TT-JOP-kehittely Tietoturvallisuuden erikoiskurssilla

Tällä sivulla on TTY:n opintojaksolle Tietoturvallisuuden erikoiskurssi (TLT-3800) syksyllä 2009 osallistuneiden kolmen opiskelijan panos TT-JOPin kehittelyyn. Seuraavasta kappaleesta alkaen sivu on kopio Moodle-alustalle omaan tahtiin tehdystä työstä, joka on opiskelijoilta vielä osittain kesken. Koska TT-JOPin kehittelyn on jatkuttava, kehitysehdotuksiin on reagoitu tavalla tai toisella ja joitakin kommentteja on merkitty tälle sivulle kursiivilla. Linkit ovat tehtävän annon aikaisiin versioihin, ja nimet on muutettu.

Tietoturvallisuuden erikoiskurssin erikoistehtävänä (2b) on arvioida TT-JOPille ehdotettua sisältörakennetta. Luodaan tehtävän ratkaisu kolmeen kohtaan tälle wiki-sivulle. Vaiheita on kaksi, ensin oma työ oman nimen kohdalle. Sitten kun niitä on näkyvissä, arvion arvio toisista jälkimmäisen oman nimen kohdalle. Omaa työtä voi toki muokata niin kauan kuin sitä ei ole arvioitu. Kirjailu kannattaa tehdä toisaalla ja vain tallentaa tähän, ettei esim. päällekkäinen työ tuota menetyksiä.

Yleisesti

Esitä yleiset huomiosi 11-osaisesta pääluokituksesta, ja erityisesti keksi ainakin kahteen luokkaan jokin nykyistä osuvampi otsikkoteksti (siis parempi kuin esim. "Paikallaan pysyvän" tietojenkäsittelyn turvaaminen ) ja ainakin kahteen (mahdollisesti eri) luokkaan nasevampi nimi kuin nyt on mainittu merkkausohjeen sivulla (uhkat, toimet, reaktio, yhteiskunta, yksilöt, hallinto, käytännöt, krypto, fyysinen, verkko, ATK). Jos luokituksen jossain kohdassa on jotain pielessä, esitä korjausehdotus.

Aarno:

Huomiot pääluokituksesta:

Jaottelu alkaa loogisesti, uhat (Miksi tietoturvaa) à mekanismit (Miten uhkien realisoituminen ehkäistään), jonka jälkeen käsitellään tietoturvaa eri tasoilla. Näkökulmien käsittely (Yksilö, yhteiskunta, yritystoiminta) voitaisiin ehkä siirtää yhden otsikon alle (=Sidosryhmät) à selkeyttäisi jaottelua. Verkko ja krypto voitaisiin myös yhdistää ns. tekniseksi osa-alueeksi. Myös jatkuvuussuunnittelua ja tietoturvan fyysistä puolta käsitellään usein yhdessä, joten fyysisen osion siirtäminen kohdan 3 jälkeen saattaisi toimia. Yhdistelyllä on hyvät puolensa, kuten on pilkkomisella. Carlin kommenttien yhteydessä on reaktio näiden väliltä.

Paremmat otsikkotekstit:

Toteutuvien uhkien käsittely -> Jatkuvuussuunnittelua uhkien varalle / Riskienhallintaa

Yhteiskunnan tietoturvaominaisuudet -> Tietoturvallisuuden merkitys yhteiskunnassa

Miten turvatoimet valitaan organisaatiossa -> Tietoturvallisuuden johtaminen

Tietoturvatoimet (kohta 2) -> Tietoturvamekanismit

Kohta 7 -> Tiedon merkitys

Paremmat nimet:

Mitä jos tuon nimilistan tekisi englanniksi? Selvemmän terminologian myötä se palvelisi oppimistarkoitusta myös englanninkielisen termistön myötä. Joissain suunnittelun vaiheissa englanninkielisiä vastineita on käytetty jaotteluissa. Arveltiin kuitenkin, että sanasto ja vastineen maininta määritelmän yhteydessä riittää ja pitää luettelot selkeämpinä.

