61 resultados para information security policy
Resumo:
Finnish Defence Studies is published under the auspices of the National Defence College, and the contributions reflect the fields of research and teaching of the College. Finnish Defence Studies will occasionally feature documentation on Finnish Security Policy. Views expressed are those of the authors and do not necessarily imply endorsement by the National Defence College.
Resumo:
Finnish Defence Studies is published under the auspices of the National Defence College, and the contributions reflect the fields of research and teaching of the College. Finnish Defence Studies will occasionally feature documentation on Finnish Security Policy. Views expressed are those of the authors and do not necessarily imply endorsement by the National Defence College.
Resumo:
Finnish Defence Studies is published under the auspices of the National Defence University, and the contributions reflect the fields of research and teaching of the University. Finnish Defence Studies will occasionally feature documentation on Finnish Security Policy. Views expressed are those of the authors and do not necessarily imply endorsement by the National Defence University.
Resumo:
Tietoturvallisuuden hallintajärjestelmä on organisaation laatujärjestelmän osa, joka keskittyy tietoturvallisuuteen liittyvien riskien hallintaan. Tässä työssä esitellään erityisesti terveydenhuoltoalaan liittyviä tietoturvavaatimuksia ja vertaillaan kuutta tietoturvallisuuden hallintajärjestelmämallia. Työssä tutkitaan millaisia eroja tietoturvallisuuden hallintajärjestelmien rakenteessa ja kattavuudessa on ja miten ne kykenevät vastaamaan terveydenhuoltoalan tietoturvaan liittyviin erityistarpeisiin. Lopputuloksena valitaan parhaiten soveltuva tietoturvallisuuden hallintajärjestelmä esimerkkiorganisaatiolle, joka on julkisomisteinen kuntoutusyhtiö. Arvioitavia hallintajärjestelmämalleja ovat TCSEC, ITSEC, Common Criteria, SOGP, VAHTI-ohjeet sekä ISO/IEC 27001 -standardiperhe. Tietoturvallisuuden hallintajärjestelmämalleja verrataan kahdesta aiemmasta tutkimuksesta sovellettujen vertailumallien pohjalta. Vertailun perusteella todetaan TCSEC, ITSEC ja Common Criteria –standardien olevan muita arvioituja hallintajärjestelmämalleja suppeampia ja soveltuvan parhaiten tekniseen tuotekehitystoimintaan. Laajempia SOGP-, VAHTI- ja ISO/IEC 27001 –malleja verrataan vielä erikseen terveydenhuollon sekä esimerkkiyrityksen erityistarpeisiin nähden ja lopputuloksena päädytään valitsemaan esimerkkiyritykselle parhaiten soveltuvaksi hallintajärjestelmämalliksi ISO/IEC 27001.
Resumo:
Varmuuskopiointi ja tietoturva suomalaisessa mikroyrityksessä ovat asioita, joihin ei usein kiinnitetä riittävää huomiota puuttuvan osaamisen, kiireen tai liian vähäisten resurssien takia. Tietoturva on valittu erääksi työn tutkimusaiheeksi, koska se on ajankohtainen ja paljon puhuttu aihe. Toiseksi tutkimusaiheeksi on valittu varmuuskopiointi, sillä se liittyy hyvin vahvasti tietoturvaan ja se on pakollinen toimenpide yrityksen liiketoiminnan jatkuvuuden takaamiseksi. Tässä työssä tutkitaan mikroyrityksen tietoturvaa ja pohditaan, miten sitä voidaan parantaa yksinkertaisilla menetelmillä. Tämän lisäksi tarkastellaan mikroyrityksen varmuuskopiointia ja siihen liittyviä asioita ja ongelmia. Työn tavoitteena on tietoturvan ja varmuuskopioinnin tutkiminen yleisellä tasolla sekä useamman varmuuskopiointiratkaisuvaihtoehdon luominen kirjallisuuden ja teorian pohjalta. Työssä tarkastellaan yrityksen