Tietoturvallisuuden arviointi
Tammelin, Antti (2024)
2024
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2024052816655
https://urn.fi/URN:NBN:fi:amk-2024052816655
Tiivistelmä
Tietoturvan merkitys on viime vuosina lisääntynyt merkittävästi. Lähes kaikki tieto, myös arkaluontoinen, kuten potilastieto liikkuu sähköisesti verkon välityksellä. Tämän vuoksi on tärkeää, että järjestelmien sekä ohjelmien tietoturvallisuus varmistetaan ennen niiden käyttöön ottamista. Etenkin henkilö- tai potilastietoja käsittelevien järjestelmien kannalta potentiaaliset riskit ovat erittäin merkittäviä ja niillä voi olla sekä vaaralliset että kalliiksi tulevat seuraukset. Suurissa organisaatioissa on kuitenkin käytössä monentyyppisiä järjestelmiä, osa on sellaisia, joissa potilas- tai henkilötietoja ei siirretä eikä käsitellä. Tietoturvallisuuden arviointi voisi tällaisissa tapauksissa olla laajuudeltaan suppeampaa, mutta silti kyberturvallisuuden kannalta tärkeimmät osa-alueet huomioon ottavaa.
Opinnäytetyön toimeksiantajana oli Istekki Oy. Työn toimeksiantona oli selvittää, millainen suppeampi tietoturva-arvio voisi olla. Lisäksi toimeksiantoon kuului selvitys siitä, voidaanko jotkin toimijat todeta niin luotettaviksi, ettei heidän ohjelmistoilleen vaadita tietoturva-arviointeja. Tavoitteena oli tutustua tietoturva-arvioiden kannalta keskeisimpään materiaaliin ja käyttää valittua aineistoa toimeksiannon suorittamiseen. Työn edetessä ja siihen liittyvien tavoitteiden selkeytyessä osa aineistosta jouduttiin jättämään pois mutta lopuksi materiaalina käytettiin kyberturvallisuuden viitekehystä NIST Cyber Security Frameworkia, ISO 27001-standardia, NIS2-direktiiviä sekä Kybermittaria.
Opinnäytetyön toteutustapana oli palvelun, tuotteen tai produktion kehittäminen. Työn alussa esiteltiin työn tietoperusta, jonka pohjalle kehitystyö pohjautui. Tietoperustan jälkeen esiteltiin uuden tietoturva-arvion arviointiprosessi eri vaiheineen sekä analysoitiin työssä käytettyä aineistoa. Analyysin jälkeen esiteltiin saadut tulokset. Tuloksissa esiteltiin tietoturva-arvioon muodostetut kysymykset. Lisäksi tuloksissa käytiin läpi opinnäytetyön toista tutkittavaa osa-aluetta eli tilanteita, joissa tietoturva-arvion suorittamien ei ole tarpeen.
Opinnäytetyön lopputulos oli nykyisiä tietoturva-arvioita suppeampi kokonaisuus. Se oli siis toimeksiannon mukainen ja perustui opinnäytetyön tietoperustassa esiteltyyn materiaaliin. Tuloksena saatiin arviossa käytettävät kysymykset sekä ohjeet arvioinnin tekemiseen ja muodostettiin prosessi arvioinnin suorittamiseen. Lisäksi opinnäytetyön molempiin tutkimuskysymyksiin saatiin vastaukset työn aikana. Käytetty aineisto oli luo-tettavien virallisten tahojen julkaisemaa ja löydettävissä vapaasti internetistä.
Opinnäytetyön toimeksiantajana oli Istekki Oy. Työn toimeksiantona oli selvittää, millainen suppeampi tietoturva-arvio voisi olla. Lisäksi toimeksiantoon kuului selvitys siitä, voidaanko jotkin toimijat todeta niin luotettaviksi, ettei heidän ohjelmistoilleen vaadita tietoturva-arviointeja. Tavoitteena oli tutustua tietoturva-arvioiden kannalta keskeisimpään materiaaliin ja käyttää valittua aineistoa toimeksiannon suorittamiseen. Työn edetessä ja siihen liittyvien tavoitteiden selkeytyessä osa aineistosta jouduttiin jättämään pois mutta lopuksi materiaalina käytettiin kyberturvallisuuden viitekehystä NIST Cyber Security Frameworkia, ISO 27001-standardia, NIS2-direktiiviä sekä Kybermittaria.
Opinnäytetyön toteutustapana oli palvelun, tuotteen tai produktion kehittäminen. Työn alussa esiteltiin työn tietoperusta, jonka pohjalle kehitystyö pohjautui. Tietoperustan jälkeen esiteltiin uuden tietoturva-arvion arviointiprosessi eri vaiheineen sekä analysoitiin työssä käytettyä aineistoa. Analyysin jälkeen esiteltiin saadut tulokset. Tuloksissa esiteltiin tietoturva-arvioon muodostetut kysymykset. Lisäksi tuloksissa käytiin läpi opinnäytetyön toista tutkittavaa osa-aluetta eli tilanteita, joissa tietoturva-arvion suorittamien ei ole tarpeen.
Opinnäytetyön lopputulos oli nykyisiä tietoturva-arvioita suppeampi kokonaisuus. Se oli siis toimeksiannon mukainen ja perustui opinnäytetyön tietoperustassa esiteltyyn materiaaliin. Tuloksena saatiin arviossa käytettävät kysymykset sekä ohjeet arvioinnin tekemiseen ja muodostettiin prosessi arvioinnin suorittamiseen. Lisäksi opinnäytetyön molempiin tutkimuskysymyksiin saatiin vastaukset työn aikana. Käytetty aineisto oli luo-tettavien virallisten tahojen julkaisemaa ja löydettävissä vapaasti internetistä.