Implementing Compilation of log data for the Act on Information Management in Public Administration

Abstract

Laki julkisen hallinnon tiedonhallinnasta astui voimaan 1.1.2020. Lain tarkoituksena on edistää viranomaisten tiedonhallintaa. Laki on luonteeltaan yleislaki, joka astuu voimaan, jos erityislainsäädännössä ei toisin määrätä. Lakia sovelletaan viranomaisten toimintaan sikäli, kun viranomainen käsittelee vironomaistehtävän mukaisia tietoaineistoja. Lain pykälä 13 määrää tiedonhallintayksikön seuraamaan organisaation tietoaineistojen ja tietojärjestelmien tilaa ja tietoturvallisuutta koko niiden elinkaaren ajan. Pykälän 13 hengessä pykälä 17 käsittelee lokitietojen seurantaa tietojärjestelmien tietojen käytön, teknisten vikojen ja tietojen luovutuksen osalta. Pykälä 17 astui voimaan siirtymäajan jälkeen 1.1.2022. YAMK-opinnäytetyössä tutkittiin, voidaanko pykälän 17 mukainen lokitietojen kerääminen toteuttaa tieto-turvallisesti ja keskitetysti Microsoft Sentinel-tuotteella. Toteutuksessa käytettiin tiedonhallintalautakunnan julkaisemaa suosituskokoelmaa viitekehyksenä tarkasteltaessa lain vaatimuksia ja verrattaessa niitä Microsoft Sentinelin ominaisuuksiin. Opinnäytetyössä tutkittiin myös keskitetyn lokienhallinnan, lokien analysoinnin ja automaattisen uhkien hallinnan vaatimuksia tietoturvan ja tiedonhallintalain viitekehyksessä. Tutkimus osoitti, että Microsoft Sentinelillä on mahdollista toteuttaa pykälän 17 mukainen lokien hallinta ja pykälän 13 mukainen tietoturvallisuuden seuranta. Kuitenkin tehokas keskitetty lokienhallintajärjestelmän käyttöönotto, käyttö ja lokitiedon analysointi vaativat organisaatiolta jatkuvia teknisiä ja henkilöstöresursseja.

The Act on Information Management in Public Administration entered into full force on 1 January 2020. The aim of the Act is to improve information management and ease the cooperability of publicly administered organizations. The Act is enforced if no other Act provides otherwise. Publicly managed organizations are enforced by the Act when they process datasets governed by their lawful duty. Section 13 of the Act mandates that information management entities must monitor the organization’s datasets and information systems and their security over their lifespan. In the spirit of the Section 13, Section 17 assigns information management entities to compile log data to monitor the usage, technical malfunctions, and information dis-closure of information systems. Section 17 was enforced after the transition period on 1 January 2022. The main research question of the thesis was: Is Microsoft Sentinel a suitable product to fulfill the requirements of the Act? The collection of recommendations published by the Information Management Board was utilized as a framework to map the requirements of the Act to the features of Microsoft Sentinel. The thesis also researched centralized log management, log analysis and automation threat prevention techniques in the scope of the Act. The thesis concludes that Microsoft Sentinel is a suitable product to fulfill the requirements of the Section 13 and Section 17 of the Act. Organizations considering implementing Microsoft Sentinel must reserve adequate resources to implement and operate the product. This requires both technical and human resources.