tietoturvaa ja varmuuskopiointia käyttäen hyväksi kuvitteellista malliyritystä tutkimusympäristönä, koska tällä tavalla tutkimusympäristö voidaan määritellä ja rajata tarkasti. Koska kyseiset aihealueet ovat varsin laajoja, on työn aihetta rajattu lähinnä varmuuskopiointiin, mahdollisiin tietoturvauhkiin ja tietoturvan tutkimiseen yleisellä tasolla. Tutkimuksen pohjalta on kehitetty kaksi mahdollista paikallisen varmuuskopioinnin ratkaisuvaihtoehtoa ja yksi etävarmuuskopiointiratkaisuvaihtoehto. Paikallisen varmuuskopioinnin ratkaisuvaihtoehdot ovat varmuuskopiointi ulkoiselle kovalevylle ja varmuuskopiointi NAS (Network Attached Storage) -verkkolevypalvelimelle. Etävarmuuskopiointiratkaisuvaihtoehto on varmuuskopiointi etäpalvelimelle, kuten pilvipalveluun. Vaikka NAS-verkkolevypalvelin on paikallisen varmuuskopioinnin ratkaisu, voidaan sitä myös käyttää etävarmuuskopiointiin riippuen laitteen sijainnista. Työssä vertaillaan ja arvioidaan lyhyesti ratkaisuvaihtoehtoja tutkimuksen pohjalta luoduilla arviointikriteereillä. Samalla esitellään pisteytysmalli ratkaisujen arvioinnin ja sopivan ratkaisuvaihtoehdon valitsemisen helpottamiseksi. Jokaisessa ratkaisuvaihtoehdossa on omat hyvät ja huonot puolensa, joten oikean ratkaisuvaihtoehdon valitseminen ei ole aina helppoa. Ratkaisuvaihtoehtojen sopivuus tietylle yritykselle riippuu aina yrityksen omista tarpeista ja vaatimuksista. Koska eri yrityksillä on usein erilaiset vaatimukset ja tarpeet varmuuskopioinnille, voi yritykselle parhaiten sopivan varmuuskopiointiratkaisun löytäminen olla vaikeaa ja aikaa vievää. Tässä työssä esitetyt ratkaisuvaihtoehdot toimivat ohjeena ja perustana mikroyrityksen varmuuskopioinnin suunnittelussa, valinnassa, päätöksen teossa ja järjestelmän rakentamisessa.
Resumo:
Suomi luopui puolueettomuuspolitiikasta turvallisuuspoliittisena linjanaan kun se liittyi Euroopan unioniin ennen kaikkea turvallisuussyistä. Vaikka Suomi on EU-jäsenyyden myötä poliittisesti liittoutunut ja vaikka se on jatkuvasti laajentanut ja syventänyt yhteistyötään NATOn kanssa, Suomi on yhä sotilaallisesti liittoutumaton valtio. Suomen turvallisuuspoliittinen toimintaympäristö on ollut poikkeuksellisen vakaa kylmän sodan jälkeen ennen kaikkea siksi, että maailman voimakkain suurvalta Yhdysvallat on yhä sotilaallisesti läsnä Euroopassa ja Euroopan integraatio on jatkunut ja syventynyt. Suomi on sitonut nykyisen turvallisuuspoliittisen linjansa turvallisuusympäristönsä pysyvyyteen. Viime vuosina NATOn laajentuminen entisen Neuvostoliiton alueelle on voimistanut läntisten suurvaltojen ja Venäjän välistä valtakamppailua ja turvallisuuskilpailua Suomen lähialueella. Viimeistään Ukrainan konflikti on tehnyt ajankohtaiseksi myös kysymyksen Suomen sotilaallisesta liittoutumisesta. Tässä artikkeliteoksessa turvallisuuspolitiikan asiantuntijat analysoivat keskeisimpien ulkoisten toimijoiden – EU:n, Ruotsin, Viron, Venäjän, Yhdysvaltojen ja NATOn – merkitystä Suomen turvallisuuspoliittisen toimintaympäristön vakaudelle ja Suomen turvallisuudelle sekä pohtivat, onko Suomen syytä muuttaa nykyistä turvallisuuspoliittista linjaansa turvallisuusympäristössä tapahtuneiden muutosten vuoksi. Kirjoittajat myös arvioivat Suomen mahdolliseen sotilaalliseen liittoutumiseen liittyviä etuja ja haittoja verrattuna nykyiseen turvallisuuspoliittiseen ratkaisuun. Teoksen kirjoittajien toisistaan poikkeavat näkemykset Suomen turvallisuuspoliittisen toimintaympäristön vakaudesta, NATOn laajentumisen vaikutuksista Itämeren alueella, Venäjän