Threat = T, Action = A, Reaction = R, Society = S, Individual = I, Governance = G, Practices = Pr, Crypto = C, Physical = Ph, Network = N, Automatic Data Processing = ADP

Mikäli lista on parempi suomenkielisenä, tässä muutamia ehdotuksia:

Tietoturvatoimet -> Tietoturvamekanismit

Yhteiskunta = Yh, Yksilö = Yk


Bertil:

Yleisiä huomioita
Alkaa loogisesti. Määritellään yleisesti, jonka jälkeen siirrytään tekemään tietoturvaa läheisemmäksi siirtymällä yksilön ja yhteisön TT kysymyksiin. Lopussa käsitellään loogisesti kuinka näitä kohdistuvia uhkia voidaan torjua eri menetelmillä. Rakenne on kaiken kaikkiaan hyvin kattava, ja se etenee selkeästi eteenpäin.
Kappaleista sijoittaisin kappaleet 4. ja 5. toisinpäin. Tämä siksi, että kappale 4. on enemmän vielä pohjustamista ja yleistä tietoa tietoturvallisuutta. Tämän jälkeen olisi luonnollisempaa siirtyä yhteiskunnan tietoturvaominaisuuksiin. Sillä näihin ominaisuuksiin vaikuttaa suuresti muun muassa etiikka ja TT-kulttuuri. Tämä on mielenkiintoinen ehdotus ja sitä harkittiin vakavasti. Didaktisesti eli opetuksen jäsentelyn kannalta esitysjärjestys voisi ollakin toinen. Tässä on kuitenkin parempi lohkaista ensin mahdollisimman selkeärajaisia palasia kentästä, ja 4 on selkeämpi kuin 5.


Ehdotukset uusiksi otsikkoteksteiksi:
- 1. Tietoturvallisuuden määrittelyä uhkien kautta -> Tietoturvan määrittely. Lyhyempi ja osuvampi otsikko, joka kyllä kertoo mitä kappale sisältää. _...mutta jättäisi uhkien näkökulmaaan keskittymisen sivuun._
- 6. Miten turvatoimet valitaan ja hallitaan organisaatiossa? -> Tietoturvallisuuden hallinnointi.
- 7. Millainen on tietoturvallinen tapa käyttää ja operoida tietoja ja järjestelmiä? -> Prosessien tietoturva _Tämä johdattelisi ajatukset aika lailla muualle kuin on tarkoitus._

Nasevat luokat:
Yhden kirjaimen lyhenteet eivät toimi. Jos näitä käytetään lukija joutuu todennäköisesti selaamaan koko ajan ja tarkistamaan mistä lyhenteestä puhutaan. Lyhenteet eivät siis ole loogisia. Etenkin, kun lyhenteet tulevat kahdesta eri kielestä.
1. U- Uhkat -> Uhk
4. Y- Yhteiskunta -> Yht
5. I- Yksilöt -> Yks (I = minä englanniksi tai 1 niinkuin yksilö)
6. H- Hallinto -> Ha
7. K- Käytännöt -> Käyt
Yhden kirjaimen lyhenteistä luovuttiin.


Carl:


Tässä laajuudessa pääluokitus on hieman vaikea sisäistää, tai ainakaan se ei onnistu pikaisella vilkaisulla. Ehkä olisi syytä rajoittaa ylimmän hierarkian otsikkoja nykyisestä noin puoleen ja koota näiden alle alaotsikoita. Näkökulmat ja asiat näyttäisi olevan melko kattavasti mukana. Itselleni tuli lisäksi mieleen tiedon luokittelu ja saatavuus, mutta nämä ehkä menee kohdan kuusi alle. Ennemminkin kohdan 7 alle. Kommentin alkupuoli on aivan totta ja antaa aiheen ryhtyä kehittelemään nimiä kolmelle varsin ilmeiselle ryhmälle, joihin kohdat jakautuvat: 1-3, 4-6 ja 7-11.

