Henkilörekistereiden tietosuojavaatimukset ja niiden toteuttaminen DLP-ratkaisuilla
Pessinen, Riku (2013)
Pessinen, Riku
Metropolia Ammattikorkeakoulu
2013
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2013091815380
https://urn.fi/URN:NBN:fi:amk-2013091815380
Tiivistelmä
Tämän Santa Monica Networks Oy:lle tehdyn insinöörityön tarkoituksena oli selvittää, millaisia vaatimuksia Euroopan komission ehdottama tietosuoja-asetus 2012/0011 sekä valtioneuvoston tietoturva-asetus 681/2010 asettavat ja miten asetusten edellyttämät vaatimukset voidaan toteuttaa.
Työssä tarkasteltiin asetusten sisältöä, jonka perusteella huomattiin, että asetukset edellyttävät huomattavia tietoturvavaatimuksia henkilörekistereiden käsittelyyn liittyen. Arkaluonteinen tieto on yksiselitteisesti suojattava, ja on estettävä sen tuhoutuminen, luvaton leviäminen, muuttaminen ja tiedonsaanti. Työssä kartoitettiin yleisimpiä tietovuotoriskejä, tietovuodon kustannuksia ja mahdollisuuksia tietovuotojen estämiseen. Tämän perusteella huomattiin, että tietovuotoja voi estää tietoja käsittelevien henkilöiden tietoturvakoulutuksella sekä teknisillä ratkaisuilla.
Työssä selvitettiin, millaisia vaatimuksia teknisiltä ratkaisuilta vaaditaan, ja todettiin, että DLP-ratkaisu on todennäköisin vaihtoehto tietovuotojen estämiseen. Tämän selvittämiseksi työssä testattiin kahden laitevalmistajan DLP-ratkaisuja: Check Pointin gateway-ratkaisua ja McAfeen endpoint-ratkaisua. Testin perusteella havaittiin, että DLP-ratkaisu soveltuu asetusten edellyttämien vaatimusten toteuttamiseen.
Työssä tarkasteltiin myös DLP-ratkaisujen markkinakehitystä sekä pohdittiin, mitä DLP-ympäristö ja sen käyttöönotto vaatii. Tällöin huomattiin, että toimivaan DLP-ympäristöön tarvitaan sekä gateway- että endpoint-ratkaisu. Lisäksi havaittiin, että DLP-ratkaisun käyttöönottoon on varattava reilusti aikaa, jotta siitä saadaan toimiva kokonaisuus.
Työssä tarkasteltiin asetusten sisältöä, jonka perusteella huomattiin, että asetukset edellyttävät huomattavia tietoturvavaatimuksia henkilörekistereiden käsittelyyn liittyen. Arkaluonteinen tieto on yksiselitteisesti suojattava, ja on estettävä sen tuhoutuminen, luvaton leviäminen, muuttaminen ja tiedonsaanti. Työssä kartoitettiin yleisimpiä tietovuotoriskejä, tietovuodon kustannuksia ja mahdollisuuksia tietovuotojen estämiseen. Tämän perusteella huomattiin, että tietovuotoja voi estää tietoja käsittelevien henkilöiden tietoturvakoulutuksella sekä teknisillä ratkaisuilla.
Työssä selvitettiin, millaisia vaatimuksia teknisiltä ratkaisuilta vaaditaan, ja todettiin, että DLP-ratkaisu on todennäköisin vaihtoehto tietovuotojen estämiseen. Tämän selvittämiseksi työssä testattiin kahden laitevalmistajan DLP-ratkaisuja: Check Pointin gateway-ratkaisua ja McAfeen endpoint-ratkaisua. Testin perusteella havaittiin, että DLP-ratkaisu soveltuu asetusten edellyttämien vaatimusten toteuttamiseen.
Työssä tarkasteltiin myös DLP-ratkaisujen markkinakehitystä sekä pohdittiin, mitä DLP-ympäristö ja sen käyttöönotto vaatii. Tällöin huomattiin, että toimivaan DLP-ympäristöön tarvitaan sekä gateway- että endpoint-ratkaisu. Lisäksi havaittiin, että DLP-ratkaisun käyttöönottoon on varattava reilusti aikaa, jotta siitä saadaan toimiva kokonaisuus.