valtapolitiikasta ja sen Suomelle muodostaman sotilaallisen uhan voimakkuudesta, NATOn pelotteen uskottavuudesta ja Yhdysvaltojen sitoutumisesta liittolaistensa puolustamiseen sekä Suomen NATO-jäsenyyden eduista ja haitoista valaisevat laajasti kysymystä Suomen turvallisuudesta ja turvallisuuspoliittisesta ratkaisusta. Suomelle sen geopoliittinen asema Venäjälle strategisesti elintärkeiden Kuolan alueen ja Pietari–Moskova-ydinalueen välittömässä läheisyydessä on ongelmallinen maan turvallisuuden kannalta. Suurvalta Venäjä onkin edelleen keskeisin Suomen turvallisuuteen ja turvallisuuspoliittiseen ratkaisuun vaikuttava ulkoinen toimija. Neuvostoliiton hajoamisen jälkeen Suomella on ollut ainutlaatuinen mahdollisuus liittoutua Yhdysvaltojen kanssa NATO-jäsenyyden myötä Venäjän potentiaalista sotilaallista uhkaa vastaan. Toisaalta Suomella ei kuitenkaan ole ollut pakottavaa tarvetta siihen, koska se on välillisesti hyötynyt Yhdysvaltojen suurstrategiasta Euroopassa ja koska Venäjän valtapolitiikka on kohdistunut ennen kaikkea entisen Neuvostoliiton alueelle. Vaikka Ukrainan konflikti onkin lisännyt poliittista ja sotilaallista jännitettä Itämeren alueella, tämän teoksen perusteella on kuitenkin mahdotonta antaa yksiselitteistä vastausta siihen, pitäisikö Suomen sen turvallisuuspoliittisessa toimintaympäristössä tapahtuneen muutoksen seurauksena liittyä NATOn jäseneksi vai ei. Halutessaan Suomi voi siis edelleen jatkaa nykyisellä turvallisuuspoliittisella linjallaan sotilaallisesti liittoutumattomana valtiona, mutta samalla sen täytyy kuitenkin pitää myös sotilaallinen liittoutuminen avoimena turvallisuuspoliittisena vaihtoehtona tulevaisuudessa.
Resumo:
Tämän tutkimuksen päätavoitteena oli luoda laskentamalli identiteetin- ja käyttöoikeuksien hallintajärjestelmien kustannus- ja tulosvaikutuksista. Mallin tarkoitus oli toimia järjestelmätoimittajien apuvälineenä, jolla mahdolliset asiakkaat voidaan paremmin vakuuttaa järjestelmän kustannushyödyistä myyntitilanteessa. Vastaavia kustannusvaikutuksia mittaavia malleja on rakennettu hyvin vähän, ja tässä tutkimuksessa rakennettu malli eroaa niistä sekä järjestelmätoimittajan työkustannusten että tietoturvariskien huomioimisen osalta. Laskentamallin toimivuuden todentamiseksi syntynyttä laskentamallia testattiin kahdessa yrityksessä, joiden käytössä on keskitetty identiteetinhallintajärjestelmä. Testaus suoritettiin syöttämällä yrityksen tiedot laskentamalliin ja vertaamalla mallin antamia tuloksia yrityksen havaitsemiin kustannusvaikutuksiin. Sekä kirjallisuuskatsauksen että laskentamallin testaamisen perusteella voidaan todeta, että identiteetinhallintaprosessin merkittävimmät kustannustekijät ovat identiteettien luomiseen ja muutoksiin kuluva työaika sekä näiden toimintojen aiheuttama työntekijän tehokkuuden laskeminen prosessin aikana. Tutkimuksen perusteella keskitettyjen identiteetinhallintajärjestelmien avulla on mahdollista saavuttaa merkittäviä kustannussäästöjä identiteetinhallintaprosessin toiminnoista, lisenssikustannuksista sekä IT-palvelukustannuksista. Kaikki kustannussäästöt eivät kuitenkaan ole konkreettisia, vaan liittyvät esimerkiksi työtehokkuuden nousemiseen järjestelmän ansiosta. Kustannusvaikutusten lisäksi identiteetinhallintajärjestelmät tarjoavat muita hyötyjä, joiden rahallisen arvon laskeminen on erittäin haastavaa. Laskentamallin käytön haasteina ovatkin konkreettisten ja epäsuorien kustannussäästöjen tunnistaminen ja arvottaminen sekä investoinnin kokonaishyötyjen arvioinnin vaikeus.