Otsikkotekstit:
"Paikallaan pysyvän" tietojenkäsittelyn turvaaminen --> Ohjelmistoturvallisuus
" Miten turvatoimet valitaan ja hallitaan organisaatiossa" --> Organisaation tietoturvanäkökulmat (samaan tyyliin kuin kaksi edellistä kohtaa)

Sivujen nimet (mikäli ymmärsin tehtävänannon oikein):
Sivu 10. "Verkko" --> Verkko-Tietoliikenne
Sivu 11. "ATK" --> "ATK-Ohjelmistoturvallisuus"

Arvion arviot:
Aarno:

Ehdotukset jaottelun muuttamisesta ovat osuvia. Erityisesti kannatan teknisen osuuden kokoamista, tosin siitä saattaa äkkiä tulla liian laaja kokonaisuus. Yhdistäminen auttaa kuitenkin huomattavasti kokonaisuuden hahmottamista ja luettavuutta. Kokonaisuudessaan jaottelun arvio on hyvin samoilla linjoilla kuin itsellänikin.

Uudet otsikkotekstit toimivat huomattavasti paremmin kuin vanhat. Lisäksi uudet otsikot ovat tarpeeksi lyhyitä, mutta kuitenkin riittävän kuvaavia.
Itse en lähtisi lyhenteissä käyttämään englantia, sillä itse en tykkää englannin- ja suomenkielen sekoittamisesta. Kotimaisella kielellä saa kuitenkin riittävän kuvaavia lyhenteitä. / Arvioinut Bertil

Bertil:

Olen samaa mieltä, että rakenne etenee loogisesti, mutta tosiaan kommentti lukujen 4 ja 5 järjestyksen muuttamisesta on paikallaan.

Otsikkotekstien muokkaukset ovat myös osuvia, mutta ”prosessien tietoturva” jää hieman ehkä avoimeksi. Ehkä tätä voisi jotenkin vielä tarkentaa.

Esitetyt lyhenteet toimivat, mutta onko niiden käytöstä ylipäänsä enemmän haittaa kun hyötyä, jos ne eivät ole mitenkään kaikkien tuntemia ns. virallisia lyhenteitä? / Arvioinut Aarno

Carl:

Kaksi omaa luokkaa

Yritä omaksua ja hyväksyä pääluokitus (tai saada hyväksyntä korjausehdotuksellesi) ja valitse kaksi omaa luokkaa tarkastelusi kohteeksi joukosta 3-7 ja 9 (jokaiselle eri!). Tutki sitten (ellet jo aiemmin tehnyt) nykyisen kurssiaineiston linkitystä tähän luokitukseen PDF-dokumentista ja
  • a) esitä korjaus, jos jokin linkki ei mielestäsi kuulu tarkastelemaasi luokkaan.
  • b) Keksi kumpaankin luokkaasi jokin aihealue tai edes aihe, joka siihen kuuluisi (pääluokituksen hengessä) mutta joka siitä nyt puuttuu.
  • c) esitä tarkastelemillesi luokille alajako aihealueisiin: yhden tai kahden sanan otsikot ja yhden tai kahden lauseen selitys. Nykyinen alajako on toki käytettävissäsi, mutta se on melko pienin muutoksin peräisin Masosta eikä välttämättä kovin hyvä. Tavoitteena olisi 6-9 aihealuetta.


Aarno:

Valitut luokat 7 ja 9

a) Luokka 7 on selkeä kokonaisuus ja kohta ”käyttäjä” toimii mielestäni hyvin, sillä se mahdollistaa materiaalin laajan hyödyntämisen myös muiden, kuin tt-asiantuntijoiden keskuudessa. Luokka 9 on sinänsä melko selkeä aihe ja kaikki oleelliset asiat on selkeästi esitetty materiaalissa.

b) Luokkaan 7 voisi ns. motivoinniksi kirjoittaa tiedon merkityksestä liiketoiminnassa ja yhteiskunnassa, joka motivoisi käyttäjiä kiinnittämään huomiota kyseisen kappaleen sisältöön. Lukuun 9 liittyy kirjallisuudessa usein jatkuvuussuunnittelu yms., joten ehkä tätä voisi harkita lisättäväksi.

c) Jaottelua

Luokka 7:

  1. Tiedon merkitys yhteiskunnassa - johon tulisi yleistä motivointia tietojen suojaamiseksi ja turvalliseen käsittelyyn kannustamiseksi

ii. Menetelmät - kahdennusta ja pääsynvalvontaa

iii. Käyttäjä – osion jättäisin sellaisenaan

iv. Esimerkkitapauksia , johon tt-käytäntöjä eri tilanteissa

Luokka 9:

  1. Fyysiset uhat – tuli, vesi yms.

ii. Uhkiin varautuminen – peukaloinnin sietokyky, jatkuvuussuunnittelu, biometriikka..

