Pääsynvalvonta osana valtionhallinnon tietoturvallisuustasovaatimuksia

Abstract

Opinnäytetyö perustuu pitkälti syksyllä 2010 voimaantulleeseen asetukseen tietoturvallisuudesta valtionhallinnossa (681/2010; jäljempänä tietoturva-asetus). Asetuksen tavoitteena on luoda yhtenäiset menettelyt salassa pidettävien tietoaineistojen käsittelystä sekä edistää hyvän tiedonhallintatavan toteutumista valtionhallinnossa.

Tietoturva-asetus velvoittaa valtionhallinnon organisaatiota täyttämään tietoturvallisuuden perustason 30.9.2013 mennessä. Tietoturvallisuustasojen avulla määritellään organisaatiolle ja tietojenkäsittely-ympäristöille tekniset ja hallinnolliset vaatimukset. Yksi aihealue tietoturvatasojen vaatimuksissa on pääsynvalvonta.

Opinnäytetyö esittelee tietoturva-asetuksen ja siihen liittyvän täytäntöönpano-ohjeen (Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta, VAHTI 2/2010) sekä käy läpi pääsynvalvonnalle asetetut tietoturvallisuustasovaatimukset. Poikkeuksetta pääsynvalvonnan tietoturvallisuustasovaatimukset kohdistuvat tunnistautumiseen, todentamiseen sekä lokitietoihin. Opinnäytetyössä käsitellään korostetusti edellä mainittuja pääsynvalvon-tamekanismeja.

Opinnäytetyössä tutkitaan pääsynvalvonnan tietoturvallisuustasovaatimuksia laajemmassa mittakaavassa kuin niiden alkuperäisessä julkaisussa eli VAHTI 2/2010-ohjeessa. Opinnäytetyössä selvitetään myös millä toimenpiteillä vaatimuksia voidaan täyttää sekä esitellään joitakin esimerkkiratkaisuja.

Lopuksi opinnäytetyössä pohditaan pääsynvalvonnan tietoturvallisuustasovaatimuksien täyttymistä ja niiden aiheuttamaa työmäärä valtionhallinnossa. Pohdinta ulottuu myös opinnäytetyöprosessiin sekä sen aikana tapahtuneeseen uuden oppimiseen.

Access control as a part of information security levels in central government

The implemented decree on information security in central government (681/2010; later referred to as information security decree) has been used as the theoretical framework for this thesis. The purpose of the decree is to create unified procedures for managing confidential information material in addition to improving the implementation of well thought-out data management practices in the central government.

The information security decree obligates the central government organisation to fulfil a base level in information security by 30.9.2013. The technical and administrative requirements for organisations and data processing environments are defined with the help of information security levels. One field of these information security level requirements is access control.

This thesis will present the information security decree and the implementation instructions manual attached to it (Instructions on Implementing the Decree on Information Security in Central Government, VAHTI 2b/2010) in addition to addressing requirements of information security set for access control. The requirements of information security levels for access control are without exception targeted at identification, authentication and log entries. The thesis will also study the aforementioned access control mechanisms with a highlighted emphasis.

This thesis will examine the information security requirements for access control in a wider context than they were examined in the original publication of the VAHTI 2b/2010- instructions. This thesis will also clarify the procedures on how these requirements are possible to fulfil while also presenting some exemplary solutions.

Finally the thesis will contemplate the fulfillment of the requirements for information security levels and the workload it causes for the central government. Considerations will also extend to the process of writing a thesis and the learning of new knowledge that took place while working on the thesis.