Resumo:
Poliisin rakenneuudistus Pora III ja Puolustusvoimauudistus 2011–2015 ovat olleet viime vuosien esimerkkejä julkisen sektorin työn tehostamisen vaatimuksista. Sekä Puolustusvoimilla että poliisilla, kahdella turvallisuusalan viranomaistaholla, on lakisääteiset tehtävänsä, jotka tulee työn tehostamisen vaatimuksista huolimatta suorittaa. Turvallisuusala yksityistyy vauhdilla, ja keskustelua käydään siitä, mitä tehtäviä viranomainen hoitaa itse, mitä annetaan kaupallisen toimijan tai järjestöjen hoidettavaksi ja mistä kansalainen vastaa itse jatkossa. Resurssi- ja tehostamisvaatimuksia mietittäessä nousee esille upseereiden kohdalla koko maan puolustus ja turvaaminen. Kyetäänkö tämän tehtävän täyttämiseen mahdollisessa sotatilanteessa enää nykyisellä tai mahdollisesti vähenevällä resursoinnilla? Poliisitoimen osalta vasteajat eri puolilla Suomea puhuttavat, samoin se, miten tehtäviä priorisoidaan hoidettavaksi. Saavatko kansalaiset enää perusoikeuksiinsa kuuluvaa arjen turvallisuutta, jonka vielä tänä päivänä katsotaan kuuluvan valtion perustehtäviin? Viranomaisten pitäisi tutkimukseen valittujen aineistojen sekä lakien perusteella hoitaa tehtävänsä laadukkaasti ja tasa-arvoisesti kaikkialla Suomessa. Nykyiset sisäistä ja ulkoista turvallisuutta käsittelevät asiakirjat, esimerkiksi strategiat, puhuvat laajasta turvallisuuskäsityksestä, sisäisen ja ulkoisen turvallisuuden rajojen hämärtymisestä globalisoitumisen seurauksena ja lisääntyvästä poikkihallinnollisesta yhteistyöstä toimintaa ohjaavana ajattelumallina. Viranomaisyhteisyötä tulisi lisätä osana normaalia toimintaa, samoin yhteistyötä järjestöjen, elinkeinoelämän ja jokaisen kansalaisen kanssa. Valtioneuvoston tulevaisuusselonteossa (2013) peräänkuulutetaan uusia, innovatiivisia tapoja hoitaa sekä valtion että kuntien tehtäviä. Yhteisen toiminnan kohteen eli laajan turvallisuuskäsityksen viitekehyksessä on mahdollisuus pohtia uudenlaista turvallisuusalan viranomaisyhteistyötä, eli etsiä perusteluja upseeri- ja poliisiprofession syvemmälle yhteistyölle – yhteiskehittelylle. Tutkimukseni tavoitteena on herätellä keskustelua siitä, onko yhteisen toiminnan kohteen löytymiselle edellytyksiä. Nähtävissä on, että valtiolle kuuluvia toimintoja tehostetaan jatkossakin. Yksi järkevä tapa tehostamisessa on löytää töiden rajapintoja ja yhdistää resurssit näiden osalta. Jotta toiminta olisi tehokasta, sen pitää olla osa jokapäiväistä toimintaa eikä perustua vain muutamiin yhteistoimintaharjoituksiin tai jo tapahtuneiden poikkeustilanteiden hoitoon. Suurin osa kriisiajan toiminnasta perustuu normaaliolojen toimintaan, jolloin sen lähtökohdat voisivat olla yhteisessä työssä ja alkaa jo koulutuksesta, mikä nostetaan tässä työssä yhtenä mahdollisuutena esille. Koulutuksellinen yhteistyö ja liikkuvuus ovat eurooppalaisen tutkintojen viitekehyksen perusteella mahdollista myös kahden eri hallinnonalan koulutuksessa. Tällaista koulutuksen tehostamista haetaan tällä hetkellä muualla yhteiskunnassa. Mutta halutaanko omasta toiminnasta ja tehtävistä luopua edes osittain ja tehdä yhteistyötä mahdollisesti oman työn hallinnan, vallan tai resurssien menettämisen pelossa? Vai onko kyse vain siitä, että yhteistyön syventämiselle ei ole nähty kovinkaan suurta tarvetta tai hyötyä eikä yhteistyö näytä tuovan mitään uutta ammattikuntien osaamiseen? Tutkimuksen aineisto koostuu valtionhallinnon aineistoista, kuten strategioista, mietinnöistä ja raporteista niin sisäisen kuin ulkoisen turvallisuuden alalta. Aineistona käytetään