Tietojärjestelmän tietoturvallisuusarviointi
Hartonen, Tommi (2017)
Kuvaus
Opinnäytetyö kokotekstinä PDF-muodossa.
Tiivistelmä
Tässä tutkielmassa tutustutaan valtionhallinnon käytössä olevaan web-pohjaisen tietojärjestelmän tietoturvallisuusarviointiin. Tavoitteena tutkimuksessa on selvittää, kuinka tietojärjestelmän tietoturvallisuusarviointi suoritetaan ja millaisia tarkastusmenetelmiä arvioinnissa käytetään. Tutkielma keskittyy tekniseen tietoturva-auditointiin. Tutkielman ulkopuolelle on rajattu kokonaisvaltaiseen tietoturva-auditointiin kuuluvat hallinnollisen turvallisuuden, henkilöstöturvallisuuden sekä fyysisen turvallisuuden osa-alueet. Tekninen osuus käsittää vain tietojärjestelmän sovelluskerrokseen. Tutkielman työn lopputuloksena syntyy tarkastusraportti, josta selviää kohdeorganisaation tarkastuksen kohteena olevan sovelluksen teknisten puutteiden korjausehdotukset.
Tutkimuksen tekninen toteutus suoritettiin melko tarkasti tutkimussuunnitelman mukaisesti. Case-yrityksen web-sovelluksen teknisen tietoturvallisuuden tilan todentamisessa käytettiin suunnitelman mukaisesti aktiivista rajapinta-analyysi menetelmää. Haavoittuvuuksien havaitseminen verkossa ja porttiskannaus suoritettiin Nmap ja Burp Suite -ohjelmilla. Tutkimus suoritettiin etäyhteyden välityksellä case-yrityksen testausympäristössä.
Tutkimuksessa löydetyt havainnot olivat vakavuudeltaan vähäisiä. Havainnot eivät johtaneet välittömiin tietoturvallisuutta korjaaviin toimenpiteisiin. Sovellustestauksen tuloksena löytyi muutamia pienempiä korjausehdotuksia tietojärjestelmän omistajalle. Kohdeorganisaation kokonaisvaltaisesta tietoturvasta voidaan todeta, että se on erittäin hyvällä tasolla. Suositeltavat jatkotoimenpiteet sekä arviointiraportti lähetettiin arvioinnin kohteena olevalle case-yritykselle. Case-yrityksen tietojärjestelmään tehtävät tulevat ohjelmistopäivitykset on edelleen jatkossa hyväksyttävä kolmannen osapuolen toimesta ennen uusien päivitysten asentamista, jotta tarkastuspäätös pysyy voimassa. Kansallisesta tietojärjestelmästä ollessa kyse lopullisen tietojärjestelmän käyttöönottopäätöksen tekee tiedon omistaja.
Tutkimuksen tekninen toteutus suoritettiin melko tarkasti tutkimussuunnitelman mukaisesti. Case-yrityksen web-sovelluksen teknisen tietoturvallisuuden tilan todentamisessa käytettiin suunnitelman mukaisesti aktiivista rajapinta-analyysi menetelmää. Haavoittuvuuksien havaitseminen verkossa ja porttiskannaus suoritettiin Nmap ja Burp Suite -ohjelmilla. Tutkimus suoritettiin etäyhteyden välityksellä case-yrityksen testausympäristössä.
Tutkimuksessa löydetyt havainnot olivat vakavuudeltaan vähäisiä. Havainnot eivät johtaneet välittömiin tietoturvallisuutta korjaaviin toimenpiteisiin. Sovellustestauksen tuloksena löytyi muutamia pienempiä korjausehdotuksia tietojärjestelmän omistajalle. Kohdeorganisaation kokonaisvaltaisesta tietoturvasta voidaan todeta, että se on erittäin hyvällä tasolla. Suositeltavat jatkotoimenpiteet sekä arviointiraportti lähetettiin arvioinnin kohteena olevalle case-yritykselle. Case-yrityksen tietojärjestelmään tehtävät tulevat ohjelmistopäivitykset on edelleen jatkossa hyväksyttävä kolmannen osapuolen toimesta ennen uusien päivitysten asentamista, jotta tarkastuspäätös pysyy voimassa. Kansallisesta tietojärjestelmästä ollessa kyse lopullisen tietojärjestelmän käyttöönottopäätöksen tekee tiedon omistaja.