Pilvipalveluiden tietoturva : standardit ja viitekehykset sekä erityyppisen tiedon suojaaminen
Tekijät
Päivämäärä
2021Pääsyrajoitukset
Tekijä ei ole antanut lupaa avoimeen julkaisuun, joten aineisto on luettavissa vain Jyväskylän yliopiston kirjaston arkistotyösemalta. Ks. https://kirjasto.jyu.fi/kokoelmat/arkistotyoasema..
Tämän pro gradu -tutkielman tarkoituksena oli tutkia pilvipalveluiden tietoturvaa käsitteleviä standardeja ja viitekehyksiä sekä niiden noudattamista erityyppisen tiedon näkökulmasta. Tietoturvan tasoa on hyvin vaikea arvioida ilman tiedossa olevaa käyttötapausta, joten vaatimusten noudattamisen selvittäminen eri tietotyyppien näkökulmasta on käytännön ongelma, johon tällä tutkielmalla pyrittiin vastaamaan. Tutkielman teoriaosuus toteutettiin kirjallisuuskatsauksena, jonka tarkoitus oli luoda teoreettinen pohja tutkielman empiiriselle osuudelle, sekä vertailla tietoturvastandardeja ja -viitekehyksiä. Tutkielman empiirisessä osuudessa tutkittiin, miten eri pilvipalveluntarjoajat noudattavat Pilvipalveluiden turvallisuuden arviointikriteeristön (PiTuKri) vaatimuksia eri tietotyyppien näkökulmasta. Tietotyyppejä tässä tutkielmassa olivat liiketoimintatieto, viranomaisen salassa pidettävätieto, henkilötieto ja turvallisuusluokiteltu tieto. Tutkimus toteutettiin laadullisena tutkimuksena ja pääasiassa dokumenttianalyysina, jota onnistuttiin tukeman myös yhdellä teemahaastattelulla. Yhtenä keskeisenä tuloksena todettiin, että tietoturvastandardit ja –viitekehykset noudattavat melko yhdenmukaisia rakenteita ja esitystapoja. PiTuKrin havaittiin soveltuvan parhaiten erityyppisen tiedon suojaamisen arviointiin. Lisäksi keskeisenä tuloksena tutkielman empiirisessä osuudessa havaittiin, että pilvipalveluntarjoajat noudattavat PiTuKrin vaatimuksia pääosin hyvin, kun vaatimustenmukaisuutta tarkastellaan liiketoimintatiedon tai salassa pidettävän tiedon näkökulmasta. Henkilötietojen ja turvallisuusluokiteltujen tietojen näkökulmasta rajoitteet tietojen käsittelyn sijaintiin ja pilvipalveluntarjoajaan liittyen havaittiin vaatimustenmukaisuuden kannalta haastaviksi. Keskeisenä johtopäätöksenä tehtiin se, että arkaluonteisen tiedon suojaamisessa pilvipalveluympäristössä korostuvat salaaminen, käsiteltävän tiedon sijainti sekä lainsäädäntöjohdanneiset riskit. Näihin asioihin PiTuKri ottaa kantaa muita viitekehyksiä selkeämmin, mutta pilvipalveluntarjoajat eivät kovinkaan helposti pysty osoittamaan vaatimustenmukaisuutta eri tietotyyppien tapauksessa. Tutkielma toteutettiin toimeksiantona suunnittelutoimisto Huld Oy:lle, joka hyödyntää tutkimustietoa asiantuntijatehtävissään asiakkaiden kysynnän kasvaessa pilvipalveluinfrastruktuurin hyödyntämisen suhteen.
...
The purpose of this master's thesis was to study the information security stand-ards and frameworks of cloud services and their compliance from the perspective of different types of information. It is very difficult to assess the level of information security without a known use case. Therefore, determining compliance from the point of view of different information types is a practical problem that this thesis sought to address. The theoretical part of the thesis was carried out as a literature review, the purpose of which was to create a theoretical basis for the empirical study, and to compare information security standards and frameworks. The empirical part of the thesis examined how different cloud service providers comply with the requirements of the Criteria to Assess the Information Security of Cloud Services (PiTuKri) from the perspective of different information types. The information types in the thesis were business confidential information, in-formation of the authorities to be kept secret, personal information, and classified protection level information of the authorities. The study was carried out as a qualitative research and mainly as a document analysis. In addition, research data was also collected through one theme interview. A key finding was that the security standards and frameworks follow fairly consistent structures and for-mats. PiTuKri was found to be best suited for assessing the protection of different information types. In addition, it was found as a key finding that cloud service providers largely comply with PiTuKri's requirements when assessing the com-pliance from the perspective of business confidential information or information to be kept secret. From the perspective of personal data and classified protection level information, constraints on the location of data processing and the cloud service provider were found to be challenging for compliance. The main conclu-sion was that encryption, the location of the information processing and the leg-islation-derived risks are emphasized in the protection of sensitive information in the cloud environment. PiTuKri takes a clearer position on these issues than other frameworks, but cloud service providers are not easily able to demonstrate compliance for different information types. Thesis was carried out as an assign-ment for a technology design company Huld Oy, which utilizes research data in its expert tasks as customer demand grows for the utilization of cloud service infrastructure.
...
Asiasanat
Metadata
Näytä kaikki kuvailutiedotKokoelmat
- Pro gradu -tutkielmat [29743]
Lisenssi
Samankaltainen aineisto
Näytetään aineistoja, joilla on samankaltainen nimeke tai asiasanat.
-
ISO 27001-tietoturvastandardin soveltaminen Carunalla
Seppälä, Enni (2022)ISO 27001 -standardi erittelee vaatimukset tietoturvallisuuden hallintajärjestelmän perustamiseen, täytäntöönpanoon, käyttöönottoon, seurantaan, tarkistamiseen, ylläpitoon sekä jatkuvaan parantamiseen. Tässä kandidaatintyössä ... -
ISO 27000 -tietoturvastandardisarja osana nykypäivän yritysten tietoturvallisuuden hallintaa
Mäki-Maukola, Eeva (2023)Tämän tutkimuksen tavoitteena oli selvittää, miten ISO 27000 - tietoturvastandardisarja on osana nykypäivän yritysten tietoturvallisuuden hallintaa. Tutkimuksessa keskitytään standardeihin ISO 27000, ISO 27001 sekä ISO ... -
Tietoturvaohjeiden ja työympäristön ristiriita
Ketola, Tuomas (2016)Tässä tutkimuksessa luodaan ensin katsaus alan aihepiiriin, eli tietoturvaohjeistuksiin ja standardeihin. Tämän jälkeen tarkastellaan tutkimuksen tärkeintä osiota, joka on tietoturvaohjeiden ja työympäristön välillä ... -
Tietoturva-auditointiprosessin kehittäminen viranomaisnäkökulmasta
Virtanen, Alex (2022)Informaatioteknologian keskeinen rooli liiketoiminnan mahdollistajana merkitsee myös tietoturvallisuuden eri osa-alueiden korostamista, kun tarkoituksena on suojata organisaatioiden informaatio-omaisuuseriä. Nämä omaisuuserät ... -
Evidence in cloud security compliance : towards a meta-evaluation framework
Hentula, Antti (2019)Recently the trend of outsourcing IT services into cloud environments as opposed to traditional locally administrated services has been on the rise. This transition allows enables great cost savings through service flexibility ...
Ellei toisin mainittu, julkisesti saatavilla olevia JYX-metatietoja (poislukien tiivistelmät) saa vapaasti uudelleenkäyttää CC0-lisenssillä.