päivitettävä taitarkistettava, mikäli mahdollista kerranvuodessa niin, että ne ovat jatkuvastiasianmukaiset ja vastaavat tosiasiallisiaolosuhteita.

– Lisäksi päivitys ja tarkistus on suoritettavamerkittävien/vakavien häiriötilanteiden taitietoturvallisuuteen vaikuttavienjärjestelmänmuutosten jälkeen.

28

5.2 Turvallisuusorganisaatio

– Tietoturvallisuutta koskeva toiminta on – ainamahdollisuuksien mukaan – järjestettäväturvallisuusorganisaation puitteissa, johon voikuulua yksi tai useampi viranomainen.

– Tietoturvallisuustoimintaan osallistuvienhenkilöiden vastuualueet ja valtuudet olisimääriteltävä selkeästi, mahdollisestikyseisten henkilöiden työnkuvauksenyhteydessä.

– Yleensä on tarkoituksenmukaista, ettäturvallisuustoiminnan suunnittelun tukena onorganisaatiokaavio.

5.3 Voimavarojen valvonta

– On varmistettava, että kaikki järjestelmienolennaiset osat (voimavarat) tunnetaan, niinettä ne voidaan suojata niiden merkitystävastaavalla tavalla.

– Tämän vuoksi on jatkuvasti pidettäväluetteloa keskeisistä tietoteknisistä laitteista.

– Lisäksi olisi oltava käytettävissä päivitettyverkkoja ja järjestelmiä koskevadokumentaatio, josta ilmenevät muun muassayksittäisten järjestelmänosien yhteydet jatoiminnot.

5.4 Henkilöstöturvallisuus

– Sen henkilöstön työnkuvaukseen, jolla onpääsy SIS-tietoihin ja laitteisiin, joitakäytetään SIS-tietojen käsittelyssä, olisisisällytettävä tiedot turvallisuuteen liittyvästävastuusta.

– Henkilöstön luotettavuusselvityksen onoltava osa työhönottomenettelyä, ja se ontoistettava joka viides vuosi.

29


– Henkilöstön työhönottokäytännöissä olisikiinnitettävä huomiota tietoturvallisuudentuntemukseen.

– Kyseiselle henkilöstölle on annettavatarvittava käyttäjäkoulutus, jonka onsisällettävä tietoturvallisuutta koskevatvoimassa olevat säännöt.

– Kaikkien niiden henkilöstön jäsenten kanssa,jotka eivät kuulu mihinkään kansalliseenviranomaiseen, on tehtäväluottamuksellisuutta ja salassapitoa koskevatsopimukset.

– Tällaisilla henkilöillä on oltava tarvittavaturvallisuusselvitys tai vastaava todistus.

– Heillä tulee olla pääsy SIS-tietoihin vainniissä tapauksissa, joissa heidän tehtäviensäsuorittaminen sitä edellyttää.

– On luotava ohjausjärjestelmä jamenettelytapoja, joilla varmistetaan, ettäturvallisuuteen liittyvistä häiriötilanteista tainiitä koskevista epäilyistä ilmoitetaanmahdollisimman nopeasti.

– Kaikkien sisäisen henkilökunnan jäsenten jaulkoisten sopimuspuolten on tunnettava tämämenettely.

– On otettava käyttöön palautemenettelyjä senvarmistamiseksi, että tuloksista raportoidaan,kun häiriötilanne on käsitelty ja päättynyt.

– Turvasääntöjen rikkomisesta on ryhdyttäväkurinpitotoimiin riittävän laajasti kansallisenlainsäädännön mukaisesti.

30


5.5 Fyysinen turvallisuus

– SIS-tietojenkäsittelylaitteiden (N.SIS, C.SIS,Sirene) ja muiden olennaisten taiarkaluonteisten resurssien, kutentietovälineiden varastointitilojen, onsijaittava rajatuilla turva-alueilla, jotka onvarustettu asianmukaisilla fyysisillä esteilläja kulunvalvontajärjestelyillä.

– Alue on suojattava asianmukaisesti siten, ettäkaikki luvaton sisääntulo estetään.

