Tietoturvallisuuden hallintajärjestelmän mittaamisen kartoitus
Kivelä, Petteri (2014)
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2014061212711
https://urn.fi/URN:NBN:fi:amk-2014061212711
Tiivistelmä
Julkisyhteisöillä ja yrityksillä on käytössään erilaisia keinoja tietoturvallisuuden takaamiseksi. Järjestelmäksi muokattuna näitä kutsutaan tietoturvallisuuden hallintajärjestelmiksi. Hallintajärjestelmät eivät kuitenkaan ehkäise tietoturvauhkia, mikäli niitä ei käytetä oikein ja mikäli järjestelmiä seuraamassa ei ole ammattitaitoisia ja kyseiseen järjestelmään perehtyneitä henkilöitä. Opinnäytetyössä käytetään konstruktiivista tutkimusotetta, joka toteutuu tietoturvallisuuden avainhenkilöiden haastatteluiden kautta.
Tietoturvallisuuden hallintajärjestelmiä mittaamaan on kehitetty erilaisia tapoja ja mittaristoja. Tässä työssä käydään läpi miksi mittaamista tehdään, miten sitä tulisi tehdä ja mitä hyötyä tieto- turvallisuuden mittaamisella on organisaatiolle. Tarkoituksena on esitellä sopiva mittaristo, joka vie vähän resursseja, mutta silti toimii tietoturvallisuuden hallintajärjestelmän toiminnan tarkis- tamisessa ja parantamisessa.
Työssä tarkastellaan pääasiassa ISO/IEC 27004-standardiin perustuvia tapoja mitata ISO/IEC 27001 -standardiin perustuvaa tietoturvallisuuden hallintajärjestelmää.
Tietoturvallisuuden avainhenkilöiden haastatteluista käy ilmi, että mittaristosta halutaan kevyt helposti käyttöönotettava portaittainen mittaristo. Työn tuloksena esitetään toteutettavaksi kuuden mittarin mittaristoa. Mittaristo on suppea syystä, jotta se saadaan osaksi liiketoimintaa ja hallintajärjestelmän kehittämistä. Mittariston paikaksi esitetään ServiceDeskiä.
Haastattelujen perusteella havaittiin tietoturvallisuuden mittaamisstandardin mukaisen mittariston sopimattomaksi. Valtiovarainministeriön tietoturvatasojen- ja ICT- varautumishankkeiden mittaamisosio on salainen. Työssä käytettiin näistä esitutkimushanketta, josta puuttuu mittaamisosio.
Työn loppupäätelmä on, että paras tapa luoda toimiva tietoturvallisuuden hallintajärjestelmän mittaristo on aloittaa muutamalla mitattavalla kohteella ja lisätä kohteita organisaation mittausten perusteella.
Tietoturvallisuuden hallintajärjestelmiä mittaamaan on kehitetty erilaisia tapoja ja mittaristoja. Tässä työssä käydään läpi miksi mittaamista tehdään, miten sitä tulisi tehdä ja mitä hyötyä tieto- turvallisuuden mittaamisella on organisaatiolle. Tarkoituksena on esitellä sopiva mittaristo, joka vie vähän resursseja, mutta silti toimii tietoturvallisuuden hallintajärjestelmän toiminnan tarkis- tamisessa ja parantamisessa.
Työssä tarkastellaan pääasiassa ISO/IEC 27004-standardiin perustuvia tapoja mitata ISO/IEC 27001 -standardiin perustuvaa tietoturvallisuuden hallintajärjestelmää.
Tietoturvallisuuden avainhenkilöiden haastatteluista käy ilmi, että mittaristosta halutaan kevyt helposti käyttöönotettava portaittainen mittaristo. Työn tuloksena esitetään toteutettavaksi kuuden mittarin mittaristoa. Mittaristo on suppea syystä, jotta se saadaan osaksi liiketoimintaa ja hallintajärjestelmän kehittämistä. Mittariston paikaksi esitetään ServiceDeskiä.
Haastattelujen perusteella havaittiin tietoturvallisuuden mittaamisstandardin mukaisen mittariston sopimattomaksi. Valtiovarainministeriön tietoturvatasojen- ja ICT- varautumishankkeiden mittaamisosio on salainen. Työssä käytettiin näistä esitutkimushanketta, josta puuttuu mittaamisosio.
Työn loppupäätelmä on, että paras tapa luoda toimiva tietoturvallisuuden hallintajärjestelmän mittaristo on aloittaa muutamalla mitattavalla kohteella ja lisätä kohteita organisaation mittausten perusteella.