Tietoturvallisuuden mittaaminen julkishallinnon organisaatiossa
Moilanen, Aki (2018)
Moilanen, Aki
Seinäjoen ammattikorkeakoulu
2018
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2018101015879
https://urn.fi/URN:NBN:fi:amk-2018101015879
Tiivistelmä
Tämän tutkimuksen tarkoituksena oli kehittää Suomen metsäkeskuksen tietoturvallisuuden mittaamista osana tietoturvallisuuden hallintajärjestelmää. Tavoitteena oli kartoittaa, mitä tietoa tarvitaan tietoturvallisuuden hallinnan ja päätöksenteon tueksi, jotta voidaan suunnitella ja kohdentaa tarvittavia toimenpiteitä kohdeorganisaation tietoturvallisuuden varmistamiseksi. Tietotarpeiden kartoitus on vahvasti sidoksissa mittausnäkökulmiin ja menestystekijöihin sekä julkishallinnon organisaatiota ohjaavaan lainsäädäntöön. Näiden kautta oli tavoitteena tuottaa keskeinen tietoturvamittaristo.
Tutkimuksen alun teoriaosassa ja käsiteanalyyttisen tutkimusotteen avulla lähestyttiin tutkimuksen ongelmakenttää sekä tutkimuskysymyksiä ja tavoitetta, minkä kautta muodostettiin viitekehys empiriaosuudelle. Viitekehyksen muodostamisessa huomioitiin ensi sijassa normiperustaisuus, joka rakentui tietoturva-asetuksen perustason vaatimusten ja niitä tukevien Vahti-ohjeiden mukaan. Lisäksi viitekehyksen muodostamisen keskiössä oli alan kirjallisuus ja standardit, kuten tasapainotetun tuloskortin periaate ja ISO/IEC 27004:2016 -standardi, joiden mukaan määriteltiin tietoturvamittariston suunnitteluprosessi ja käyttöperiaatteet.
Tutkimuksen empiirisessä osassa käytettiin toiminta-analyyttistä tutkimusotetta, jossa kartoitettiin kohdeorganisaation keskeisiä tietotarpeita menestystekijöiden, riskiperusteisuuden ja tietoturvallisuuden perustason vaatimusten kannalta. Tietotarpeiden arvioinnin jälkeen määriteltiin mittauskohteet sekä tietoturvamittarit ja niiden käyttöperiaatteet. Tutkimuksen empiiriseen osioon kuului myös ydinjärjestelmien BIA-vaikutusanalyysien tekeminen. Siihen osallistui kohdeorganisaatiosta järjestelmien omistajat ja vastuuhenkilöt sekä edustaja tietoturvaorganisaatiosta. BIA-vaikutusanalyyseistä saadun tärkeysindeksin perusteella ydinjärjestelmät luokiteltiin kriittisyysluokkiin ja tuloksia käytetään tietoturvamittareiden ja resurssien kohdistamisessa priorisoiduille tietojärjestelmille.
Tutkimuksen tärkeimmät tulokset olivat tietoturvamittaristo ja niiden käyttöperiaatteet sekä mittariston suunnitteluprosessi. Nämä yhdessä muodostavat tietoturvallisuuden hallintajärjestelmän ylläpitoa ja päätöksentekoa tukevan mittausprosessin.
Tutkimuksen alun teoriaosassa ja käsiteanalyyttisen tutkimusotteen avulla lähestyttiin tutkimuksen ongelmakenttää sekä tutkimuskysymyksiä ja tavoitetta, minkä kautta muodostettiin viitekehys empiriaosuudelle. Viitekehyksen muodostamisessa huomioitiin ensi sijassa normiperustaisuus, joka rakentui tietoturva-asetuksen perustason vaatimusten ja niitä tukevien Vahti-ohjeiden mukaan. Lisäksi viitekehyksen muodostamisen keskiössä oli alan kirjallisuus ja standardit, kuten tasapainotetun tuloskortin periaate ja ISO/IEC 27004:2016 -standardi, joiden mukaan määriteltiin tietoturvamittariston suunnitteluprosessi ja käyttöperiaatteet.
Tutkimuksen empiirisessä osassa käytettiin toiminta-analyyttistä tutkimusotetta, jossa kartoitettiin kohdeorganisaation keskeisiä tietotarpeita menestystekijöiden, riskiperusteisuuden ja tietoturvallisuuden perustason vaatimusten kannalta. Tietotarpeiden arvioinnin jälkeen määriteltiin mittauskohteet sekä tietoturvamittarit ja niiden käyttöperiaatteet. Tutkimuksen empiiriseen osioon kuului myös ydinjärjestelmien BIA-vaikutusanalyysien tekeminen. Siihen osallistui kohdeorganisaatiosta järjestelmien omistajat ja vastuuhenkilöt sekä edustaja tietoturvaorganisaatiosta. BIA-vaikutusanalyyseistä saadun tärkeysindeksin perusteella ydinjärjestelmät luokiteltiin kriittisyysluokkiin ja tuloksia käytetään tietoturvamittareiden ja resurssien kohdistamisessa priorisoiduille tietojärjestelmille.
Tutkimuksen tärkeimmät tulokset olivat tietoturvamittaristo ja niiden käyttöperiaatteet sekä mittariston suunnitteluprosessi. Nämä yhdessä muodostavat tietoturvallisuuden hallintajärjestelmän ylläpitoa ja päätöksentekoa tukevan mittausprosessin.