Vaatimusmäärittely Carunan tietoturva-arkkitehtuurin kuvaamisesta ja hallinnasta

Abstract

Tämän tutkimuksen tarkoituksena on tutkia, mitä vaatimuksia Carunan tietoturva-arkkitehtuurille ja sen kuvaamiselle on sekä millainen arkkitehtuuriviitekehys tukee vaatimusten täyttämistä. Tutkimus toteutettiin haastattelemalla Carunan liiketoiminnan ja ICT:n työntekijöitä. Keskeisimpiä ylätason liiketoimintavaatimuksia ja -tavoitteita olivat erityisesti liiketoiminnan jatkuvuuden ja huoltovarmuuden turvaaminen, varautuminen jatkuvasti muuttuviin riskeihin ja uhkiin, jotka kohdistuvat erityisesti kriittisimpiin tietoihin, järjestelmiin ja ympäristöihin. Lisäksi tulee harjoitella ja testata palautustoimenpiteitä sekä varmistaa niiden riittävyys. Liiketoiminnan haastateltavat pitivät erittäin tärkeänä koko toimitusketjun tieto- ja kyberturvan varmistamista sekä Carunan henkilöstön toimimista tietoturvallisesti ja tietosuoja huomioiden. ICT:n haastatteluiden mukaan tietoturva-arkkitehtuurikuvauksen tulee käsitellä tieto- ja kyberturvaa monesta eri näkökulmasta ja monitasoisesti. Lisäksi sen tulee perustua liiketoiminnan vaatimuksiin sekä olla monen eri roolin ymmärrettävissä ja hyödynnettävissä erilaisissa käyttötarkoituksissa. Nykytilan kuvaamisen lisäksi kuvauksen tulee tehdä selkeitä linjauksia ja suuntaviivoja, jotka ohjaavat kaikkea tieto- ja kyberturvatoimintaa myös tulevaisuudessa. Kuvaus nähtiin tarpeelliseksi toteuttaa pääosin erillisenä nykyisistä kokonaisarkkitehtuurikuvauksista, mutta siten, että myös nykyisiä kuvauksia voidaan tarvittaessa hyödyntää. Ratkaisuehdotuksena Carunan tietoturva-arkkitehtuurin kuvaamiseen esitettiin SABSA-viitekehystä, sillä sen nähtiin tukevan parhaimmalla tavalla haastatteluissa esiin nousseiden vaatimusten ja tavoitteiden täyttämistä. SABSA:n ja esitettyjen vaatimusten mukainen tietoturva-arkkitehtuurikuvaus nähtiin olevan Carunan puolesta toteutettavissa ja sovellettavissa. SABSA tulee räätälöidä Carunan tarpeisiin sopivaksi sekä analysoida ja mukauttaa tämän tutkimuksen tulokset tarkemmalle ja teknisemmälle tasolle. Tietoturva-arkkitehtuurikuvauksen dokumentoinnin ja hallinnan toteutukseen vaikuttavat lähitulevaisuudessa taloudelliset resurssit, henkilöstöresurssit sekä käytettävissä oleva aika. Siksi Carunan tulee tehdä toimintasuunnitelma siitä, miten SABSA:a sovelletaan Carunalla, mistä dokumentointityö aloitetaan, missä järjestyksessä asioita kuvataan sekä ketkä työhön osallistuvat.