Bertil

Valitut luokat 4 ja 5.
a) Luokassa neljä olevat linkit kuuluvat minusta luokkaan. Kysymys mikä minulle tuli oli se, että kannattaisiko laki osuus ottaa omaksi luvukseen, ja yhdistää tähän vielä tekijänoikeuksia käsittelevät linkit? Luokka viisi on mielestäni toimiva kokonaisuus.


b) Luokkaan viisi voisi hyvin laittaa mukaan kappaleen, jossa olisi annettu lisätietoja miten yksilö voi parantaa omaa tietoturvallisuutta. Kappale voisi olla esimerkiksi kokoelma hyviä tietoturvasivustoja kuten vaikkapa http://www.virustorjunta.net/. Luokkaan neljä voisi sujauttaa mukavasti osion sähköisestä äänestämisestä. Ko aihe on kuitenkin toistuvasti esillä tiedotusvälineillä. Lisäksi se toimisi tässä vaiheessa hyvänä pohjustuksena luvun 8 sisällölle.


c) Luokka 4 alajako:
Tietoturvan lainsäädäntö
- Mitä Suomen laki sanoo tietoturvasta
IRP –oikeudet
-Mitä ovat IRP –oikeudet. Miten niitä turvataan.
E-kauppa
- E-kaupan mahdollisuudet, siihen kohdistuvat riskit, kuinka minimoida riskejä.
Yhteiskunnan tietoturva
- Miten Suomi ja EU pyrkivät parantamaan yhteiskuntien tietoturvallisuutta lainsäädännöillään.

Luokka 5 alajako:
Yksilön tietoturvan parantaminen
- Kuinka voin itse parantaa tietoturvaani, mistä saan apua.
Yksilö suurin tietoturvariski
- Yleisemmät virheet
Sosiaalinen media
- Mitä uhkia verkostoitumispalvelut aiheuttavat, identiteettivarkaudet.


Carl:
Arvion arviot:
Aarno

Bertil:
Carl:

JOPin soveltuvuus kurssien työkentäksi

Käy katsomassa, millaisia sivuja TT-JOPiin on luotu - enimmäkseen Masosta siirtämällä. Esitä arviosi,
  • a) miten TT-jatkokurssilla (TTJ) tehtyjä harjoitustöitä voitaisiin sijoittaa JOPiin. Voisiko niitä erityisesti pilkkoa JOPin ydinsivuiksi eli sellaisiksi joilla "käsitellään jotain suppeaa ja kerralla omaksuttavaa asiaa", kuten "JOP-filosofian" mukaan pitäisi?
  • b) olisiko kovin hankalaa tehdä TTJ:n h-työ suoraan JOPiin, vaikka kalenteri ja ohjeet olisivatkin Moodlessa (ja kurssimateriaali yhä Masossa...). Muuttuisiko työn luonne jotenkin, jos tuotoksen pitäisi koostua em. kaltaisista ydinsivuista?
  • c) miten tämän erikoiskurssin erilaiset referaatit ja muut tuotteet sopisivat TT-JOPiin ja voisiko ne tehdä suoraan sinne.

Aarno:
Bertil:
Carl:

Arvion arviot:
Aarno:
Bertil:
Carl:

SivuTiedotLaajennettu edit

Vaativuus perus
Valmius valmisteilla
Tyyppi arviointi
Mitä Muu
Miltä Muu
Missä muu
Kuka Tite-ammattilainen
Milloin ennakolta: suunniteltaessa ja päätettäessä
Miksi muu
Print version |  PDF  | History: r1 | 
Topic revision: r1 - 16 Dec 2009 - 14:43:21 - JukkaKoskinen
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback