Tietoturvallisuus, jaottelu

Tällä sivulla tietoturvallisuus (TT) on järjestetty yhdenlaisella logiikalla 11 luokkaan. Kukin luokka lohkaisee tietoturvan kentästä vuorollaan jonkin palasen, jota luokkaan kuuluvien aihealueiden osittaiset (ja alustavat) luettelot täsmentävät. Luokkajaon loppupuolella jaettavana oleva kenttä on siis alkua suppeampi ja luokkien otsikot on ymmärrettävä siinä yhteydessä. Monesta alkupuolen aiheesta mennään jälkipuolella paljon syvemmälle - eli senkään puolesta tämä ei ole käsikirjamainen jaottelu. Jaottelun yleistä logiikkaa on selitetty sivun lopussa, ja sivun aiempaan versioon liittyy erikoiskurssilaisten arviointi.

Oheinen pdf-dokumentti konkretisoi jaottelua ja linkittää materiaalia wikin rakentelua varten. Dokumentti sisältää tämän sivun lukuunottamatta tätä kappaletta. Ehdotus TT-sivuston merkkaukseksi täydentää jaottelua sivukohtaisella metatiedolla. Ehdotus tämän sivun kehittämiseksi: Sivun pituus pidetään suurinpiirtein nykyisellään, ja 11 linkin taakse tulevat luokkien tarkemmat esittelyt alalinkityksineen. Kun luokkien sisällöissä tapahtuu muutoksia, tätä sivua päivitetään vastaavasti.

(1-3) Miten voi käydä, jos tietoturva puuttuu, mitä asialle voi tehdä ja miten kaiken voi ymmärtää?

  1. Tietoturvallisuuden määrittelyä uhkien kautta
    Mitä pitää turvata ja miksi, mikä voi mennä vikaan, mikä tai kuka uhkaa, miten uhkia kartoitetaan, mikä on uhkamalli? Yksityiskohtaisia uhkia tulee esille myöhemmissä luokissa.
    • Tietoturvallisuuden yleiset määritelmät (käsitteen sisältö: tietojenkäsittelyrauha, CIA etc), uhkaavat luonnonvoimat, tekniset ongelmat, tahalliset uhkat (hakkerin etiikasta haittaohjelmiin), inhimilliset virheet, hallinnolliset puutteet.
  2. Tietoturvatoimien yleisiä piirteitä?
    • Tietoturvallisuuden yleiset periaatteet, näkökulmat, jaottelut, arkkitehtuurimallit, organisaatiot, standardit, tiedonlähteet, mittaaminen, testaaminen, vakuuttuminen, teoriat, tutkimus.
  3. Toteutuvien uhkien käsittely? (Muissa kohdissa tämän jälkeen pääpaino on proaktiivisessa turvallisuudessa.)
    Mitä voidaan tehdä, jos uhkaa ei ole osattu tai voitu torjua, vaan se toteutuu? Sitä enemmän mitä paremmin on valmistauduttu.
    • Reagointiin valmistautuminen (suunnittelu, hankinnat, lokit ym.), havainnointi (ml. virustorjunta ja IDS), vaste, toipuminen, jatkuvuus, jäljitys (forensiikka) ja jälkityöt.

      (4-6) Miten ihmiset sijoittuvat tietoturvan kentälle?
  4. Yhteiskunnan tietoturvaominaisuudet
    • Tietosodankäynti (myös yritysten näkökulmasta), strategiat, säännökset (ml. tietorikokset, tekijänoikeudet, tietosuoja), tietoyhteiskunta.
  5. Yhteisölliset ja yksilölliset tietoturvanäkökulmat?
    • TT-kulttuuri, suoja tiedolta ja huijauksilta, yksityisyyden suoja, käytettävyys, tietoisuus, etiikka ym. inhimilliset tekijät, lisäksi identiteetin ja luottamuksen hallinta.
  6. Miten turvatoimet valitaan ja hallitaan organisaatiossa?
    Hallinnollinen tietoturvallisuus sillä tasolla, jolla puhutaan työntekijöistä, suunnitelmista, euroista yms. mutta ei yleensä biteistä, volteista eikä TCP-porteista.
    • Strategiat, politiikat, TT:n hallintajärjestelmä, riskien hallinta, henkilöstö, auditointi.

