Viranomaisten tietoturva-auditoinnin vaatimusten mukaisen mobiiliratkaisun suunnittelu
Salomäki, Juho (2024)
2024
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202403124204
https://urn.fi/URN:NBN:fi:amk-202403124204
Tiivistelmä
Insinöörityön tavoitteena on selvittää, miten viranomaisen turvallisuusauditoinnin hyväksyntään tähtäävä mobiiliratkaisu voidaan toteuttaa ottaen huomioon viranomaisten ja lainsäädännön asettamat tietoturvallisuuden velvoitteet. Työn tarkoitus on toimia tällaisen mobiiliratkaisun suunnittelun ja toteutuksen ohjeistuksena muun olennaisen dokumentaation ohella. Lisäksi työn tarkoitus on tuoda ohjelmistoratkaisun suunnittelijoille mukaan mobiilisovelluksille ainutlaatuisia näkökulmia.
Insinöörityössä käsitellään aluksi olennaisia esitietoja, jotka liittyvät kansallisiin turvallisuusluokituksiin, viranomaisten auditointikriteeristöihin sekä suositeltuihin teknisen toteutuksen tukena toimiviin standardeihin ja ohjeistuksiin. Esitietojen jälkeen syvennytään tarkemmin tekniseen ratkaisuun ottaen huomioon sovelluksen toteutustapa, ratkaisun ympäristön kovennukset sekä auditoitavuus ja itse sovellukseen suoritettavat tietoturvallisuuden suojaukset. Nykyisen tietotekniikan pilvistymisen myötä tutkitaan myös työn lopussa pilviteknologian hyödyntämiseen liittyviä seikkoja sekä vaatimuksia.
Pääsääntöisesti työssä tutkittuja suojauksia hyödynnetään viranomaisten tietoturvallisuuden auditoinnin hyväksyntään pyrkivän sovelluksen velvoitteiden toteutumisen edistämiseksi. Suojaukset perustuvat kuitenkin laajalti yleisiin ohjelmistoalan tietoturvallisuuden standardeihin, joten työtä voidaan hyödyntää myös yleisenä tietoturvallisuuden ohjeistuksena.
Insinöörityössä käsitellään aluksi olennaisia esitietoja, jotka liittyvät kansallisiin turvallisuusluokituksiin, viranomaisten auditointikriteeristöihin sekä suositeltuihin teknisen toteutuksen tukena toimiviin standardeihin ja ohjeistuksiin. Esitietojen jälkeen syvennytään tarkemmin tekniseen ratkaisuun ottaen huomioon sovelluksen toteutustapa, ratkaisun ympäristön kovennukset sekä auditoitavuus ja itse sovellukseen suoritettavat tietoturvallisuuden suojaukset. Nykyisen tietotekniikan pilvistymisen myötä tutkitaan myös työn lopussa pilviteknologian hyödyntämiseen liittyviä seikkoja sekä vaatimuksia.
Pääsääntöisesti työssä tutkittuja suojauksia hyödynnetään viranomaisten tietoturvallisuuden auditoinnin hyväksyntään pyrkivän sovelluksen velvoitteiden toteutumisen edistämiseksi. Suojaukset perustuvat kuitenkin laajalti yleisiin ohjelmistoalan tietoturvallisuuden standardeihin, joten työtä voidaan hyödyntää myös yleisenä tietoturvallisuuden ohjeistuksena.