Kyberturvallisen etäyhteyden toteutus korotetun tietoturvan kriittiseen infrastruktuuriin
Arola, Kai (2024)
2024
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2024120332474
https://urn.fi/URN:NBN:fi:amk-2024120332474
Tiivistelmä
Etätyön tekeminen on kasvanut jo useita vuosia, mutta koronapandemian aikana se räjähti toden teolla sellaisillakin toimialoilla, missä kyberturvallisuuden tiukat turvallisuusluokkavaatimukset eivät olisi aikaisemmin sallineet sitä.
Toimeksiantona oli tarkastella tietoturvallisuusvaatimuksia rakennettaessa etäkäyttöratkaisua turvallisuusluokka IV ympäristöön ja sen toteutusta. Tavoitteena oli suunnitella auditointikelpoinen etäkäyttöratkaisu siten, että lopputuloksena muodostuu sen toteutus toimeksiantajalle. Tavoitteena oli selvittää, miten turvallisuusluokan IV auditointikelpoinen etäkäyttöratkaisu pitäisi suunnitella ja toteuttaa.
Työssä hyödynnettiin tutkimuksellista kehittämistyö tutkimusta, jossa yhdistyvät sekä tieteellinen tutkimus että käytännön soveltaminen ja kehittäminen. Työn alussa kattavalla tietoperustalla tarkasteltiin kansallisen auditointikriteeristö 2020 rakennetta ja etäkäyttöympäristön eri komponentteja. Tietoperustan jälkeen perehdyttiin Traficomin asettamiin vaatimuksiin, joihin kuuluvat kryptografiset vahvuudet salauksille ja yhdyskäytäväratkaisut hyödyntäen palomuuria liittyen turvallisuusluokan IV ympäristöön. Tarkastelun jälkeen suunniteltiin ja toteutettiin turvallisuusluokan IV auditointikelpoinen etäkäyttöratkaisu.
Lopputuloksena saatiin etäkäyttöratkaisulle turvallinen ja toteutuskelpoinen suunnitelma, jonka toteutus käytiin yksityiskohtaisesti toimintakaavioin avulla läpi. Ratkaisun yhteydessä esitettiin kansallisen auditointikriteeristön 2020 rakenteen läpileikkaus, joka piti sisällään lyhyen ja ytimekkään kuvauksen kaikista kolmesta osa-alueesta, jotka ovat turvallisuusjohtaminen, fyysinen turvallisuus ja tekninen tietoturvallisuus. Sen jälkeen keskityttiin käymään läpi kansallisen auditointikriteeristön 2020 auditointiprosessi teknisen tietoturvallisuuden vaatimuksien osalta niin, että kaikki tietoliikenneturvallisuuden vaatimusten toteutustavat kuvattiin kokonaisuudessaan, mutta tietojärjestelmäturvallisuuden ja käyttöturvallisuuden osa-alueet kuvattiin vain olennaisten vaatimuskohtien toteutustapojen osalta. Esitys antaa myös hyvän mallin auditointivaatimuksien toteutustapakuvauksiin vastaamiselle.
Toimeksiantona oli tarkastella tietoturvallisuusvaatimuksia rakennettaessa etäkäyttöratkaisua turvallisuusluokka IV ympäristöön ja sen toteutusta. Tavoitteena oli suunnitella auditointikelpoinen etäkäyttöratkaisu siten, että lopputuloksena muodostuu sen toteutus toimeksiantajalle. Tavoitteena oli selvittää, miten turvallisuusluokan IV auditointikelpoinen etäkäyttöratkaisu pitäisi suunnitella ja toteuttaa.
Työssä hyödynnettiin tutkimuksellista kehittämistyö tutkimusta, jossa yhdistyvät sekä tieteellinen tutkimus että käytännön soveltaminen ja kehittäminen. Työn alussa kattavalla tietoperustalla tarkasteltiin kansallisen auditointikriteeristö 2020 rakennetta ja etäkäyttöympäristön eri komponentteja. Tietoperustan jälkeen perehdyttiin Traficomin asettamiin vaatimuksiin, joihin kuuluvat kryptografiset vahvuudet salauksille ja yhdyskäytäväratkaisut hyödyntäen palomuuria liittyen turvallisuusluokan IV ympäristöön. Tarkastelun jälkeen suunniteltiin ja toteutettiin turvallisuusluokan IV auditointikelpoinen etäkäyttöratkaisu.
Lopputuloksena saatiin etäkäyttöratkaisulle turvallinen ja toteutuskelpoinen suunnitelma, jonka toteutus käytiin yksityiskohtaisesti toimintakaavioin avulla läpi. Ratkaisun yhteydessä esitettiin kansallisen auditointikriteeristön 2020 rakenteen läpileikkaus, joka piti sisällään lyhyen ja ytimekkään kuvauksen kaikista kolmesta osa-alueesta, jotka ovat turvallisuusjohtaminen, fyysinen turvallisuus ja tekninen tietoturvallisuus. Sen jälkeen keskityttiin käymään läpi kansallisen auditointikriteeristön 2020 auditointiprosessi teknisen tietoturvallisuuden vaatimuksien osalta niin, että kaikki tietoliikenneturvallisuuden vaatimusten toteutustavat kuvattiin kokonaisuudessaan, mutta tietojärjestelmäturvallisuuden ja käyttöturvallisuuden osa-alueet kuvattiin vain olennaisten vaatimuskohtien toteutustapojen osalta. Esitys antaa myös hyvän mallin auditointivaatimuksien toteutustapakuvauksiin vastaamiselle.