Pilvipalveluiden tietoturva : standardit ja viitekehykset sekä erityyppisen tiedon suojaaminen
Authors
Date
2021Access restrictions
The author has not given permission to make the work publicly available electronically. Therefore the material can be read only at the archival workstation at Jyväskylä University Library (https://kirjasto.jyu.fi/collections/archival-workstation).
Copyright
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Tämän pro gradu -tutkielman tarkoituksena oli tutkia pilvipalveluiden tietoturvaa käsitteleviä standardeja ja viitekehyksiä sekä niiden noudattamista erityyppisen tiedon näkökulmasta. Tietoturvan tasoa on hyvin vaikea arvioida ilman tiedossa olevaa käyttötapausta, joten vaatimusten noudattamisen selvittäminen eri tietotyyppien näkökulmasta on käytännön ongelma, johon tällä tutkielmalla pyrittiin vastaamaan. Tutkielman teoriaosuus toteutettiin kirjallisuuskatsauksena, jonka tarkoitus oli luoda teoreettinen pohja tutkielman empiiriselle osuudelle, sekä vertailla tietoturvastandardeja ja -viitekehyksiä. Tutkielman empiirisessä osuudessa tutkittiin, miten eri pilvipalveluntarjoajat noudattavat Pilvipalveluiden turvallisuuden arviointikriteeristön (PiTuKri) vaatimuksia eri tietotyyppien näkökulmasta. Tietotyyppejä tässä tutkielmassa olivat liiketoimintatieto, viranomaisen salassa pidettävätieto, henkilötieto ja turvallisuusluokiteltu tieto. Tutkimus toteutettiin laadullisena tutkimuksena ja pääasiassa dokumenttianalyysina, jota onnistuttiin tukeman myös yhdellä teemahaastattelulla. Yhtenä keskeisenä tuloksena todettiin, että tietoturvastandardit ja –viitekehykset noudattavat melko yhdenmukaisia rakenteita ja esitystapoja. PiTuKrin havaittiin soveltuvan parhaiten erityyppisen tiedon suojaamisen arviointiin. Lisäksi keskeisenä tuloksena tutkielman empiirisessä osuudessa havaittiin, että pilvipalveluntarjoajat noudattavat PiTuKrin vaatimuksia pääosin hyvin, kun vaatimustenmukaisuutta tarkastellaan liiketoimintatiedon tai salassa pidettävän tiedon näkökulmasta. Henkilötietojen ja turvallisuusluokiteltujen tietojen näkökulmasta rajoitteet tietojen käsittelyn sijaintiin ja pilvipalveluntarjoajaan liittyen havaittiin vaatimustenmukaisuuden kannalta haastaviksi. Keskeisenä johtopäätöksenä tehtiin se, että arkaluonteisen tiedon suojaamisessa pilvipalveluympäristössä korostuvat salaaminen, käsiteltävän tiedon sijainti sekä lainsäädäntöjohdanneiset riskit. Näihin asioihin PiTuKri ottaa kantaa muita viitekehyksiä selkeämmin, mutta pilvipalveluntarjoajat eivät kovinkaan helposti pysty osoittamaan vaatimustenmukaisuutta eri tietotyyppien tapauksessa. Tutkielma toteutettiin toimeksiantona suunnittelutoimisto Huld Oy:lle, joka hyödyntää tutkimustietoa asiantuntijatehtävissään asiakkaiden kysynnän kasvaessa pilvipalveluinfrastruktuurin hyödyntämisen suhteen.
...
The purpose of this master's thesis was to study the information security stand-ards and frameworks of cloud services and their compliance from the perspective of different types of information. It is very difficult to assess the level of information security without a known use case. Therefore, determining compliance from the point of view of different information types is a practical problem that this thesis sought to address. The theoretical part of the thesis was carried out as a literature review, the purpose of which was to create a theoretical basis for the empirical study, and to compare information security standards and frameworks. The empirical part of the thesis examined how different cloud service providers comply with the requirements of the Criteria to Assess the Information Security of Cloud Services (PiTuKri) from the perspective of different information types. The information types in the thesis were business confidential information, in-formation of the authorities to be kept secret, personal information, and classified protection level information of the authorities. The study was carried out as a qualitative research and mainly as a document analysis. In addition, research data was also collected through one theme interview. A key finding was that the security standards and frameworks follow fairly consistent structures and for-mats. PiTuKri was found to be best suited for assessing the protection of different information types. In addition, it was found as a key finding that cloud service providers largely comply with PiTuKri's requirements when assessing the com-pliance from the perspective of business confidential information or information to be kept secret. From the perspective of personal data and classified protection level information, constraints on the location of data processing and the cloud service provider were found to be challenging for compliance. The main conclu-sion was that encryption, the location of the information processing and the leg-islation-derived risks are emphasized in the protection of sensitive information in the cloud environment. PiTuKri takes a clearer position on these issues than other frameworks, but cloud service providers are not easily able to demonstrate compliance for different information types. Thesis was carried out as an assign-ment for a technology design company Huld Oy, which utilizes research data in its expert tasks as customer demand grows for the utilization of cloud service infrastructure.
...
Keywords
Metadata
Show full item recordCollections
- Pro gradu -tutkielmat [29564]
Related items
Showing items with similar title or keywords.
-
Tietoturva-auditointiprosessin kehittäminen viranomaisnäkökulmasta
Virtanen, Alex (2022)Informaatioteknologian keskeinen rooli liiketoiminnan mahdollistajana merkitsee myös tietoturvallisuuden eri osa-alueiden korostamista, kun tarkoituksena on suojata organisaatioiden informaatio-omaisuuseriä. Nämä omaisuuserät ... -
Evidence in cloud security compliance : towards a meta-evaluation framework
Hentula, Antti (2019)Recently the trend of outsourcing IT services into cloud environments as opposed to traditional locally administrated services has been on the rise. This transition allows enables great cost savings through service flexibility ... -
Jatkuvuuden hallinnan kehittäminen : pienten yritysten näkökulma ja pilvipalveluiden erityispiirteet
Jaakkola, Anssi (2024)Jatkuvuuden hallinta ja varautuminen ovat nousseet yhteiskunnalliseen keskusteluun viime vuosina. Aiheen ajankohtaisuudesta huolimatta jatkuvuuden hallintaa on tutkittu vain vähän pienten yritysten näkökulmasta. Samanaikaisesti ... -
ERP SaaS-pilvipalveluiden mahdollisuudet pk-yrityksille
Petäjäaho, Miika (2023)Perinteiset toiminnanohjausjärjestelmät (ERP) siirtyvät jatkuvasti yhä enemmän kohti Software as a Service (SaaS) pilvipalvelumallia. Tutkielmassa käsiteltiin kyseisen kasvavan ilmiön luomia mahdollisuuksia pienille sekä ... -
Pilvipalveluiden tietoturva : yrityksen näkökulma
Reponen, Teemu (2018)Tässä tutkielmassa tutkitaan pilvipalveluiden tietoturvallisuutta yritysten näkökulmasta. Erityisesti tarkastelussa on se kuinka tietoturvaa sekä luottamusta voidaan parantaa. Tässä kontekstissa tietoturvalla viitataan ...