– Ulkoseinien on oltava vankkarakenteiset, jakulkuovet on asianmukaisesti suojattavaluvattomalta kululta esim.valvontamekanismeilla, esteillä,hälytyslaitteilla ja lukoilla.

– Rakennuksessa tai alueella, joka sisältääSISin tietojenkäsittelylaitteita, on oltavamiehitetty vastaanottoalue tai muita välineitäfyysisen kulun valvomiseksi.

– Pääsyä turva-alueille, jotka sisältävät SISintietojenkäsittely- ja tietovälineitä, onvalvottava, ja se on sallittava ainoastaanerityisluvan saaneille henkilöille.

– turvaluokan II turva-alue, sellaisena kuin seon määriteltynä 19 päivänä marraskuuta 2001annetulla neuvoston päätöksellä1, ontoivottava kaikkien SIS-tietojen käsittelynyhteydessä (sikäli kuin SIS-tietojenkäsittelylaitteissa käsitellään EU:nturvaluokiteltavia tietoja, vähintäänturvaluokan II turva-alue on joka tapauksessavälttämätön)

– Maan alle sijoitetut tietokoneet

– Eri turvavyöhykkeet

– Kulkuluvat

– Vartijat

– Valvontakameran avulla tapahtuva valvonta

– Saapumisten ja poistumisten valvonta

1 Neuvoston päätös 2001/264/EY neuvoston turvallisuussääntöjen vahvistamisesta,

EYVL L 101 s. 1, 11.4.2001.

31


– Turva-alueilla vierailevia henkilöitä onvalvottava tai heistä on tehtäväturvallisuusselvitys.

– Vierailijoille voidaan myöntää pääsy alueelleainoastaan tiettyä tarkoitusta varten, johon onsaatu lupa.

– Ulkopuoliselle tukipalveluhenkilöstöllemyönnetään rajattu pääsy turva-alueilleainoastaan, kun se on välttämätöntä.

– Pääsyyn on saatava lupa ja sitä on valvottava.

5.6 Laitteiden turvallisuus

– Kaikki laitteet, joita käytetään SIS-tietojenkäsittelyyn tai tallentamiseen, on suojattavatahattomien vahinkojen tai tietojenmenettämisen sekä luvattoman käytön varalta.

5.6.1 SIS-tietojenkäsittelylaitteet

– SIS-tietojenkäsittelylaitteet on sijoitettavaalueelle, jolle pääsy on minimoitava.

– Tarvitaan jatkuvaa valvontaa mahdollistenuhkien, kuten rikollisten tai terroristien iskun,tulipalon, ilmastoinnissa olevan vianaiheuttaman ylikuumenemisen, räjähdystäseuraavan rakenteellisen romahduksen taivesivahinkojen vaaran minimoimiseksi.

– Virransaannin jatkuvan toiminnanvarmistamiseksi seuraavien laitteiden on ainaoltava toimintavalmiita ja niitä on jatkuvastivalvottava ja testattava:

• katkoton tehonsyöttö (UPS), jonka avullakeskeiset toiminnot pysyvät käynnissä

• varageneraattori, jonka avulla käsittelyävoidaan jatkaa pitkäaikaisen virtakatkoksenyhteydessä.

– Teleliikennekaapelit on suojattava riittäväntehokkaasti.

– Palon-, lämmön- ja savunilmaisujärjestelmät

– Automaattinen palonsammutusjärjestelmä

– Riittävä ilmastointi

32


– Elektroniset verkkolaitteet on asennettavalukittaviin huoneisiin tai kaappeihin.

– Ainoastaan valtuutettu huoltohenkilöstö saasuorittaa laitteiden korjaus- ja huoltotöitä.

– Erillinen varmistusjärjestelmä, varmistus- jaoperatiivisen järjestelmän vaihdoksensäännöllinen tarkistaminen.

– Kuuma/kylmävalmius tai peilaus

– Sijoitetaan etäälle toisistaan, niin että yhteenkohdistuva vahinko ei vaikuta toiseen.

5.6.2 Päätteet ja pc-työasemat

– Päätteet, pc-työasemat ja tulostimet onsijoitettava niin, että henkilöt, joilla ei olesiihen lupaa, eivät voi lukea niistä tietoja.

