Organisaatioiden tietoturvallisuuden perusvaatimukset
Alapirtti, Teemu (2022)
2022
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2022121328440
https://urn.fi/URN:NBN:fi:amk-2022121328440
Tiivistelmä
Tämän opinnäytetyön aiheena on organisaatioiden tietoturvan luominen tai tarkastelu tietoturvallisuuden vaatimuskehikkoja käyttäen. Tavoitteena on selvittää, mitä tietoturvallisuuden vaatimuskehikot pitävät olennaisina vaatimuksina ja mitkä ovat yleisimmät uhat organisaation tietoturvalle. Opinnäytetyötä varten tutkitaan hallintakeinoja ja hyväksi havaittuja yleisiä toimia tutkimalla erilaisia kyberhyökkäyksiä ja vaatimuskehikkojen sisältöjä eli vaatimuksia. Aihetta lähestytään yleisimpien tietoturvauhkien ja -hyökkäysten todennäköisyyksien ja vaikutusten minimoimisen näkökulmasta.
Luvussa kaksi käydään läpi tietoturvakenttää. Siinä tarkastellaan tietoturvan määritelmiä, kyberhyökkäyksiä ja kyberhyökkäysten tekijöitä. Näiden lisäksi katsotaan tarkemmin yleisiä uhkia ja hyökkäyksiä ja sitä, kuinka ne kohdistuvat organisaatioiden henkilöstöön ja organisaation kyberympäristöön. Luvussa kolme käydään läpi työssä analysoituja vaatimuskehikkoja. Työssä analysoiduista vaatimuskehikoista merkittävimmät ovat ISO27001 ja NIST Cybersecurity Framework. Luvussa kerrotaan kuinka nämä vaatimuskehikot lähestyvät organisaatioiden tietoturvallisuuden luomista ja kuinka ne vastaavat yleisimpiin tietoturvauhkiin ja kyberhyökkäyksiin. Tämän luvun havaintoihin perustuen muodostetaan lukuun neljä lista organisaatioiden tietoturvan perusvaatimuksista.
Luvussa viisi tuodaan esille ajatuksia luodusta vaatimuslistasta ja mikä vaatimusten merkitys on. Luvussa käydään tarkemmin läpi aihealueita, joihin vaatimuslista on jaettu ja mitä aihealueissa tulee ottaa huomioon. Lopuksi pohdinnassa on tietoturvallisuuden merkitys ja kuinka tietoturvallisuuden vaatimuskehikkoja voitaisiin hyödyntää kansallisella tasolla.
Luvussa kaksi käydään läpi tietoturvakenttää. Siinä tarkastellaan tietoturvan määritelmiä, kyberhyökkäyksiä ja kyberhyökkäysten tekijöitä. Näiden lisäksi katsotaan tarkemmin yleisiä uhkia ja hyökkäyksiä ja sitä, kuinka ne kohdistuvat organisaatioiden henkilöstöön ja organisaation kyberympäristöön. Luvussa kolme käydään läpi työssä analysoituja vaatimuskehikkoja. Työssä analysoiduista vaatimuskehikoista merkittävimmät ovat ISO27001 ja NIST Cybersecurity Framework. Luvussa kerrotaan kuinka nämä vaatimuskehikot lähestyvät organisaatioiden tietoturvallisuuden luomista ja kuinka ne vastaavat yleisimpiin tietoturvauhkiin ja kyberhyökkäyksiin. Tämän luvun havaintoihin perustuen muodostetaan lukuun neljä lista organisaatioiden tietoturvan perusvaatimuksista.
Luvussa viisi tuodaan esille ajatuksia luodusta vaatimuslistasta ja mikä vaatimusten merkitys on. Luvussa käydään tarkemmin läpi aihealueita, joihin vaatimuslista on jaettu ja mitä aihealueissa tulee ottaa huomioon. Lopuksi pohdinnassa on tietoturvallisuuden merkitys ja kuinka tietoturvallisuuden vaatimuskehikkoja voitaisiin hyödyntää kansallisella tasolla.