myös upseeri- (n=71) ja poliisipäällystöopiskelijoille (n=65) suunnattua kyselyä ja kirjoitelmaa tulevaisuuden turvallisuusasiantuntijuudesta vuonna 2030. Lisäksi opiskelijavastauksista tehtyä analyysia syvennetään molempien korkeakoulujen (Maanpuolustuskorkeakoulu ja Poliisiammattikorkeakoulu) rehtoreiden sekä molempien hallinnonalojen (puolustusministeriö sekä sisäministeriö) kansliapäälliköiden haastatteluilla. Aineistojen avulla pyritään herättelemään ajatuksia siitä, voisiko yhteisiä töitä löytyä yhteistyön pohjaksi. Tarkoituksena on perustella, miksi yhteistyötä kannattaa tehdä ja ikään kuin vastata etukäteen vastaväitteisiin, miksi sitä ei voitaisi tehdä. Strategioiden yhteistyön tahtotilaa verrataan muihin strategioiden toimenpide ehdotuksiin ja sitä kautta vielä kyselyaineistoon. Opiskelijakyselyllä haetaan näkemyksiä tulevaisuuden turvallisuusasiantuntijuudesta ja mahdollisesta yhteistyöstä sekä sen painopisteistä. Muilla asiantuntijahaastatteluilla haetaan korkeakoulujen sekä ministeriön tason näkemyksiä opiskelijoiden mielipiteisiin. Opiskelijakyselyn avulla on haluttu selvittää sitä, mitä jo työelämässä olleet mutta vaihteeksi opiskelevat sotatieteiden maisteriopiskelijat Maanpuolustuskorkeakoulussa ja poliisin päällystötutkinnon opiskelijat Poliisiammattikorkeakoulussa ajattelevat turvallisuusalan ja -asiantuntijuuden muutoksesta. Minkälaisena he näkevät oman tulevan työnsä ja yhteistyökentän muiden viranomaisten kanssa? Selvää opiskelijavastausten mukaan on se, että turvallisuus halutaan pitää jatkossakin viranomaisen vastuulla ja välttää viimeiseen asti yksityisen sektorin liiallista vastuuta enempää kuin on pakko. Yhteistyötä halutaan edelleen lisätä, ja erityisesti tämä koskee viranomaisten välistä yhteistyötä. Tutkimus on tietoisesti rajattu koskemaan kahta turvallisuusalan viranomaistoimijaa, ammattikorkeakoulutuksen käyneitä poliiseja ja Puolustusvoimien Maanpuolustuskorkeakoulussa opiskelevia upseereita, joiden tehtävistä ja koulutuksesta on löydettävissä yhteisiä rajapintoja ja yhteistyön alueita. Kiinnostus syventyä valittuun kahteen ammattialaan johtuu myös siitä, että usein esimerkiksi sisäasianhallinnon strategioissa Puolustusvoimat jätetään ulkopuolelle varsinkin normaaliolojen yhteistyötä tarkasteltaessa tai vain yksittäisen maininnan asteelle. Sama huomio on havaittavissa puolustushallinnon strategioista. Tämä nousee esille erityisesti alueellista yhteistyötä tai viranomaisyhteistyötä pohdittaessa. Silti sekä sisäministeriön että puolustusministeriön hallinnonalan strategiat ym. perustuvat laajaan turvallisuuskäsitykseen, ja usein eri ammattikuntia analysoitaessa puhutaan tehtävistä, joita tekevät useat ammattikunnat ja professiot. Puhutaan niin sanotuista harmaista alueista. Ministeriöiden tahtotilassa ja toiminnassa on tutkimukseni mukaan nähtävissä ristiriita. Koulutuksen osalta yhteistyön lisääminen on mahdollista etenkin nyt, kun Poliisiammattikorkeakoulussa peruskoulutus on muuttunut ammattikorkeakoulutasoiseksi ja näin tämän ammattikunnan professioasema koulutuksen näkökulmasta on vahvistunut entisestään. Käsittelenkin tutkimuksessani kahta professiota professiotutkimuksen perinteisiä kriteereitä käyttäen, eli rinnastaessani näitä kahta ammattia. Rinnastettavuus koulujen kesken on tullut mahdolliseksi sekä tutkintojen että osaamisen tarkastelun näkökulmasta. Tämän myötä myös molempia korkeakouluja hyödyttävää yhteistyötä olisi mahdollista miettiä osana muutakin hallinnon tehostamista ja rauhan ajan viranomaistoimintaa.