– On luotava menettelyt näytöltä tulostuksen jaSIS-tietojen listauksen seuraamiseksi.

– Mikrotietokoneiden ja päätteiden onsulkeuduttava automaattisesti, kun ne ovatolleet tietyn ajan käyttämättä, ja ne onsuojattava lukkomekanismeilla, salasanoillatai muilla valvontajärjestelyillä, silloin kunne eivät ole käytössä.

– Päätteitä, pc-työasemia ja tulostimia, jotka onsijoitettu tiloihin, joihin yleisö voi päästä, onvalvottava jatkuvasti, ja ne on sijoitettavasiten, että henkilöt, joilla ei ole siihen lupaa,eivät voi lukea tietoja.

5.7 Tietoliikenne- ja käyttöhallinto

5.7.1 Käyttömenettelyt ja vastuu

– Eri jäsenvaltioissa laaditut käyttömenetelmät

on dokumentoitava ja niitä on pidettävä

jatkuvasti ajan tasalla.

– Niiden on käsitettävä ainakin seuraavat

seikat:

33


• menettelyt, jotka koskevat päivittäisiä tehtäviä,esimerkiksi varmistusta, virusohjelmistonpäivitystä, verkon valvontaa jne.

• tietovälineiden ja muiden voimavarojenkäsittelymenettelyt

• pääsyrajoituksia koskevat menettelyt

• virheiden tai muiden erityistilanteidenkäsittelyohjeet

• tukiyhteydet odottamattomien käyttö- taiteknisten ongelmien varalta

• menettelyt, joilla järjestelmä käynnistetäänuudelleen ja palautetaan toimintaanjärjestelmän toiminnan keskeydyttyä.

– On varmistettava kaikkien SIS-tietojenkäsittelylaitteisiin ja -järjestelmiin,kuten laitteistoihin, ohjelmistoihin taimenettelyihin tehtävien muutosten riittävävalvonta.

– On oltava selkeät määräykset vastuunjaosta jamenettelyt niiden hallintaa varten.

5.7.2 Häiriötilanteiden hallintamenettelyt

– On luotava toipumissuunnitelmat jaeskalointimenettelyt sellaisten häiriötilanteidenkorjaamiseksi, jotka voivat mahdollisestikeskeyttää järjestelmän toiminnan ja estääkokonaan tai osittain pääsyn Schengenintietotekniikkajärjestelmiin.

– On määritettävä menettelyjä sellaistenhäiriötilanteiden jäljittämiseksi jakäsittelemiseksi, jotka eivät kokonaan estäpääsyä järjestelmään, mutta vaarantavattietoturvallisuuden.

34


5.7.3 Vahinko-ohjelmistoilta suojaaminen

– Ohjelmistojen ja tietojen eheydensuojaamiseksi olisi toteutettava joukkoturvatoimia, joilla voidaan estää ja jäljittäävahinko-ohjelmistojen tunkeutuminenjärjestelmään ja edesauttaa järjestelmänpalauttamista entiselleen jälkeenpäin.

– Näihin toimiin on kuuluttavavalvontatoimenpiteitä, jotka suojaavatviruksilta, madoilta, Troijan hevosilta ja muiltavahinko-ohjelmistoilta.

– Niissä on oltava ainakin seuraavat osatekijät:

• Laaditaan virallinen toimintapolitiikka, jokaedellyttää ohjelmistolisenssiennoudattamista ja kieltää luvattomienohjelmistojen käytön.

• Kaikkiin mikrotietokoneisiin asennettavavirukset havaitseva ja poistavavirustorjuntaohjelma, jonkavirusmääritelmät päivitetään säännöllisestija joka tutkii säännöllisesti palvelimet,mikrotietokoneet ja kannettavat tietokoneet.Mahdolliset poikkeukset ondokumentoitava.

• Kaikki sähköpostiviestien liitteet ja kaikkiverkosta ladattavat tiedostot on tarkastettavaennen käyttöä mahdollisten vahinko-ohjelmistojen paljastamiseksi. Onilmoitettava, missä tämä tarkastussuoritetaan: esimerkiksisähköpostipalvelimissa tai verkkoontullessa.

