Riskienarviointimenetelmän kehittäminen osana tietoturvallisuuden vaatimustenmukaisuuden arviointia

Abstract

Nyky-yhteiskunta on riippuvainen tietoverkkojen ja –järjestelmien toiminnasta ja tämän myötä myös niihin kohdistuvat uhkat ja riskit ovat kasvaneet ja muuttuneet vaikutuksiltaan vaa-rallisemmiksi. Riskienhallinnan merkitys tietoturvallisuuden hallinnassa ja toteuttamisessa on tästä johtuen kasvanut. Tietoturvallisuuteen liittyvät lakien mukaan valtionhallinnon viranomaisten tulee huolehtia siitä, että viranomaisen toimintaan liittyvät tietoturvallisuusriskit kartoitetaan ja että tietoturvallisuuden vaatimustenmukaisuutta arvioidaan. Vaatimustenmukaisuuden ja riskienhallinnan avulla tehtyjen riskinottopäätösten suhde asettaa arviointitoiminnalle haasteita.

Tämän tutkimuksen tavoitteena oli luoda työkalu, jonka avulla voidaan arvioida tietojärjestelmien tietoturva-arvioinneissa havaittujen poikkeamien aiheuttamien riskien vaikutuksia. Turvallisuustoimenpiteistä ja –kontrolleista huolimatta tietojärjestelmiin kohdistuu aina riskejä, eikä täydellistä tietoturvallisuutta voida käytännössä saavuttaa. Tämän vuoksi on tarpeellista luoda menetelmä, jonka avulla voidaan arvioida jäännösriskien vaikutuksia ja mikä niiden suhde on asetettuihin tietoturvallisuusvaatimuksiin.

Tutkimuksessa on perehdytty riskienhallintaan ja arviointitiedon tuottamiseen liittyviin prosesseihin ja metodologiaan. Arvioinnin kannalta on tärkeää, että siitä saatavat tulokset ovat riittävän kattavia ja oikeellisia, ja että niiden perusteella tehtävät johtopäätökset ovat objektiivisia. Tutkimuksen aikana kehitetyn työkalun suunnittelussa on otettu nämä seikat huomioon.

Työn lopputuloksena on arviointityötä tukeva työkalu, jonka avulla voidaan systemaattista ja rakenteista menetelmää käyttäen tuottaa analyyttisempaa tietoa olemassa olevien tietotur-vapoikkeamien aiheuttamista riskeistä. Menetelmän tarkoituksenmukainen käyttäminen vaatii syvällistä tuntemusta arvioitavasta kohteesta ja systemaattisen analyysin tekeminen saattaa olla työmäärältään suuri.

Riskienhallinta on turvallisuustoiminnan tukemiseen käytettävä apuväline, jonka avulla voidaan tehostaa ja kehittää organisaatioiden turvallisuustoimintaa. Tässä työssä kehitetty työkalu on riskienhallintaan tarkoitettu apuväline, jonka avulla riskienhallinnan tavoitetta voidaan edistää.

The importance of information systems and networks to modern society has grown substantially. Alongside the technological development threats, risks and their potential impact related to the systems have grown and become more hazardous. Because of this the importance of risk management and risk assessment has become more relevant. Finnish laws related to information security require that governmental bodies assess risks related to their activities and that their compliancy to information security requirements are assessed. Assessing risks and the risks’ relationship to requirements and compliancy is problematic.

The purpose of this thesis was to develop a tool which enables the assessment of effects of risks based on deviations from given requirements found during an information security audit. Security measures and controls cannot remove risks completely and because of this it is meaningful to create a method which allows assessing the impact of residual risks and their relationship to given information security requirements.

This thesis covers methodologies and processes related to risk management and assessment from a theoretical viewpoint. When doing an assessments it is important that the results are comprehensive and based on correct information and context in order to form an objective opinion or assessment. These principles have been applied in the process of developing the tool in this thesis.

The end result of this thesis is a risk assessment tool that enables a systematic and structured method to provide more analytic information of the risks caused by deviations found in the audited information system. Using the method requires in depth knowledge about the system and the assessment process might be complex and time consuming.

Risk management is a tool among others to support management, planning and development of security in an organization. The tool developed in this thesis is another mean to support risk management and give another perspective to the field.