TT-JOPin sivujen merkkaus

JOP-määritykset sanelevat merkkaustarpeen vaativuuden, valmiuden ja tyypin mukaan. Tässä käsitellään tietoturvasisällön merkkausta.

Ydinsivuille ja kokonaisuuksiin tehdään merkkaus (tagging), jonka tavoitteena on helpottaa hakua ja sitä kautta lähes kaikkea JOPin käyttöä. Merkkaus lienee tarpeen myös kokonaisuuksien sisällä, ellei hauissa voi käyttää perimystä.

Merkkausta voidaan tehdä kolmella tasolla:
  • Sivujen nimeäminen luokkien ja mahdollisesti aihealueiden mukaan. Tämä on hieman ongelmallista, sillä sivun luokitus voi muuttua, jos sen painopiste muuttuu toisenlaiseksi kuin oli alunperin tarkoitettu. Myös luokitusta voidaan joutua säätämään. Nimeämisen hyötynä on TWiki-tekniikassa se, että sivuluettelo saadaan aakkosjärjestyksessä, jolloin jaottelun mukaiset sivut erottuvat. Tekniikkalähtöinen nimeäminen on periaatteessa hieman arveluttavaa. Kahden merkin uhraaminen tähän tarkoitukseen lienee silti siedettävissä, vaikka järjestelyssä olisikin puutteensa. Tässä on ehdotus kirjaimiksi joilla sivujen nimet pitäisi aloittaa:
    1. U-   Uhkat
    2. T-   Toimet
    3. R-   Reaktio
    4. Y-   Yhteiskunta
    5. I-   Yksilöt (I = minä englanniksi tai 1 niinkuin yksilö)
    6. H-   Hallinto
    7. K-   Käytännöt
    8. C-   Krypto (Crypto)
    9. F-   Fyysinen
    10. V-   Verkko
    11. A-   ATK
  • Sivuille tehdään määrämuotoinen merkkaus annetuissa ulottuvuuksissa. Nämä määritellään jäljempänä. Merkinnät syötetään, esitetään ja haetaan sivuilla olevien valikoiden avulla (teknisenä yksityiskohtana TWikiForms?), mutta sivuille ne koodataan tiiviisti TWikin määräämällä tavalla (TWikiMetaData?). (Aiemmin mainittu PICS-järjestelmän tapainen merkintä näkyy esim. maso-sivulla.) Tallennetteva tieto kannattaa miettiä tarkkaan, sillä se näkyy jokaisella sivulla. Oletusarvoista näkymää eli sitä miten tieto näkyy sivuilla voi olla myös hankala muuttaa. Etuna on joustavuus, sillä valikoita voi muuttaa kesken kaiken. Muutokset päivittyvät yksittäisille sivuille seuraavan tallennuksen yhteydessä. Siksi yllä oleva jaottelu olisi mahdollista myös näin.
  • Sivuille merkitään itse valittuja avainsanoja, joiden perusteella laaditaan aika ajoin sisällysluettelo. Tämä on käytössä Maso-aineistossa, jossa sisällysluettelo luodaan tuoreena tietokannasta.

Määrämuotoisen merkkauksen ulottuvuudet

Merkkauksen perusteena on yleisnäkökulma, että kaikki tietoturvallisuus on toimintaa. Kaikki mitä tietoturvasta pitää oppia, liittyy siihen että jonkun pitää tehdä tai jättää tekemättä jotain. Kutsukaamme näitä molempia siis "toiminnaksi". Sen luonnehtimiseen voidaan käyttää jaottelua eri ulottuvuuksissa, joita on seuraavassa 6 kpl (i)-(vi). Kukin ulottuvuus voitaisiin jakaa useampaankin osaan kuin tässä on tehty, mutta on tärkeää pitää jaottelu hallittavan kokoisena.

(i) Mitä

Toiminnan perimmäinen tavoite on, että jokin asia olisi turvassa. Moni TT-aihealue varsinkin hallinnossa kattaa samalla kertaa useita seuraavista TT-käsitteen sisällön mukaisista kohdista, mutta tämä ulottuvuus voidaan silloin jättää vähemmälle painolle.

Mitä turvataan:
  1. Yksityisyys (tietosuoja, anonymiteetti)
  2. Luottamuksellisuus (muu kuin edelliseen sisältyvä)
  3. Alkuperäisyys (autenttisuus): tiedon tai olion
  4. Eheys (muu kuin edelliseen sisältyvä) laajasti ymmärrettynä: mukana kiistämättömyys ja tiedon oikeellisuus
  5. Aineeton oikeus (tekijänoikeuksista sananvapauteen)
  6. Saatavuus (muu kuin edelliseen sisältyvä)
  7. Suoja haitalliselta, harhauttavalta yms. tiedolta ja toiminnalta.

Turvaamisen kohteeseen liittyy TT:n sovellusalueita koskeva ulottuvuus, jota on tiivistetty kohtaan (iii). Edellä tulee yhdellä tavalla luonnehdituksi uhkiakin, mutta kohdassa (ii) on eri ulottuvuus tähän tarkoitukseen.

