search query: @keyword risk analysis / total: 28
reference: 22 / 28
| Author: | Karsisto, Timo |
| Title: | Tietoturvariskianalyysin tehostaminen työkalun avulla |
| Intensifying Information Security Risk Analysis with a Tool | |
| Publication type: | Master's thesis |
| Publication year: | 2007 |
| Pages: | 101, [12] Language: fin |
| Department/School: | Sähkö- ja tietoliikennetekniikan osasto |
| Main subject: | Tietoverkkotekniikka (S-38) |
| Supervisor: | Kantola, Raimo |
| Instructor: | Nardone, Masimo |
| Electronic version URL: | http://urn.fi/urn:nbn:fi:tkk-007703 |
| OEVS: | Electronic archive copy is available via Aalto Thesis Database.
Instructions Reading digital theses in the closed network of the Aalto University Harald Herlin Learning CentreIn the closed network of Learning Centre you can read digital and digitized theses not available in the open network. The Learning Centre contact details and opening hours: https://learningcentre.aalto.fi/en/harald-herlin-learning-centre/ You can read theses on the Learning Centre customer computers, which are available on all floors.
Logging on to the customer computers
Opening a thesis
Reading the thesis
Printing the thesis
|
| Location: | P1 Ark Aalto 7279 | Archive |
| Keywords: | information security risk analysis ISO 17799 COBIT risk assessment tietoturva riskianalyysi ISO 17799 COBIT riski-/uhkakartoitus |
| Abstract (eng): | Today's information security challenges and threats require fast response time. Information security organisations responsibility is to respond to these challenges. Systematic information security management and effective information security organisation can prevent security incidents of happening and prepare organisation to operate within its defined goals and principals. In area of information security technical issues such as viruses and worms gain especially great attention. However information security is much wider concept. One goal of the thesis is to offer the reader a comprehensive picture of information security. Comprehensive understanding of information security is the base and prerequisite of analytical thinking. One of the information security organisation's tasks is to do risk analysis. The purpose of risk analysis is to prevent and acknowledge fundamental causes of risks in organisations systems, processes and people. Acknowledging and mitigating risks is crucial for the sake of the organisations security. Within this thesis we are going to get acquainted with information security, information security organisation and its tasks, risk management and risk analysis process. The goal of thesis is to develop an effective risk analysis tool. The tool has two sides: implemented standards and the working method. Chosen standards for the tool were ISO 17799, COBIT 4.0, BSI 100-3 and threat catalogues from VAHTI. Chosen method for the electronic tool was analysis method of potential problems (POA). The challenge with information security standards was to compress them and keep them still in comprehensive form. The challenge was also to fit the standard and its structures to the electronic tool. Fitting and implementing the standards to the tool succeeded well. The chosen method also turned out to be well fitted and effective. The developed tool was evaluated by information security professionals. The results show that the developed tool is well suited for its purpose. Flexibility of the content was found especially good feature. The tool was considered as a development platform where importing new content is easy. |
| Abstract (fin): | Nykypäivän tietoturvahaasteet ja uhkat vaativat nopeaa toimintaa. Tietoturvaorganisaation tehtävä on vastata näihin haasteisiin. Järjestelmällinen tietoturvanhallinta ja toimiva tietoturvaorganisaatio ja -työ voivat ennaltaehkäistä tietoturvavälikohtauksia sekä valmistaa organisaatiota toimimaan määrittelemänsä tavoitetason ja periaatteidensa mukaisesti. Erityisen suuren huomion kohteena tietoturvassa ovat tekniset yksityiskohdat kuten virukset ja madot. Tietoturva on kuitenkin huomattavasti laajempi käsite. Yksi työn tavoitteista on tarjota lukijalle kattava kuva mistä tietoturvassa on kyse. Tietoturvan kokonaisuuden ymmärtäminen on pohja ja edellytys analyyttiselle ajattelulle. Yksi tietoturvaorganisaation tehtävä on riskianalyysin tekeminen. Riskianalyysin tarkoituksena on ennaltaehkäistä ja löytää organisaation järjestelmistä, prosesseista ja ihmisistä perimmäisiä syitä riskeille ja ennenkaikkea ehkäistä näiden toteutumista. Riskien tiedostaminen ja niiden lieventäminen on välttämätöntä organisaation turvallisuuden kannalta. Tämän työn puitteissa tarkastellaan tietoturvaa, tietoturvaorganisaatiota, sen tehtäviä ja erityisesti riskienhallintaa ja riskianalyysiprosessia. Tavoitteena on kehittää tehokas työväline riskianalyysin suorittamiseen. Yhtäältä työkaluun tulee valita toteutettavat standardit ja toisaalta menetelmä, jolla työtä ohjataan. Työkaluun toteutettaviksi standardeiksi valittiin ISO 17799, COBIT 4.0, BSI 100-3 ja VAHTIn uhkalistoja. Sähköisen riskianalyysityökalun menetelmäksi valittiin oma variantti potentiaalisten ongelmien analyysistä (POA). Tietoturvastandardien puolesta haasteena oli saada tiivistettyä ja sovitettua standardit sähköiseen työkaluun sopivaksi. Standardeista pyrittiin valitsemaan ainoastaan ydinasiat ja ne pyrittiin esittämään mahdollisimman ymmärrettävässä muodossa. Standardien toteuttamisessa työkaluun onnistuttiin erinomaisesti. Työkaluun valittu menetelmä osoittautui myös tehokkaaksi ja tarkoitukseen sopivaksi. Kehitettyä työkalua arvioitiin asiantuntija-arviointien perusteella. Arviointitulosten perusteella työkalu sopii riskianalyysin tekemiseen erinomaisesti. Erityiskiitosta työkalussa sai sen joustavuus sisällön suhteen. Työkalua pidettiinkin ennen kaikkea kehitysalustana, johon on helppo tuoda uutta sisältöä. |
| ED: | 2007-02-20 |
INSSI record number: 33211
+ add basket
INSSI