Rahandusministeeriumi Infotehnoloogiakeskuse infosüsteemi turvalisuse suurendamine läbi automatiseeritud rakendustarkvara juurutamise

Lõputöö teemaks oli valitud Rahandusministeeriumi Infotehnoloogiakeskuse infosüsteemi turvalisuse suurendamine läbi automatiseeritud rakendustarkvara juurutamise. Lõputöö tulemusel arendati ja juurutati RMIT-i infoturbeosakonnale suunatud rakendustarkvara PASS. Autor täitis lõputöö käigus mitut rolli, olles projektijuht ja arendaja. Lõputöö esimeses peatükis kirjeldab autor lõputöös kasutatud metoodikaid ja raamistikke. Kasutatud metoodikate ja raamistike selgituste ning põhjendustega on võimalik tutvuda vastavete peatükkide juures. Teises peatükis tõi autor välja asutuse hetkeolukord, kus kirjeldas juurutatud rakendustarkvarale eelnenud haavatavate ja keelatud tarkvarade avastamise viise, põhjendas vajadust automaatse järelvalve vahendi järgi, tuginedes avaliku teabe seadusest tulenevate nõuetele ja kirjeldas loodava rakendustarkvara toimimise prosessi. Kolmandas peatükis kirjeldas autor rakendustarkvarale esitatud nõudeid ja nende kaardistamise meetodeid. Kaardistamine viidi läbi FURPS+ meetodil, kaardistamisel osales lisaks autorile ka tellija ja tooteomanik. Kaardistamise tulemused kirjeldati kasutajalugudes, kasutusjuhtumites ja FURPS+ tabelis. Lisaks võrdles autor erinevaid projektijuhtimise raamistikke ja selgitas, miks on agiilne projektijuhtimine antud arendusprojekti läbiviimiseks kõige sobivaim metoodika. Agiilse projektijuhtimise eelistamise põhjuseks on tööprotsessi jagamine iteratsioonideks, mis võimaldab projekti kohanduda muutustele. Lisaks viies põhirõhu arendustegevustele ja kliendisuhtlusele, jättes dokumenteerimisele traditsioonilise meetodiga võrreldes väiksema osatähtsuse, oli võimalik tellijat hoida kursis projekti erinevate etappiga. Neljandas peatükis võrdles autor rakendustarkvara arendamiseks erinevaid arendus ja testimise raamistikke ning põhjendas, miks on ekstreemprogrammeerimine arendusmetoodika ja agiilne testimismetoodika arendus ning testimise etapis sobivaim. Lisaks kirjeldas autor loodud rakendustarkvara tulemuslikkust ja võrdles funktsionaalseid eeliseid projektieelse lahendusega. Ekstreemprogrammeerimise arendusmetoodika eelistamise põhjuseks on antud metoodika väga lühikesed iteratsiooni koos väikese arendusmeeskonnaga. Programmeerimis keeleks ostus Powershell, mis võimaldas rakendustarkvara toimimiseks vajaminevate erinevaid komponente omavahel kerge vaevaga liidestada, lihtsustades arendustöid. Agiilse testimismetoodika kasuks osutus valik soovist testida rakendustarkvara üksikkomponente, võimaldades teha testide tulemuste põhjal täiendusi komponentides. Tellija nõuetest tulenevalt, tuli rakendustarkvarale teostada ka koormustestid, mille tulemusena suudeti optimeerida rakendustarkvara ressursi kasutust märgatavalt. 36 Lõputöös kirjeldatud rakendustarkvara tulemused peegeldavad testkeskkonnas tulemusi kuna tootekeskkonna tulemused olid ka tellija jaoks ootamatud ning nende avalikustamine võib põhjustada otsest mainekahju. Viiendas peatükis tõi autor välja lõputöö tulemusel tehtavad järeldused, andis hinnangu kasutatud projektijuhtimismetoodikale ning tõi esile soovitused rakendustarkvara edasiarendamise võimaluste ja jätkusuutlikkuse kohta. Lähtuvalt uuringu tulemustest tehti autori poolt uuritavale asutusele järgnevad põhjendatud ettepanekud.

1. Kasutada sarnaste arendusprojektide puhul agiilset projektijuhtimise metoodikat.
2. Autor soovitab tulevikus tellida loodud rakendustarkvarale lisaarendust automatiseerimaks tarkvarade haavatavuse kriitilisuse ja skoori määramist vastu usaldusväärset haavatavust andmebaasi.
3. Laiendada loodud rakendustarkvara kasutust klientide arvutite suunal. Autori hinnangul täideti kõik lõputööle seatud eesmärgid. Lõputöö tulemusena on arendatud ja juurutatud Rahandusministeeriumi Infotehnoloogiakeskuse jaoks töökoha tarkvarade kasutuse auditeerimiseks automatiseeritud järelvalve vahend, misläbi on võimalik tuvastada inimlikust eksimusest või teadmatusest tulenevad haavatavate ja keelatud tarkvarade kasutus.

The title of the thesis is Increasing the security of the information system of the Information Technology Center of the Ministry of Finance of Estonia through the implementation of automated application software. This Document consist of 58 pages and 5 chapters: Thesis methodology, AS-IS description of the use of the workstation software and description for the To-Be solution, initiation and planning of development project PASS, implementation of the software development project PASS and conclusions and proposals arising from the research. This thesis is based on 72 references. All the references are digital articles, books and Publications written in English and Estonian. The thesis contains 10 figures, 6 tables and 2 pictures. The goal of the thesis is to implement through software development project an application software, which detects vulnerable and prohibited software from the end users’ computers and to evaluate the effectiveness of the project. The following tasks are set to fulfill the goal of the thesis: • To explain the need for an automated monitoring solution • To describe the process of the solution to be created • To map the client's requirements to the application software being created • To create an application software implementation plan and to describe the implementation process. • To create and implement application software that meets the customer's requirements. • To evaluate the performance of the implemented application software. Author uses use cases, user stories and FURPS+ methodology to describe the requirements of application software. Agile project management methodology was used as the most suitable project management methodology for software development project. Extreme programming methodology, unit testing, usability testing, load testing and integration testing were used for testing. Powershell scripting language was used to create the application software because of it is the most compatible language in the existing system environment. For implementing the created application software an agile software implementation methodology was used and its benefits were explained in the thesis. The published results described in this thesis reflect the results from test environment due to the possibility to cause a reputational damage to the institution. 38 As a result of this thesis, the author made the following suggestions. • Use agile project management methodology for similar development projects. • Author recommends that in the future, additional development of the application software is requested to automate the criticality and scoring of the software vulnerabilities against a reliable vulnerability database. • To expand the use of the created application software for clients’ computers. Based on the author’s opinion, all the goals set for the thesis were achieved. As a result of this thesis, an application software has been developed and implemented as an automated supervision solution to detect the use of vulnerable and prohibited software resulting from human error or lack of knowledge.