Tietoturvakartoitus yrityksen Internet-palveluja tuottavassa yksikössä

No Thumbnail Available
Journal Title
Journal ISSN
Volume Title
Faculty of Electronics, Communications and Automation | Master's thesis
Date
2008
Major/Subject
Networking Technology
Tietoverkkotekniikka
Mcode
S-38
Degree programme
Tietoliikennetekniikan koulutus-/tutkinto-ohjelma
Language
fi
Pages
v, 105, [13]
Series
Abstract
Tässä tutkimuksessa keskityttiin tietoturvallisuuden aihepiiriin. Tutkimuksen teoreettisena tavoitteena oli selvittää, minkälaisista tekijöistä organisaation tietoturvallisuus muodostuu ja miten sitä voidaan hallita. Käytännön tavoitteena oli kartoittaa kohdeorganisaation tietoturvallisuuden nykytaso ja luoda kartoituksen perusteella suunnitelma organisaation tietoturvallisuuden kehittämiseksi. Tutkimuksen teoriaosassa avattiin tietoturvallisuuden käsitteistöä ja pohdittiin tietoturvallisuuden merkitystä organisaatioille. Katsauksessa eriteltiin organisaation toimijoiden tehtäviä ja vastuita ja tutustuttiin ISO 17799 -standardiin, joka määrittelee yleisiä toimintaperiaatteita organisaation tietoturvallisuuden hallintaan. Tietoturvallisuuden hallintaa tarkasteltiin prosessina, jossa organisaation tietoturvastrategia ja riskienhallinta ohjaavat toiminnan kehittämistä. Lopuksi tutkittiin erilaisia tietoturvallisuuden kontrolleja tietoverkkojen, tietoaineiston ja saavutettavuuden suojaamiseksi. Tutkimuksen käytännön osassa tehtiin kohdeorganisaatiolle tietoturvakartoitus, jonka pohjana käytettiin ISO 17799 -standardia. Kartoituksessa havaittiin runsaasti tietoturvallisuuden kannalta hyvin toteutettuja asioita: muun muassa tekniset suojaukset, jokapäiväinen toiminta ja erikoistilanteiden hallinta on hoidettu hyvin ja etenkin tiedon saavutettavuuteen on panostettu. Organisaation tietoturvallisuuteen liittyvät suurimmat ongelmakohdat kohdistuvat pääasiassa hallinnolliselle puolelle. Selkeitä puutteita havaittiin erityisesti tietoturvatyön organisoimisessa ja vastuunjaossa, strategisessa suunnittelussa ja dokumentoinnissa sekä tietoturvahäiriöiden ja parannuskohteiden hallinnan organisoimisessa. Kartoituksen tulosten pohjalta kohdeorganisaatiolle tehtiin kehityssuunnitelma, jonka avulla organisaatio voi lähteä kehittämään omaa tietoturvallisuuttaan ja korjata suurimmat havaitut puutteet. Kehitystyön myötä organisaatio pystyy tulevaisuudessa ylläpitämään riittävää tietoturvallisuuden tasoa ja siten vastaamaan liiketoiminnan edellyttämiin vaatimuksiin.

This study concentrates on information security. In the theoretical part of the study the goal was to find out in an organizational context what kinds of elements does information security consist of and how it can be managed. The goal of the hands-on part of the study was to conduct an information security assessment as a case study for a specific organization, and based on the evaluation to create a plan how to improve the state of the organization's information security. The theoretical part of this study introduced the basic terms and concepts of information security and discussed the significance and need for information security in an organization. The study reviewed the tasks and responsibilities for different roles in an organization and presented the ISO 17799 standard, which defines common principles for managing information security in organizations. Information security management was studied as a process, in which the improvement actions are driven by the organization's strategy for information security and risk management. Finally, information security control mechanisms for securing computer networks and information assets where discussed, and mechanisms for assuring the availability of information were studied. The case study involved in conducting an evaluation of information security for the target organization. The evaluation was based on the ISO 17799 standard. The results of the evaluation showed that a good part of the organization's information security is well implemented. For example, technical controls for information security, daily operations, and incident management are in good shape, and effort has been made on assuring the availability of information. On the other hand, the evaluation revealed that the largest problems in information security were focused in the administrative actions of the organization. Clear deficiencies were found especially in organization of and responsibilities in the actions on information security, strategic planning and documentation, and in the management of information security incidents and improvements. Based on the results of the evaluation an improvement plan was created for the case organization. Using the plan, the organization may start the process of improving information security and correct the most important problems found in the evaluation. With the actions of improvement the organization is able to maintain an adequate level of information security and to insure that business requirements are met.
Description
Supervisor
Manner, Jukka; Prof.
Thesis advisor
Aalto, Otto; M.A.
Keywords
information security, ISO 17799, evaluation of information security, improving information security, information security management, risk management, tietoturvallisuus, ISO 17799, tietoturvakartoitus, tietoturvallisuuden kehittäminen, tietoturvallisuuden hallinta, riskienhallinta
Other note
Citation
Permanent link to this item
https://urn.fi/urn:nbn:fi:tkk-010316