• On oltava käytettävissä virallisia menettelyjävirusten aiheuttamiin häiriötilanteisiinreagoimiseksi.

– Kiellettävä exe-muotoiset, salatut, makroja taisalasanoja yms. sisältävät liitetiedostot.

5.7.4 Tietojen varmistus

– SIS-tiedoista, alustustiedostoista jasovelluksista on otettava säännöllisestivarmuuskopioita.

– Varmuuskopiot otettava päivittäin.

35


– Kaikki varmistusjärjestelmät on testattavasäännöllisesti sen varmistamiseksi, että ne ovatkäyttösuunnitelman vaatimusten mukaisia.

– Varmistustiedoille on järjestettävä tarvittavafyysinen suojaus, ja ne on sijoitettava fyysisestierilleen.

– Menettelyt, jotka koskevat tietojenpalauttamista, on tarkastettava ja testattavasäännöllisesti.

– Kopiot on säilytettävä vähintään kahdessa eripaikassa.

– Kahdesti vuodessa

5.7.5 Verkon hallinta

– SIS-tietoja voidaan siirtää kansallisestiainoastaan verkoissa, jotka on suojattuluvattomalta pääsyltä.

– Verkkoja on valvottava jatkuvasti.

– On toteutettava toimenpiteitä SIS-tietojenluottamuksellisuuden varmistamiseksi, kunnäitä siirretään tietoliikenneverkoissa.

– SIS-tietoihin pääsy julkisista verkoista kutenInternetistä ei ole sallittua.

– Salasanojen ja muiden turvatekijöidensiirtäminen on suojattava salausmenetelmillä.

– Salattu verkko / radio / faksi

– Henkilötietojen vaihtoa varten tapahtuvaviestintä Sirenen ja kentällä sijaitsevientoimistojen operatiivisten viranomaisten välilläon suojattava.

– Pääsyä Internetiin poliisin verkon kautta onvältettävä.

5.7.6 Tietovälineiden käsittely

– SIS-tietojen teknisten kopioiden määrä onrajoitettava mahdollisimman pieneksi (ks.102 artiklan 2 kohta).

– On laadittava menettelyjä SIS-tietojenkäsittelemiseksi ja tallettamiseksi siten, ettäkyseiset tiedot voidaan suojata luvattomanuudelleenlähettämisen tai väärinkäytön varalta.

– Näiden menettelyjen on sisällettävä seuraavatseikat:

36


• Ainoastaan valtuutetulla henkilöstöllä onoikeus käyttää tietokonepohjaisiatietovälineitä, jotka sisältävät SIS-tietoja.

• Kaikki välineet, jotka sisältävät SIS-tietoja,on merkittävä asianmukaisesti ja suojattavariittävästi lähettämisen aikana.

• Välineet, jotka ovat vanhentuneita tai joita eienää tarvita, on saatettavakäyttökelvottomiksi, tai jos ne käytetäänuudelleen, ne on käsiteltävä siten, että kaikkiSIS-tiedot poistetaan.

– Arkistojen olisi oltava turvallisia.

– Pääsyä arkistoihin olisi valvottava, ja se olisirajattava määrättyihin henkilöihin.

– Pääsyä arkistoihin olisi seurattava ja se olisikirjattava.

– Arkistoja olisi hallinnoitava siten, ettävarmistetaan tietojen poistamispolitiikannoudattaminen.

– SIS-tietokannan päivitykset, jotka lähetetäänkonsuliedustustoille, on lähetettävä salattuinatai diplomaattipostina.

– On estettävä tietojen jakaminen virheellisestikierrättämällä asiattomasti, myös paperina.

– Toimivaltaisten viranomaisten /turvatarkastetun yhtiön on suoritettavavälineiden korvaaminen.

– On laadittava materiaalin säilyttämistä jahävittämistä koskevat menettelyt.Noudatettava puhtaan pöydän politiikkaa.

– Sähköiset arkistot ovat varmin turvatakuusisältäen lokitiedoston pitämisen tiedostoihinpääsystä ja niiden käytöstä sekätarkastusmahdollisuudet.

