Tietoturvallisuuden mittaaminen julkishallinnon organisaatiossa

Abstract

Tämän tutkimuksen tarkoituksena oli kehittää Suomen metsäkeskuksen tietoturvallisuuden mittaamista osana tietoturvallisuuden hallintajärjestelmää. Tavoitteena oli kartoittaa, mitä tietoa tarvitaan tietoturvallisuuden hallinnan ja päätöksenteon tueksi, jotta voidaan suunnitella ja kohdentaa tarvittavia toimenpiteitä kohdeorganisaation tietoturvallisuuden varmistamiseksi. Tietotarpeiden kartoitus on vahvasti sidoksissa mittausnäkökulmiin ja menestystekijöihin sekä julkishallinnon organisaatiota ohjaavaan lainsäädäntöön. Näiden kautta oli tavoitteena tuottaa keskeinen tietoturvamittaristo.

Tutkimuksen alun teoriaosassa ja käsiteanalyyttisen tutkimusotteen avulla lähestyttiin tutkimuksen ongelmakenttää sekä tutkimuskysymyksiä ja tavoitetta, minkä kautta muodostettiin viitekehys empiriaosuudelle. Viitekehyksen muodostamisessa huomioitiin ensi sijassa normiperustaisuus, joka rakentui tietoturva-asetuksen perustason vaatimusten ja niitä tukevien Vahti-ohjeiden mukaan. Lisäksi viitekehyksen muodostamisen keskiössä oli alan kirjallisuus ja standardit, kuten tasapainotetun tuloskortin periaate ja ISO/IEC 27004:2016 -standardi, joiden mukaan määriteltiin tietoturvamittariston suunnitteluprosessi ja käyttöperiaatteet.

Tutkimuksen empiirisessä osassa käytettiin toiminta-analyyttistä tutkimusotetta, jossa kartoitettiin kohdeorganisaation keskeisiä tietotarpeita menestystekijöiden, riskiperusteisuuden ja tietoturvallisuuden perustason vaatimusten kannalta. Tietotarpeiden arvioinnin jälkeen määriteltiin mittauskohteet sekä tietoturvamittarit ja niiden käyttöperiaatteet. Tutkimuksen empiiriseen osioon kuului myös ydinjärjestelmien BIA-vaikutusanalyysien tekeminen. Siihen osallistui kohdeorganisaatiosta järjestelmien omistajat ja vastuuhenkilöt sekä edustaja tietoturvaorganisaatiosta. BIA-vaikutusanalyyseistä saadun tärkeysindeksin perusteella ydinjärjestelmät luokiteltiin kriittisyysluokkiin ja tuloksia käytetään tietoturvamittareiden ja resurssien kohdistamisessa priorisoiduille tietojärjestelmille.

Tutkimuksen tärkeimmät tulokset olivat tietoturvamittaristo ja niiden käyttöperiaatteet sekä mittariston suunnitteluprosessi. Nämä yhdessä muodostavat tietoturvallisuuden hallintajärjestelmän ylläpitoa ja päätöksentekoa tukevan mittausprosessin.

The purpose of this study was to develop the information security measuring of the Finnish Forest Centre as a part of the information security management system. The aim was to identify what kind of information is needed to support information security management and decision-making in order to be able to plan and target the measures necessary for ensuring the information security of the target organization. The mapping of information needs is strongly linked with measuring perspectives and success factors as well as the legislation governing the public administration organization, through which the aim was to produce a central security measuring system.

In the theoretical part of the study, a conceptual research method was used to approach the problem area of the research, as well as the research questions and the objective, through which a reference frame was created for the empirical part. In addition, the core of the reference framework was collected from literature and standards, such as the principles of the balanced scorecard and the ISO / IEC 27004: 2016 standard, according to which the design and operating principles of the security measuring system were defined.

In the empirical part of the study, an action-oriented research approach was used to map the most important information needs of the target organization in terms of success factors, risk inheritance and the basic level of information security. After evaluating the information needs, the measurement targets, together with the security measuring systems and their operating principles, were defined. The empirical part of the study also included making a business impact analysis (BIA) of the core systems, involving the system owners, the responsible persons from the target organization and the representative of the security organization.

The main results of the study were the security measuring system and its operating principles as well as the planning process of the measuring system, forming together a measuring process, which supports the maintenance and decision-making concerning the information security management system.