Tietoturvariskianalyysin tehostaminen työkalun avulla

 |  Login

Show simple item record

dc.contributor Aalto-yliopisto fi
dc.contributor Aalto University en
dc.contributor.advisor Nardone, Massimo; DI
dc.contributor.author Karsisto, Timo
dc.date.accessioned 2011-12-08T09:21:52Z
dc.date.available 2011-12-08T09:21:52Z
dc.date.issued 2007
dc.identifier.uri https://aaltodoc.aalto.fi/handle/123456789/966
dc.description.abstract Nykypäivän tietoturvahaasteet ja uhkat vaativat nopeaa toimintaa. Tietoturvaorganisaation tehtävä on vastata näihin haasteisiin. Järjestelmällinen tietoturvanhallinta ja toimiva tietoturvaorganisaatio ja -työ voivat ennaltaehkäistä tietoturvavälikohtauksia sekä valmistaa organisaatiota toimimaan määrittelemänsä tavoitetason ja periaatteidensa mukaisesti. Erityisen suuren huomion kohteena tietoturvassa ovat tekniset yksityiskohdat kuten virukset ja madot. Tietoturva on kuitenkin huomattavasti laajempi käsite. Yksi työn tavoitteista on tarjota lukijalle kattava kuva mistä tietoturvassa on kyse. Tietoturvan kokonaisuuden ymmärtäminen on pohja ja edellytys analyyttiselle ajattelulle. Yksi tietoturvaorganisaation tehtävä on riskianalyysin tekeminen. Riskianalyysin tarkoituksena on ennaltaehkäistä ja löytää organisaation järjestelmistä, prosesseista ja ihmisistä perimmäisiä syitä riskeille ja ennenkaikkea ehkäistä näiden toteutumista. Riskien tiedostaminen ja niiden lieventäminen on välttämätöntä organisaation turvallisuuden kannalta. Tämän työn puitteissa tarkastellaan tietoturvaa, tietoturvaorganisaatiota, sen tehtäviä ja erityisesti riskienhallintaa ja riskianalyysiprosessia. Tavoitteena on kehittää tehokas työväline riskianalyysin suorittamiseen. Yhtäältä työkaluun tulee valita toteutettavat standardit ja toisaalta menetelmä, jolla työtä ohjataan. Työkaluun toteutettaviksi standardeiksi valittiin ISO 17799, COBIT 4.0, BSI 100-3 ja VAHTIn uhkalistoja. Sähköisen riskianalyysityökalun menetelmäksi valittiin oma variantti potentiaalisten ongelmien analyysistä (POA). Tietoturvastandardien puolesta haasteena oli saada tiivistettyä ja sovitettua standardit sähköiseen työkaluun sopivaksi. Standardeista pyrittiin valitsemaan ainoastaan ydinasiat ja ne pyrittiin esittämään mahdollisimman ymmärrettävässä muodossa. Standardien toteuttamisessa työkaluun onnistuttiin erinomaisesti. Työkaluun valittu menetelmä osoittautui myös tehokkaaksi ja tarkoitukseen sopivaksi. Kehitettyä työkalua arvioitiin asiantuntija-arviointien perusteella. Arviointitulosten perusteella työkalu sopii riskianalyysin tekemiseen erinomaisesti. Erityiskiitosta työkalussa sai sen joustavuus sisällön suhteen. Työkalua pidettiinkin ennen kaikkea kehitysalustana, johon on helppo tuoda uutta sisältöä. fi
dc.description.abstract Today's information security challenges and threats require fast response time. Information security organisations responsibility is to respond to these challenges. Systematic information security management and effective information security organisation can prevent security incidents of happening and prepare organisation to operate within its defined goals and principals. In area of information security technical issues such as viruses and worms gain especially great attention. However information security is much wider concept. One goal of the thesis is to offer the reader a comprehensive picture of information security. Comprehensive understanding of information security is the base and prerequisite of analytical thinking. One of the information security organisation's tasks is to do risk analysis. The purpose of risk analysis is to prevent and acknowledge fundamental causes of risks in organisations systems, processes and people. Acknowledging and mitigating risks is crucial for the sake of the organisations security. Within this thesis we are going to get acquainted with information security, information security organisation and its tasks, risk management and risk analysis process. The goal of thesis is to develop an effective risk analysis tool. The tool has two sides: implemented standards and the working method. Chosen standards for the tool were ISO 17799, COBIT 4.0, BSI 100-3 and threat catalogues from VAHTI. Chosen method for the electronic tool was analysis method of potential problems (POA). The challenge with information security standards was to compress them and keep them still in comprehensive form. The challenge was also to fit the standard and its structures to the electronic tool. Fitting and implementing the standards to the tool succeeded well. The chosen method also turned out to be well fitted and effective. The developed tool was evaluated by information security professionals. The results show that the developed tool is well suited for its purpose. Flexibility of the content was found especially good feature. The tool was considered as a development platform where importing new content is easy. en
dc.format.extent 101, [12]
dc.format.mimetype application/pdf
dc.language.iso fi en
dc.publisher Helsinki University of Technology en
dc.publisher Teknillinen korkeakoulu fi
dc.subject.other Computer science en
dc.subject.other Electrical engineering en
dc.title Tietoturvariskianalyysin tehostaminen työkalun avulla fi
dc.title Intensifying Information Security Risk Analysis with a Tool en
dc.type G2 Pro gradu, diplomityö fi
dc.contributor.department Department of Electrical and Communications Engineering en
dc.contributor.department Sähkö- ja tietoliikennetekniikan osasto fi
dc.subject.keyword information security en
dc.subject.keyword risk analysis en
dc.subject.keyword ISO 17799 en
dc.subject.keyword COBIT en
dc.subject.keyword risk assessment en
dc.subject.keyword tietoturva fi
dc.subject.keyword riskianalyysi fi
dc.subject.keyword ISO 17799 fi
dc.subject.keyword COBIT fi
dc.subject.keyword riski-/uhkakartoitus fi
dc.identifier.urn urn:nbn:fi:tkk-007703
dc.type.dcmitype text en
dc.programme.major Networking technology en
dc.programme.major Tietoverkkotekniikka fi
dc.programme.mcode S-38
dc.type.ontasot Diplomityö fi
dc.type.ontasot Master's thesis en
dc.contributor.supervisor Kantola, Raimo; Prof.
dc.programme Tietoliikennetekniikan koulutusohjelma fi
dc.contributor.lab Networking Laboratory en
dc.contributor.lab Tietoverkkolaboratorio fi
dc.location P1 fi


Files in this item

This item appears in the following Collection(s)

Show simple item record

Search archive


Advanced Search

article-iconSubmit a publication

Browse

My Account