Kansallisessa turvallisuusauditointikriteeristössä esitettyjen vaatimusten mallintaminen ArchiMate -kuvauskielellä
Tirkkonen, Hannu (2024)
2024
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202405079794
https://urn.fi/URN:NBN:fi:amk-202405079794
Tiivistelmä
Tämän toiminnallisen opinnäytetyön tarkoituksena oli mallintaa Kansallinen turvallisuusauditointikriteeristö (Katakri) ArchiMate mallinnuskielellä ja tutkia voidaanko luodun mallin avulla arvioida tarkasteltavan kohteen tietoturvallisuuden tilaa esitettyjen turvallisuuskriteerien ja vaatimusten perusteella. Toiminnallisen osuuden tavoitteena oli julkaista Katakrista ensimmäinen, vapaasti saatavilla oleva viranomaisten julkaisemista kriteeristöistä luotu ArchiMate -malli ja vastata siten julkisesti saatavilla olevien turvallisuuskriteeristöjen mallinnusten tarpeeseen.
Opinnäytetyön tietoperustassa pääpaino on rakenteissa, jotka muodostavat toiminnallisen osuuden mallinnuksen rungon. Katakri kuvataan siten, että malli mahdollistaa kriteereissä esitettyjen vaatimusten tarkastelun riskien ja tietoturvallisuuden näkökulmasta. ArchiMate standardin ja sen riskien ja turvallisuuden hallinnan mukauttamismekanismien kuvaaminen muodostavat perusteet opinnäytetyössä syntyvälle varsinaiselle mallinnukselle.
Toiminnallinen osuus sisältää Katakrin mallinnuksen ja soveltamisesimerkkejä, joilla tarkasteltavaan kohteeseen voidaan kohdistaa vaatimuksia ja visuaalisen mallin avulla konkreettisesti pienentää riskejä.
Opinnäytetyön perusteella voidaan todeta, että ArchiMate-standardi tarjoaa mallinnusrakenteet tehokkaaseen riski- ja turvallisuuskäsitteiden kuvaamiseen ja yhdistämiseen. ArchiMate-kieli tarjoaa mallintajille välineet määritellä elementeille myös lisätietoja, joita voidaan käyttää arkkitehtuurien analysointiin ja riskien ja turvallisuusongelmien vaikutuksen määrittämiseen.
Opinnäytetyön keskeinen tulos julkisesti saatavilla olevana mallina tarjoaa runsaasti jatkojalostamismahdollisuuksia, kuten viranomaisten julkaisemien muiden kriteeristöjen mallinnukset. ArchiMate-kieli tarjoaa lisäksi edistyneitä soveltamismahdollisuuksia, kuten tekoälyn ja automaation hyödyntämisen kokonaisarkkitehtuurissa.
Toiminnallisen työn mallinnuksesta muodostui lopulta niin laaja, että se julkaistiin lisäksi kokonaisuudessaan GitHub -verkkopalveluun, josta se on vapaasti ladattavissa. Arkkitehdit ja tietoturva-asiantuntijat voivat mallin avulla suunnitella uusia, kansallista tai kansainvälistä turvaluokiteltua tietoa suojaavia ratkaisuja hyödyntäen olemassa olevaa, uudelleenkäytettävää turvallisuuskriteerin mallinnusta. The purpose of this product-based thesis was to model the National Security Audit Criteria (Katakri) using the ArchiMate modelling language and to study whether the created model can be used to assess the information security status of the target organisation based on the presented security criteria and requirements. The objective of the actual outcome was to publish the first freely available ArchiMate model based on the national security audit criteria and thus fulfils the need for publicly available security criteria modelling.
The focus of the theoretical framework of the thesis is on the structures that form the model as the actual outcome. Katakri is described in such way that the model enables risk and security assessment based on the requirements presented in the criteria. The description of the Archi-Mate standard and its adaptation mechanisms for risk and security management form the basis for the actual modelling created in the thesis.
The empirical part contains Katakri's modelling and application examples, which can be used to apply requirements to the target under inspection and to concretely reduce risks with the help of a visual model.