– Sähköisiin arkistoihin voi sisältyäautomaattiset siivous- ja poistotoiminnot.

– Fyysisiin arkistoihin pääsyn osaltamagneettikortin ja henkilökohtaisen koodinyhdistelmää pidettiin parhaana ratkaisuna.

– Sähköisistä arkistoista tulostamista olisivältettävä, ja tulosteet olisi joka tapauksessahävitettävä käytön jälkeen.

5.8 Käyttöoikeuksien valvonta

– On otettava käyttöön käyttäjien rekisteröintiäja rekisteristä poistamista koskeva menettely,jolla myönnetään pääsy eri järjestelmiin ja-palveluihin.

– Menettelyn on sisällettävä seuraavat seikat:

– Kyselyt on tarkistettava otantojen perusteella.

37


• On käytettävä yksilökohtaisiakäyttäjätunnuksia, joiden avulla yksittäistenkäyttäjien suorittamat toiminnot voidaanrekisteröidä ja käyttäjät saattaa niistävastuuseen. Ryhmäkäyttäjätunnusten käyttöäei tämän vuoksi tule sallia.

• Yksittäisillä käyttäjillä voi olla ainoastaan nevähimmäiskäyttöoikeudet, jotka ovat tarpeenheidän tehtäviensä normaalia suorittamistavarten.

• Oikeudet käyttää SIS-tietoja on välittömästipoistettava käyttäjiltä, jotka eivät enää suoritakäyttöoikeuksia edellyttäviä tehtäviä.

• On tarkistettava säännöllisesti, ettämyönnettyjen käyttöoikeuksien taso vastaakäyttäjäprofiilia.

• Käyttäjätunnukset ja käyttäjätilit ontarkistettava säännöllisesti ja tarpeettomiksikäyneet tunnukset ja tilit on poistettava.

– Salasanojen myöntämistä ja hallinnointia onvalvottava virallisella menettelyllä, jollavarmistetaan, että

• käyttäjille tiedotetaan ja he ovat selvilläsalasanoihinsa liittyvistä velvoitteista

• salasanat ilmoitetaan käyttäjille turvallisellatavalla

• käyttäjät velvoitetaan vaihtamaan salasanansasäännöllisesti ja salasanojen uudelleenkäyttökielletään

• salasanoja ei koskaan säilytetätietojärjestelmässä ilman suojausta.

– On otettava käyttöön menettely, jollavarmistetaan kaikkien käyttöoikeuksientarkistaminen säännöllisesti.

– Sovellukseen voi sisältyä tekninen toiminto,joka sulkee automaattisesti käyttäjätilin, jossitä ei ole käytetty esimerkiksi kahteenviikkoon.

– Käyttäjätunnus ja -tili voidaan linkittääautomaattisesti henkilön asemaan.

– Salasana olisi vaihdettava 60–90 päivän välein.

38


5.9 Järjestelmään pääsyn ja järjestelmän käytön seuranta

– Schengenin tietotekniikkajärjestelmien

kansallista käyttöä on valvottava luvattoman

toiminnan paljastamiseksi.

– Henkilötietojen toimittamisesta on pidettävä

kirjaa Schengenin yleissopimuksen

103 artiklan mukaisesti.

– Olisi pidettävä kirjaa käyttäjän

sisäänkirjautumisista ja mahdollisuuksien

mukaan uloskirjautumisista, yrityksistä ottaa

yhteys tai epäonnistuneista yhteyksistä ja

yrityksistä käyttää tietoja luvatta, ja

säilytettävä tiedot 103 artiklassa määrätyn

ajan.

– Kirjattavien tietojen olisi sisällettävä

käyttäjätunnus, tapahtuman päivämäärä ja

ajankohta sekä mahdollisuuksien mukaan

päätteen tunnistetiedot ja sijainti.

– Sirene-tiedostoja koskevia lokeja ja

kirjausketjuja olisi valvottava ennakoivasti ja

säilytettävä riittävän pitkän ajan kunkin maan

lakien mukaisesti.

– Sähköiset työnohjaus-

/asianhallintajärjestelmät ovat paras keino

varmistaa, että kaikki Sirene-tiedostoa

koskevat toimet kirjataan.