      (7-11) Miten tekniikat auttavat tietoturvan kentällä?
  7. Millainen on tietoturvallinen tapa käyttää ja operoida tietoja ja järjestelmiä??
    Käyttöturvallisuus, tietoaineistojen turvallisuus ja muita hyviä käytäntöjä.
    • pääsynvalvonta, salasanojen käyttö, lokien keruu, kahdennus (ml. varmuuskopiointi), tiedon elinkaareen liittyvät käsittelyohjeet (mm. milloin salataan/tai allekirjoitetaan sähköposti), erityisiä järjestelmiä kuten terveydenhuolto, viranomaisjärjestelmät
  8. Kryptologiset menetelmät?
    • Algoritmit, toteutukset, murtaminen, protokollat (ml. autentikointi eri muodoissaan), avaintenhallinta, erikoiset järjestelmät kuten äänestys.
  9. Fyysisiä ja laitteistoihin liittyviä tietoturvanäkökulmia
    • kulunvalvonta, laitetilat, sähkönsaanti, peukaloinnin torjunta, biometriikka, turvalaitteet, luotetut arkkitehtuurit, kriittiset järjestelmät ja teollisuusautomaatio, hajasäteily.
  10. Tietoverkon ja liikkuvan tiedon turvaaminen
    Tietoverkko on kaikenlaisen tietojenkäsittelyn pohjalla nykyään. Tässä hyödynnetään vahvasti edellä olevia tietoja, etenkin kryptologiaa. Monet asiat ovat siten jatkotasolla, mutta perustasolle laaditaan niitä varten tähänkin kontekstiin johdantosivuja.
    • langallisen / langattoman yritysverkon / runkoverkon / satunnaisverkon turvallinen rakenne (laitteineen) ja hallinnointi; suodatus; protokollien TT ja käytännön TT-protokollat (esim. HTTP ja SSL) ; erityiset järjestelmät kuten p2p, digi-tv, WLAN, Bluetooth, 3G, RFID. Haavoittuvuustestaus.
  11. "Paikallaan pysyvän" tietojenkäsittelyn turvaaminen?
    • Tietokannat, ohjelmistot, käyttöjärjestelmä, ohjelmointi, sulautetut järjestelmät.

Jaottelun selitystä

Kaksi ensimmäistä luokkaa, uhkat ja TT-toimet, kokoavat sellaisia aiheita, jotka kuuluisivat useampaan kuin yhteen myöhemmistä luokista. Sama pätee jossain määrin myös 3. luokassa, jossa tosin käsitellään useita reaktiivisia turvatoimia, jotka liittyvät vain yhteen myöhemmistä luokista. Seuraavien kahden luokan (4 ja 5) tarkoitus on lohkaista TT-kentästä palaset sekä ylhäältä yhteiskunnan että alhaalta yksilön ja heidän yhteisöjensä näkökulmista. Kumpaankin on sijoitettu jonkin verran myös aihealueita, joita voisi yhtä hyvin lähestyä yritysnäkökulmasta 6. luokassa. Kyseistä hallinnollisen tietoturvan luokkaa on muillakin em. sijoitteluilla pyritty pitämään kohtuullisen kokoisena. Lisäksi se on rajattu mahdollisimman epätekniseksi.

Luokka 7 saattaa olla kaikkein erikoisin, sillä siinä on pantu rinnakkain käyttötoimintojen ja aineistojen turvallisuus ja yhdistetty näihin muita informaatioon ja tietojärjestelmiin liittyviä käytäntöjä. Tähän on päädytty lähtemällä tiedon ja tietojärjestelmien tavanomaisesta käytöstä, jossa käyttäjät ja ylläpitäjät joutuvat soveltamaan turvallisuutta edistäviä menettelyjä. Osa niistä on melko itsenäisiä turvamekanismeja kuten salasanat tai salaus, ja ne lohkaisevat (perustasolla) hieman myöhemmistä luokista, lähinnä kryptologiasta. Luokat 8 ja 9 lienevät selkeimmät tässä jaottelussa. Edellinen käsittelee kutakuinkin kaiken kryptologian ja jälkimmäinen kaiken ”kouriintuntuvan” paitsi henkilöt, joskin heistäkin biologian. Viimeiset kaksi luokkaa (10 ja 11) edustavat jäljellä olevaa tietoteknistä turvallisuutta siten, että edellinen keskittyy sellaiseen, missä liike tietoverkon eri osien välillä on oleellisempaa kuin jälkimmäisessä.

-- JukkaKoskinen? - 20 & 28 Jul 2009

SivuTiedotLaajennettu edit

Vaativuus Yleis
Valmius Kehitteillä
Tyyppi Ydin
Luokitus Hallinto
Mitä Muu
Miltä Muu
Missä Muu
Kuka muu
Milloin Muu
Miksi Hyvä tapa
Print version |  PDF  | History: r1 | 
Topic revision: r1 - 20 Jan 2011 - 17:10:01 - JukkaKoskinen
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback