Kyberturvallisuusvaatimusten toteuttaminen ja todentaminen Windows-työasemien ylläpidossa
Orava, Antti (2024)
2024
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2024092725742
https://urn.fi/URN:NBN:fi:amk-2024092725742
Tiivistelmä
Tässä insinöörityössä tulkitaan Kansallisen turvallisuusauditointikriteeristön
vaatimuksia käytännön toteutusmalleiksi, joilla voidaan myös todentaa vaatimusten toteutuminen. Työ keskittyy Microsoft Windows -käyttöjärjestelmäpohjaisiin alustoihin ja niihin kohdistuvien vaatimusten
kääntämiseen hallinnollisesta kielestä käytännön kielelle.
Työn lähteenä on käytetty standardeja, artikkeleita ja toimeksiantajaorganisaation tietoturvapäällikön haastattelua sekä samasta aihealueesta tehtyjä julkaisuja ja opinnäytetöitä. Lisäksi on hyödynnetty kirjoittajan noin 15 vuoden aikana kertynyttä kokemusta tietoturvan parissa työskentelystä, joka sisältää myös Katakri-auditoidun tietojenkäsittely-ympäristön ylläpitoa, kehittämistä ja useampaan auditointiin osallistumista auditoitavana osapuolena.
Riskienhallinta on keskeistä kyberturvallisen ympäristön toteuttamisessa ja sen merkitystä myös painotetaan lainsäädännössä, standardeissa ja kriteeristöissä. Huolellisesti ja realistisesti tehtyyn riskienarviointiin perustuva riskienhallinta edesauttaa tarkoituksenmukaisen kyberturvallisuuden toteuttamista.
Työssä käsiteltävät Katakrin vaatimukset ovat I6-I13, I16 ja I18-I20. Katakrin vaatimusten mukaisten toteutuksien tarkoitus on estää, paljastaa ja/tai hidastaa oikeudeton pääsy turvaluokiteltuun tietoon.
Katakrin vaatimusten mukainen tietojenkäsittely-ympäristö rakentuu hyvien
käytäntöjen ja kerrospuolustuksen ympärille. Tässä työssä koostetaan suosituksia millä tavoin niitä on tarkoituksen mukaista toteuttaa Windows-työasemien ylläpidossa.
vaatimuksia käytännön toteutusmalleiksi, joilla voidaan myös todentaa vaatimusten toteutuminen. Työ keskittyy Microsoft Windows -käyttöjärjestelmäpohjaisiin alustoihin ja niihin kohdistuvien vaatimusten
kääntämiseen hallinnollisesta kielestä käytännön kielelle.
Työn lähteenä on käytetty standardeja, artikkeleita ja toimeksiantajaorganisaation tietoturvapäällikön haastattelua sekä samasta aihealueesta tehtyjä julkaisuja ja opinnäytetöitä. Lisäksi on hyödynnetty kirjoittajan noin 15 vuoden aikana kertynyttä kokemusta tietoturvan parissa työskentelystä, joka sisältää myös Katakri-auditoidun tietojenkäsittely-ympäristön ylläpitoa, kehittämistä ja useampaan auditointiin osallistumista auditoitavana osapuolena.
Riskienhallinta on keskeistä kyberturvallisen ympäristön toteuttamisessa ja sen merkitystä myös painotetaan lainsäädännössä, standardeissa ja kriteeristöissä. Huolellisesti ja realistisesti tehtyyn riskienarviointiin perustuva riskienhallinta edesauttaa tarkoituksenmukaisen kyberturvallisuuden toteuttamista.
Työssä käsiteltävät Katakrin vaatimukset ovat I6-I13, I16 ja I18-I20. Katakrin vaatimusten mukaisten toteutuksien tarkoitus on estää, paljastaa ja/tai hidastaa oikeudeton pääsy turvaluokiteltuun tietoon.
Katakrin vaatimusten mukainen tietojenkäsittely-ympäristö rakentuu hyvien
käytäntöjen ja kerrospuolustuksen ympärille. Tässä työssä koostetaan suosituksia millä tavoin niitä on tarkoituksen mukaista toteuttaa Windows-työasemien ylläpidossa.