5.10 Kehitys ja ylläpito

– Operatiivisten järjestelmien

vahingoittumisvaaran minimoimiseksi on

toteutettava tietojen ja ohjelmien

turvavalvontatoimenpiteitä.

39


– Olisi muun muassa varmistettava, ettäoperatiivisten järjestelmien, myösohjelmakirjastojen, päivitys suoritetaanainoastaan ennakkohyväksynnän jälkeen.

– Ennen hyväksynnän myöntämistä onvarmistettava, että päivitys on riittävästitestattu ja dokumentoitu.

– Käytettävissä on oltava testausjärjestelmä,joka on erillään tuotantoympäristöstä niin,että muutokset voidaan testata ennen kuinniistä tulee operatiivisia, eikä testitietojasisällytetä operatiiviseen järjestelmään.

– SIS-reaalitietojen käyttöä testaustarkoituksiinon vältettävä, paitsi jos niistä on poistettunimet.

5.11 Toipumissuunnitelma

– Jokaisen Schengen-maan on laadittava jaotettava käyttöön asianmukainentoipumissuunnitelma, jossa otetaan huomioonmm. seuraavat tilanteet:

• Todetaan, että N.SISeihin tai verkkoihin eiole pääsyä.

• Jotkut tai kaikki käyttäjät eivät pystyhakemaan SIS-tietoja kansallisessaIT-infrastruktuurissa ilmenneidenongelmien vuoksi.

– Toipumissuunnitelmien on perustuttavaniiden uhkien riskinarviointiin, jotka voivataiheuttaa järjestelmään pääsyn estymisen,sekä sen arviointiin, millainen vaikutuskyseisillä uhkilla on muihin Schengen-maihin.

– Toipumissuunnitelman on sisällettävävähintään seuraavat seikat:

40


• suunnitelmien toteuttamista koskevatedellytykset sekä toimenpiteet, jotka onsuoritettava välittömästi tilanteenarvioimiseksi

• Schengen-maiden keskenään sopimienmenettelyjen mukaiseteskalointimenettelyt, joiden kauttaannetaan tietoja kansalliselle johdolle,C.SISille ja muille Schengen-maille

• toipumismenettelyt, joissa kuvataan, mitätoimenpiteitä on toteutettava järjestelmäänpääsyä haittaavan häiriötilanteen jälkeen

• varajärjestelmämenettelyt, joissa kuvataan,mitä toimenpiteitä on toteutettavatärkeimpien N.SIS-toimintojensiirtämiseksi vaihtoehtoisille väliaikaisillepalvelimille

• normaalitilanteen palauttamista koskevatmenettelyt, joissa kuvataan, mitätoimenpiteitä on toteutettava normaalinkäytön aloittamiseksi uudelleen.

– Toipumissuunnitelmat on päivitettävä jahenkilöstön rutiinitoimet testattavasäännöllisesti.

5.12 Valvonta

– On otettava käyttöön menettelyjä, joillavarmistetaan kaikkien sovellettavien EU:n jakansallisten sääntöjen ja -määräystennoudattamisen jatkuva valvonta.

– Tietotekniikkaosaston ulkopuolistenhenkilöiden on säännöllisesti suoritettavaturvallisuustarkastukset.

________________________

Luettelon tarkoituksena on selventää Schengenin säännöstöä ja esittää se yksityiskohtaisesti sekä tarjotaesimerkkejä Schengen-järjestelmään liittyville valtioille ja kyseistä säännöstöä jo täysin soveltaville valtioille.

Luettelon ensimmäinen osa julkaistiin vuoden 2002helmikuussa. Se käsittelee tarkastuksia ulkorajoilla sekä

maasta poistamista ja takaisinottoa. Tässä luettelon toisessaosassa käsitellään erityisesti Schengenin tietojärjestelmää

ja SIRENEä. Siinä selvitetään Euroopan unionin ehdokasvaltioille perusteellisesti, mitä niiltä Schengenin

osalta erityisesti käytännössä odotetaan.

p Ä Ä s i h t e e r i s t Ö p o h schengen-luettelo · 2017. 10. 23. · parhaat käytännöt:...

Documents