Kyberturvallisuustason arviointi: Kyberturvallisuustason arviointi FINCSC-sertifioinneissa
Laava, Tuukka (2020)
2020
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2020060216406
https://urn.fi/URN:NBN:fi:amk-2020060216406
Tiivistelmä
Toiminnallisen opinnäytetyön tarkoituksena oli jatkaa kansallisen kyberturvallisuusstrategian toiseen toimeenpano-ohjelmaan kuuluvan FINCSC-sertifiointijärjestelmän (Finnish Cyber Security Certificate) edelleen kehittämistä. Kehittämistehtävällä pyrittiin järkeistämään olemassa olevia sertifiointipalveluita tekemällä FINCSC ja FINCSC PLUS -sertifioinneissa noudatettavista arviointimenettelyistä nykyistä ymmärrettävämpiä. Arviointimenettelyitä oli tavoite täsmentää arviointilaitoksen palveluiden aikaisilta toimilta asiakkaan kyberturvallisuustason selvittämiseksi.
Kehittämistehtävää toteutettiin Jyväskylän ammattikorkeakoulun alaisuudessa toimivan kyberturvallisuuden tutkimus-, kehitys- ja koulutuskeskus JYVSECTECin (Jyväskylä Security Technology) toimeksiannosta. Toimeksiannossa annettua kehittämistehtävää lähestyttiin vertaisoppimisen ja kehittämällä oppimisen keinoin hyödyntäen vertailukohteina sertifi-ointijärjestelmän taustalla aiemmin vaikuttaneita kansallisia ja kansainvälisiä tietoturvallisuuden arviointimalleja. Työssä kerättyä tietoaineistoa käsiteltiin laadullista sisällön analyysia mukaillen.
Kehittämistehtävän tuotoksena syntyi esitys auktorisoitujen arviointilaitosten käyttöön tarkoitetusta kyberturvallisuuden arviointiohjeistuksesta. Ohjeistuksessa tarjotaan tietoa sertifiointikriteerien täyttymisen todentamiseksi käytettävistä arviointimenetelmistä ja kyberturvallisuuden arviointitoimintaa ohjaavista yleisistä periaatteista. Ohjeistuksessa kyberturvallisuuden arviointitoimintaa lähestytään arvioinnin toteuttajan näkökulmasta huomioiden toimintaan liittyvät, sertifioinnin kohteelta edellytettävät arviointijärjestelyt. The purpose of the functional thesis was to further develop the FINCSC certification mechanism (Finnish Cyber Security Certificate) included in the second implementation program of the Finnish national cyber security strategy. The goal of the development task was to rationalize the existing FINCSC and FINCSC PLUS certification services by making the assessment procedures more comprehensible. The work aimed to specify the assessment procedures from the activities of the assessment body in order to determine the customer’s cyber security level.
The development task was carried out on behalf of the cyber security research, development and training center JYVSECTEC (Jyväskylä Security Technology) operating under the auspices of JAMK University of Applied Sciences. The development task was approached by the means of benchmarking and learning by developing, using the previously influenced national and international information security assessment models as a reference point. The data collected in the work was processed in accordance with the qualitative content analysis.
The output of the development task was a proposal for cyber security assessment guidelines for use by authorized assessment bodies. The guidelines provide information on the assessment methods used to verify compliance with the certification criteria and the general principles that guide cyber security assessment activities. The guidelines approach cyber security assessment activities from the perspective of the assessment body, taking into account the assessment arrangements required of the subject of certification.
Kehittämistehtävää toteutettiin Jyväskylän ammattikorkeakoulun alaisuudessa toimivan kyberturvallisuuden tutkimus-, kehitys- ja koulutuskeskus JYVSECTECin (Jyväskylä Security Technology) toimeksiannosta. Toimeksiannossa annettua kehittämistehtävää lähestyttiin vertaisoppimisen ja kehittämällä oppimisen keinoin hyödyntäen vertailukohteina sertifi-ointijärjestelmän taustalla aiemmin vaikuttaneita kansallisia ja kansainvälisiä tietoturvallisuuden arviointimalleja. Työssä kerättyä tietoaineistoa käsiteltiin laadullista sisällön analyysia mukaillen.
Kehittämistehtävän tuotoksena syntyi esitys auktorisoitujen arviointilaitosten käyttöön tarkoitetusta kyberturvallisuuden arviointiohjeistuksesta. Ohjeistuksessa tarjotaan tietoa sertifiointikriteerien täyttymisen todentamiseksi käytettävistä arviointimenetelmistä ja kyberturvallisuuden arviointitoimintaa ohjaavista yleisistä periaatteista. Ohjeistuksessa kyberturvallisuuden arviointitoimintaa lähestytään arvioinnin toteuttajan näkökulmasta huomioiden toimintaan liittyvät, sertifioinnin kohteelta edellytettävät arviointijärjestelyt.
The development task was carried out on behalf of the cyber security research, development and training center JYVSECTEC (Jyväskylä Security Technology) operating under the auspices of JAMK University of Applied Sciences. The development task was approached by the means of benchmarking and learning by developing, using the previously influenced national and international information security assessment models as a reference point. The data collected in the work was processed in accordance with the qualitative content analysis.
The output of the development task was a proposal for cyber security assessment guidelines for use by authorized assessment bodies. The guidelines provide information on the assessment methods used to verify compliance with the certification criteria and the general principles that guide cyber security assessment activities. The guidelines approach cyber security assessment activities from the perspective of the assessment body, taking into account the assessment arrangements required of the subject of certification.