Tietoturvan näkökulma vaatimusmäärittelyssä ja järjestelmäsuunnittelussa
Stenbäck, Mark (2020)
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2020113025145
https://urn.fi/URN:NBN:fi:amk-2020113025145
Tiivistelmä
Tietoturvan merkitystä ohjelmisto- ja järjestelmäsuunnittelulle erityisesti sekä tietoyhteiskunnalle yleisesti ei voi korostaa liiaksi. Yksityisen ja luottamuksellisen tiedon suojaaminen on paitsi toiminnan edellytys yrityksille ja muille organisaatioille, myös kansallisten lakien ja kansainvälisten sopimusten velvoittama käytännön vaatimus.
Tämän opinnäytetyön keskeisenä tutkimuskysymyksenä oli, miten tietoturvan näkökulma tulisi huomioida jo hankkeen vaatimusmäärittely- ja suunnitteluvaiheissa, jotta vältyttäisiin ongelmilta järjestelmän elinkaaren myöhemmissä vaiheissa. Ensisijaisena tutkimusmenetelmänä oli aineistotutkimus, jossa pääasiallisesti tarkastelin Valtionhallinnon tietoturvallisuuden johtoryhmän julkaiseman Sovelluskehityksen tietoturvaohjeen lukua Sovelluskehityksen vaiheet ja tietoturvatasojen vaatimukset. Täydentävinä aineistoina tarkastelin soveltuvin osin mm. Microsoftin Tietoturvakehityksen elinkaaren mallia, OWASP-tietoturvahankkeita sekä muita asiayhteyteen sopivia menetelmiä.
Loppupäätelmä on, että jokaisessa organisaatiossa ja kehityshankkeessa on ymmärrettävä, että tietoturvassa on kyse ohjelmisto- ja järjestelmäsuunnittelun kannalta keskeisestä, elintärkeästä osa-alueesta eikä suinkaan valinnaisesta lisäominaisuudesta. Puutteet järjestelmien tietoturvassa asettavat paitsi yksittäisten ihmisten yksityisyydensuojan uhanalaiseksi, niin ne voivat johtaa myös huomattaviin liiketoiminnallisiin tappioihin sekä vaarantaa jopa kansallisen turvallisuuden.
Tämän opinnäytetyön keskeisenä tutkimuskysymyksenä oli, miten tietoturvan näkökulma tulisi huomioida jo hankkeen vaatimusmäärittely- ja suunnitteluvaiheissa, jotta vältyttäisiin ongelmilta järjestelmän elinkaaren myöhemmissä vaiheissa. Ensisijaisena tutkimusmenetelmänä oli aineistotutkimus, jossa pääasiallisesti tarkastelin Valtionhallinnon tietoturvallisuuden johtoryhmän julkaiseman Sovelluskehityksen tietoturvaohjeen lukua Sovelluskehityksen vaiheet ja tietoturvatasojen vaatimukset. Täydentävinä aineistoina tarkastelin soveltuvin osin mm. Microsoftin Tietoturvakehityksen elinkaaren mallia, OWASP-tietoturvahankkeita sekä muita asiayhteyteen sopivia menetelmiä.
Loppupäätelmä on, että jokaisessa organisaatiossa ja kehityshankkeessa on ymmärrettävä, että tietoturvassa on kyse ohjelmisto- ja järjestelmäsuunnittelun kannalta keskeisestä, elintärkeästä osa-alueesta eikä suinkaan valinnaisesta lisäominaisuudesta. Puutteet järjestelmien tietoturvassa asettavat paitsi yksittäisten ihmisten yksityisyydensuojan uhanalaiseksi, niin ne voivat johtaa myös huomattaviin liiketoiminnallisiin tappioihin sekä vaarantaa jopa kansallisen turvallisuuden.