(ii) Miltä

Tietoturvatoiminta on usein melko erilaista sen mukaan millainen uhkatekijä on perusolemukseltaan:
  1. luonnolliset ja ihmisettömät uhkat
  2. pahaa tahtomattomat ihmislähtöiset uhkat
  3. pahan tahdon tuottamat uhkat (tahalliset teot)

(iii) Missä

Toiminnan luonne riippuu kontekstista, erityisesti siitä millaisella tietojenkäsittelyn tasolla ollaan laitteiden ja ihmisten välillä. Tämä ulottuvuus on varsin paljon esillä jo 11-osaisessa luokkajaossa. Sen vuoksi tässä kohdassa pitäydytään vain suppeaan jakoon. Siitä valitaan ensimmäinen soveltuva, jos useampi kävisi.
  1. Tietovälineet, laitteet, paikat
  2. Tietojärjestelmä (sisältäen ohjelmistot ja tietoliikenteen)
  3. Organisaatio

(iv) Kuka

Toimijalla on tietyntasoinen kompetenssi suhteessa tietotekniikkaan ja tietoturvaan (tite ja titu). Jaottelu esittää siis, kenen tarvitsee toimia. Valitaan ensimmäinen soveltuva.
  1. tite-maallikko
  2. tite-ammattilainen
  3. titu-ammattilainen

Asian tietämisen tai ymmärtämisen tarve leviää hieman laajemmalle. Erityisesti tietoteknisen maallikonkin täytyy tuntea joitain asioita, joihin tarttuvat vain tite- tai titu-ammattilaiset. Tällaista tiedon tarvetta ei käytetä jaottelussa, vaan se tulee esille eri toimijoita varten poimittavissa kokonaisuuksissa ja sitä käsitellään Titu-tietämyksen sivuilla.

(v) Milloin

Toiminnan ajoittuminen suhteessa uhkien vaikutukseen erottelee toiminnan luonnetta. Periaatteessa on kolme aikaa: ennen, aikana ja jälkeen, mutta proaktiivisuutta korostavan TT-kulttuurin sopii jakaa "ennen" kahteen vaiheeseen. Valitaan tässäkin varhaisin sopiva, mikäli useampi sattuisi sopimaan.
  1. ennakolta: suunniteltaessa ja päätettäessä. Tähän kuuluu toiminnan vertailu muihin mahdollisiin tai suhteuttaminen uhkiin ja toiminnan kehittäminen paremmaksi.
  2. rakennettaessa: Tässä ollaan tekemisissä itse toiminnan palasten kanssa, opitaan miten mekanismi toimii tai miten se asennetaan jne., mutta ei punnita sitä.
  3. päivittäin: Tässä toimitaan mahdollisesti samanaikaisesti kuin uhka vaikuttaa, mutta torjunta tai ainakin havaitseminen ovat vielä mahdollisia.
  4. hädän hetkellä: Toimitaan, kun uhka on jo toteutunut tai juuri toteutumassa - vaikka se olisikin vielä estettävissä tai rajoitettavissa. Tämä toiminta poikkeaa päivittäisestä ja siihen kuuluu myös toipuminen siltä osin kuin se poikkeaa jälleenrakentamisesta (=2).

(vi) Miksi

Oikeanlaisen, riittävän eikä liian voimakkaan toiminnan valitsemiseen on erityyppisiä lähtökohtia.
  1. hyvä tapa, jota kannattaa noudattaa vaikka sitä ei olisi erikseen sovittu tai kirjattu. Sen pitäisi olla politiikassa, mutta se on ehkä kyllin syvällä TT-kulttuurissa tai kansalaistaidoissa niin että se on jätetty kirjaamatta.
  2. politiikka: päätökset joita toimija tai hänen yhteisönsä itse on sitoutunut noudattamaan. Sellaisia ovat myös sopimukset kuten NDA. Kustannuksien arvioinnista ja parhaiden käytäntöjen noudattamisesta lähtevät päätökset kuuluvat tähän. Jotkin sopimukset ovat tarpeen, koska asiasta ei ole säädetty laissa.
  3. laki tai muu toimijan ja hänen yhteisönsä ulkopuolinen tekijä, esim. lisenssi.
Tässä pitää merkitä 1, jos se sopii vaikka asia usein mainittaisiinkin politiikassa. Samoin lakiasiat merkitään 3:een vaikka niihin sopisi 2 tai 1.

Muut vaihtoehdot

Siltä varalta, että johonkin aiheeseen ei jokin ulottuvuus tai tarjolla olevat arvot sovi lainkaan, voidaan merkitä valinta "Muu" arvolla 0, jota voidaan käyttää myös valitsematta jättämisen merkkinä. Muissa kohdissa on asetettuja tai ilmeisiä prioriteetteja, mutta (i)-kohdassa voi kaksi tai useampia arvoja olla mahdollisia. Valitaan silloin "Useita" arvolla 9.

-- JukkaKoskinen? - 29 Jul 2009

SivuTiedot edit

Vaativuus yleis
Valmius kehitteillä
Tyyppi ydin
Print version |  PDF  | History: r3 < r2 < r1 | 
Topic revision: r3 - 30 Jul 2009 - 17:23:30 - MarkoHelenius
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback