Identiteetin- ja pääsynhallinta palveluna

Abstract

Opinnäytetyön tarkoitus oli selvittää pilvipalveluna toteutetun identiteetin- ja pääsynhallinnan järjestelmistä käytettävien käsitteiden merkitystä sekä tietoturvan ja tietosuojan kannalta käyttöönoton suunnittelussa huomioitavia asioita valtion viranomaisen näkökulmasta.

Lähdemateriaalina selvitystyössä käytettiin valtiovarainministeriön julkaisemia VAHTI-ohjeita, tietosuojavaltuutetun toimiston tuottamia ohjeita ja esimerkkitapaukseksi valitun pilvipalveluna toteutetun järjestelmän sopimus-, käyttöehto- ja käyttöohjedokumentteja. Lisäksi lähdemateriaalina käytettiin internetissä tarjolla olevia artikkeleita identiteetin- ja pääsynhallinnan pilvipalveluista.

Raporttiin on koostettu eri ohjeista identiteetin- ja pääsynhallinnan tieto-turvavaatimuksiin vaikuttavia tekijöitä ja tietosuojan varmistamiseksi vaadittavia toimenpiteitä. Eri palvelun tuottajien ratkaisuista ja aiheesta kirjoitetuista artikkeleista saadun käsityksen perusteella raportissa käytettävällä IDaaS-käsitteellä tarkoitetaan pilvipalvelua, joka mahdollistaa IDaaS-palveluun integroitavien sovellusten ja palveluiden identiteetin- ja pääsynhallinnan.

Keskeiseksi kysymykseksi havaittiin datan sijainti ja sijainnin aiheuttamat tietoturvariskit, varautumisen riskit ja tietosuojan toteutumisen edellyttämät toimenpiteet. Organisaation pitää tietää missä data sijaitsee ja kuka sitä käsittelee sekä arvioida miten kriittistä on palvelun toiminnan jatkuminen myös silloin, kun tietoliikenneyhteydet ulkomaille katkeavat.

The purpose of this thesis was to find out the meaning of terms for cloud based identity and access management systems and to determine what security and data protection regulations the governmental authority has to take into account when planning to use a cloud based identity and access management system.

The VAHTI-instructions published by the Ministry of Finance, articles and guides published by the Office of the Data Protection Ombudsman as well as a data processing agreement, hosting and delivery policy and an administrator guide for a selected service example with cloud based identity and access management solution were used as source materials in the research. The materials also include articles found on Internet about cloud based identity and access management.

Factors that affect security requirements of identity and access management systems and actions needed to ensure the data privacy have been collected in this thesis. The meaning of the term IDaaS is based on articles about the term and solutions provided by different service providers. The term IDaaS is used in this report when referring to a cloud service, which enables identity and access management for services and IDaaS integrated programs.

The important question based on the research is the location of the data and its impacts on security, availability and privacy risks and the required actions for protection of personal data. Organizations must know where the data is and who has access to it. Organizations have to plan how to ensure continuity of operations if the international network connection is lost.