Resumo:
Doctoral dissertation, University of Joensuu
Resumo:
Tämä diplomityö käsittelee sääntöpohjaisen verkkoon pääsyn hallinnan (NAC) ratkaisuja arkkitehtonisesta näkökulmasta. Työssä käydään läpi Trusted Computing Groupin, Microsoft Corporationin, Juniper Networksin sekä Cisco Systemsin NAC-ratkaisuja. NAC koostuu joukosta uusia sekä jo olemassa olevia teknologioita, jotka auttavat ennalta määriteltyyn sääntökantaan perustuen hallitsemaan suojattuun verkkoon pyrkivien laitteiden tietoliikenneyhteyksiä. Käyttäjän tunnistamisen lisäksi NAC pystyy rajoittamaan verkkoon pääsyä laitekohtaisten ominaisuuksien perusteella, esimerkiksi virustunnisteisiin ja käyttöjärjestelmäpäivityksiin liittyen ja paikkaamaan tietyin rajoituksin näissä esiintyviä puutteita verkkoon pääsyn sallimiseksi. NAC on verraten uusi käsite, jolta puuttuu tarkka määritelmä. Tästä johtuen nykymarkkinoilla myydään ominaisuuksiltaan puutteellisia tuotteita NAC-nimikkeellä. Standardointi eri valmistajien NAC-komponenttien yhteentoimivuuden takaamiseksi on meneillään, minkä perusteella ratkaisut voidaan jakaa joko avoimia standardeja tai valmistajakohtaisia standardeja noudattaviksi. Esitellyt NAC-ratkaisut noudattavat standardeja joko rajoitetusti tai eivät lainkaan. Mikään läpikäydyistä ratkaisuista ei ole täydellinen NAC, mutta Juniper Networksin ratkaisu nousee niistä potentiaalisimmaksi jatkokehityksen ja -tutkimuksen kohteeksi TietoEnator Processing & Networks Oy:lle. Eräs keskeinen ongelma NAC-konseptissa on työaseman tietoverkolle toimittama mahdollisesti valheellinen tietoturvatarkistuksen tulos, minkä perusteella pääsyä osittain hallitaan. Muun muassa tähän ongelmaan ratkaisuna voisi olla jo nykytietokoneista löytyvä TPM-siru, mikä takaa tiedon oikeellisuuden ja koskemattomuuden.
Resumo:
We expose the ubiquitous interaction between an information screen and its’ viewers mobile devices, highlights the communication vulnerabilities, suggest mitigation strategies and finally implement these strategies to secure the communication. The screen infers information preferences’ of viewers within its vicinity transparently from their mobile devices over Bluetooth. Backend processing then retrieves up-to-date versions of preferred information from content providers. Retrieved content such as sporting news, weather forecasts, advertisements, stock markets and aviation schedules, are systematically displayed on the screen. To maximise users’ benefit, experience and acceptance, the service is provided with no user interaction at the screen and securely upholding preferences privacy and viewers anonymity. Compelled by the personal nature of mobile devices, their contents privacy, preferences confidentiality, and vulnerabilities imposed by screen, the service’s security is fortified. Fortification is predominantly through efficient cryptographic algorithms inspired by elliptic curves cryptosystems, access control and anonymity mechanisms. These mechanisms are demonstrated to attain set objectives within reasonable performance.
