Tietotarpeet tietoturvallisuuden hallintajärjestelmän toimivuudesta Väylävirastossa
Tuikka, Pirita (2024)
2024
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2024060320432
https://urn.fi/URN:NBN:fi:amk-2024060320432
Tiivistelmä
Opinnäytetyön tarkoituksena oli selvittää, mitä tietoa Väyläviraston päätöksentekijät tarvitsevat kokonaiskuvan muodostamiseksi viraston tietoturvallisuuden hallintajärjestelmän toimivuudesta. Tavoitteena oli laatia ehdotus tietotarpeista, joiden avulla tietoturvallisuuden hallintajärjestelmän suorituskykyä ja vaikuttavuutta voidaan seurata ja mitata sekä raportoida. Taustalla oli tarve luoda ISO/IEC 27001 -standardin mukaisia tietoturvamittareita osana organisaation tietoturvallisuuden hallintajärjestelmän kehitysprojektia.
Tietoperustana käytettiin ISO/IEC 27001 ja 27004 -standardien soveltuvia osia. Lisäksi tietoperustassa hyödynnettiin kokonaiskuvan muodostamisesta sekä tietoturvallisuuden mittaamisesta ja raportoinnista kertovaa kirjallisuutta. Opinnäytetyön menetelmänä oli teemahaastattelu. Haastatteluihin osallistui 2–5 henkilöä kolmesta ryhmästä, jotka olivat asiantuntijat, keskijohto ja ylin johto. Aineisto koostui haastateltujen vastauksista kysymyksiin, jotka käsittelivät seuraavia aihealueita: tunnistaminen, suojaaminen, havainnointikyky ja reagointi. Mainitut teemat oli muodostettu Väyläviraston digitaalisen turvallisuuden periaatteiden mukaan. Lisäksi aineistossa oli haastateltujen näkemyksiä strategisesta ja taktisesta tietoturvaraportoinnista.
Työn keskeisin tuotos oli ehdotus tietotarpeista, jotka kattoivat Väyläviraston digitaalisen turvallisuuden periaatteet. Tietotarpeita olivat muun muassa tietoturvariskeille altistuminen, palveluntuottajanäkökulma eli tietoturvallisuus toimittajasuhteissa, tietojärjestelmien operatiivinen tilannekuva ja tietoturvatapahtumien kehityssuunta. Tietotarpeet saatiin määriteltyä onnistuneesti, ja mittarikehityskin käynnistyi jo menestyksekkäästi tulosten pohjalta. Jatkossa tietotarpeet ja niihin vastaavat mittarit tulisi sovittaa oikeaan kontekstiinsa strategisen tai taktisen tason tietoturvaraportointiin. Tietotarpeiden ja mittareiden käyttö kohentaa päätöksenteon tietoperustaisuutta, mikä edistää tietoturvallisuuden jatkuvaa parantamista virastossa.
Tietoperustana käytettiin ISO/IEC 27001 ja 27004 -standardien soveltuvia osia. Lisäksi tietoperustassa hyödynnettiin kokonaiskuvan muodostamisesta sekä tietoturvallisuuden mittaamisesta ja raportoinnista kertovaa kirjallisuutta. Opinnäytetyön menetelmänä oli teemahaastattelu. Haastatteluihin osallistui 2–5 henkilöä kolmesta ryhmästä, jotka olivat asiantuntijat, keskijohto ja ylin johto. Aineisto koostui haastateltujen vastauksista kysymyksiin, jotka käsittelivät seuraavia aihealueita: tunnistaminen, suojaaminen, havainnointikyky ja reagointi. Mainitut teemat oli muodostettu Väyläviraston digitaalisen turvallisuuden periaatteiden mukaan. Lisäksi aineistossa oli haastateltujen näkemyksiä strategisesta ja taktisesta tietoturvaraportoinnista.
Työn keskeisin tuotos oli ehdotus tietotarpeista, jotka kattoivat Väyläviraston digitaalisen turvallisuuden periaatteet. Tietotarpeita olivat muun muassa tietoturvariskeille altistuminen, palveluntuottajanäkökulma eli tietoturvallisuus toimittajasuhteissa, tietojärjestelmien operatiivinen tilannekuva ja tietoturvatapahtumien kehityssuunta. Tietotarpeet saatiin määriteltyä onnistuneesti, ja mittarikehityskin käynnistyi jo menestyksekkäästi tulosten pohjalta. Jatkossa tietotarpeet ja niihin vastaavat mittarit tulisi sovittaa oikeaan kontekstiinsa strategisen tai taktisen tason tietoturvaraportointiin. Tietotarpeiden ja mittareiden käyttö kohentaa päätöksenteon tietoperustaisuutta, mikä edistää tietoturvallisuuden jatkuvaa parantamista virastossa.