Based on the thesis, it can be concluded that The ArchiMate standard provides the modelling constructs to efficiently describe and interconnect the risk and security concepts. The Archi-Mate language provides modelers with the tools to define additional information for elements, which can be used to further analyse architectures and determine the impact of risks and security issues.
The key outcome of the thesis as a publicly available model offers plenty of further processing possibilities, such as the modelling of other criteria sets published by the authorities. The Archi-Mate language also offers advanced application possibilities, such as the utilization of artificial intelligence or automation in the enterprise architecture.
The actual model eventually became so extensive that it was also published in its entirety to GitHub, where it can be freely downloaded. Architects and information security specialists can use the model to design new solutions protecting national or international classified Information, making use of existing, reusable security audit criteria model.
Opinnäytetyön tietoperustassa pääpaino on rakenteissa, jotka muodostavat toiminnallisen osuuden mallinnuksen rungon. Katakri kuvataan siten, että malli mahdollistaa kriteereissä esitettyjen vaatimusten tarkastelun riskien ja tietoturvallisuuden näkökulmasta. ArchiMate standardin ja sen riskien ja turvallisuuden hallinnan mukauttamismekanismien kuvaaminen muodostavat perusteet opinnäytetyössä syntyvälle varsinaiselle mallinnukselle.
Toiminnallinen osuus sisältää Katakrin mallinnuksen ja soveltamisesimerkkejä, joilla tarkasteltavaan kohteeseen voidaan kohdistaa vaatimuksia ja visuaalisen mallin avulla konkreettisesti pienentää riskejä.
Opinnäytetyön perusteella voidaan todeta, että ArchiMate-standardi tarjoaa mallinnusrakenteet tehokkaaseen riski- ja turvallisuuskäsitteiden kuvaamiseen ja yhdistämiseen. ArchiMate-kieli tarjoaa mallintajille välineet määritellä elementeille myös lisätietoja, joita voidaan käyttää arkkitehtuurien analysointiin ja riskien ja turvallisuusongelmien vaikutuksen määrittämiseen.
Opinnäytetyön keskeinen tulos julkisesti saatavilla olevana mallina tarjoaa runsaasti jatkojalostamismahdollisuuksia, kuten viranomaisten julkaisemien muiden kriteeristöjen mallinnukset. ArchiMate-kieli tarjoaa lisäksi edistyneitä soveltamismahdollisuuksia, kuten tekoälyn ja automaation hyödyntämisen kokonaisarkkitehtuurissa.
Toiminnallisen työn mallinnuksesta muodostui lopulta niin laaja, että se julkaistiin lisäksi kokonaisuudessaan GitHub -verkkopalveluun, josta se on vapaasti ladattavissa. Arkkitehdit ja tietoturva-asiantuntijat voivat mallin avulla suunnitella uusia, kansallista tai kansainvälistä turvaluokiteltua tietoa suojaavia ratkaisuja hyödyntäen olemassa olevaa, uudelleenkäytettävää turvallisuuskriteerin mallinnusta.
The focus of the theoretical framework of the thesis is on the structures that form the model as the actual outcome. Katakri is described in such way that the model enables risk and security assessment based on the requirements presented in the criteria. The description of the Archi-Mate standard and its adaptation mechanisms for risk and security management form the basis for the actual modelling created in the thesis.
The empirical part contains Katakri's modelling and application examples, which can be used to apply requirements to the target under inspection and to concretely reduce risks with the help of a visual model.
Based on the thesis, it can be concluded that The ArchiMate standard provides the modelling constructs to efficiently describe and interconnect the risk and security concepts. The Archi-Mate language provides modelers with the tools to define additional information for elements, which can be used to further analyse architectures and determine the impact of risks and security issues.
The key outcome of the thesis as a publicly available model offers plenty of further processing possibilities, such as the modelling of other criteria sets published by the authorities. The Archi-Mate language also offers advanced application possibilities, such as the utilization of artificial intelligence or automation in the enterprise architecture.
The actual model eventually became so extensive that it was also published in its entirety to GitHub, where it can be freely downloaded. Architects and information security specialists can use the model to design new solutions protecting national or international classified Information, making use of existing, reusable security audit criteria model.