Predictive test selection with machine learning StanislavIdolov
The document describes Adobe's efforts to develop a predictive test selection model to reduce the number of tests run during continuous integration. It outlines the current problems of running too many tests, including long build times and high costs. The model is trained on historical test and code change data to predict the probability of test failures and select only the most relevant tests to run. The best performing model uses features like test failure rates, file extensions and module intersections. It aims to select 21% of tests while maintaining 99.9% accuracy in predicting failures.
Digital certificates are used for security and verification purposes when sending electronic messages. A sender applies for a digital certificate from a Certificate Authority containing their public key and identification. The recipient can then use the CA's public key to decode the attached certificate and verify the sender's identity and public key to encrypt a reply message.
The document discusses eSIM technology, which allows for a SIM profile to be transferred wirelessly to a device's embedded SIM chip, removing the need for a physical SIM card. An eSIM provides easier switching between mobile providers by allowing remote provisioning of a new SIM profile. Key benefits of eSIM include improved customer experience through remote switching of providers without needing a new physical SIM card.
The global Tor network and its routing protocols provide an excellent framework for online anonymity. However, the selection of Tor-friendly software for Windows is sub-par at best.
Want to anonymously browse the web? You’re stuck with Firefox, and don’t even think about trying to anonymously use Flash. Want to dynamically analyze malware without letting the C2 server know your home IP address? You’re outta luck. Want to anonymously use any program that doesn’t natively support SOCKS or HTTP proxying? Not gonna happen.
While some solutions currently exist for generically rerouting traffic through Tor, these solutions either don’t support Windows, or can be circumvented by malware, or require an additional network gateway device.
Missed the live session at Black Hat USA 2013? Check out the slides from Jason Geffner's standing room only presentation! Jason released a free new CrowdStrike community tool to securely, anonymously, and transparently route all TCP/IP and DNS traffic through Tor, regardless of the client software, and without relying on VPNs or additional hardware or virtual machines.
This document defines network and information security and discusses various threats. It defines security as protecting systems, hardware, information and data. It outlines the principles of confidentiality, integrity and availability. It describes passive attacks like traffic analysis and active attacks like masquerading, replay and denial of service. It discusses vulnerabilities like malicious software, trap doors, logic bombs, Trojan horses, viruses and worms. It provides details on each of these threats and ways to prevent infections from malicious software.
Overview on Cryptography and Network SecurityDr. Rupa Ch
These slides give some overview on the the concepts which were in Crytography and network security. I have prepared these slides by the experiece after refer the text bbok as well as resources from the net. Added figures directly from the references. I would like to acknowledge all the authors by originally.
Predictive test selection with machine learning StanislavIdolov
The document describes Adobe's efforts to develop a predictive test selection model to reduce the number of tests run during continuous integration. It outlines the current problems of running too many tests, including long build times and high costs. The model is trained on historical test and code change data to predict the probability of test failures and select only the most relevant tests to run. The best performing model uses features like test failure rates, file extensions and module intersections. It aims to select 21% of tests while maintaining 99.9% accuracy in predicting failures.
Digital certificates are used for security and verification purposes when sending electronic messages. A sender applies for a digital certificate from a Certificate Authority containing their public key and identification. The recipient can then use the CA's public key to decode the attached certificate and verify the sender's identity and public key to encrypt a reply message.
The document discusses eSIM technology, which allows for a SIM profile to be transferred wirelessly to a device's embedded SIM chip, removing the need for a physical SIM card. An eSIM provides easier switching between mobile providers by allowing remote provisioning of a new SIM profile. Key benefits of eSIM include improved customer experience through remote switching of providers without needing a new physical SIM card.
The global Tor network and its routing protocols provide an excellent framework for online anonymity. However, the selection of Tor-friendly software for Windows is sub-par at best.
Want to anonymously browse the web? You’re stuck with Firefox, and don’t even think about trying to anonymously use Flash. Want to dynamically analyze malware without letting the C2 server know your home IP address? You’re outta luck. Want to anonymously use any program that doesn’t natively support SOCKS or HTTP proxying? Not gonna happen.
While some solutions currently exist for generically rerouting traffic through Tor, these solutions either don’t support Windows, or can be circumvented by malware, or require an additional network gateway device.
Missed the live session at Black Hat USA 2013? Check out the slides from Jason Geffner's standing room only presentation! Jason released a free new CrowdStrike community tool to securely, anonymously, and transparently route all TCP/IP and DNS traffic through Tor, regardless of the client software, and without relying on VPNs or additional hardware or virtual machines.
This document defines network and information security and discusses various threats. It defines security as protecting systems, hardware, information and data. It outlines the principles of confidentiality, integrity and availability. It describes passive attacks like traffic analysis and active attacks like masquerading, replay and denial of service. It discusses vulnerabilities like malicious software, trap doors, logic bombs, Trojan horses, viruses and worms. It provides details on each of these threats and ways to prevent infections from malicious software.
Overview on Cryptography and Network SecurityDr. Rupa Ch
These slides give some overview on the the concepts which were in Crytography and network security. I have prepared these slides by the experiece after refer the text bbok as well as resources from the net. Added figures directly from the references. I would like to acknowledge all the authors by originally.
This chapter discusses managing risk through various strategies and processes. It explains how risk assessments involve identifying threats, vulnerabilities, impacts, and determining risks through qualitative or quantitative analyses. Key aspects of risk assessments include annualized rate of occurrence, single loss expectancy, and annual loss expectancy. The chapter also covers risk measurements, acting on assessments through avoidance, transference, mitigation or acceptance. Specific risks related to cloud computing, virtualization and policies/guidelines are examined.
The document provides an overview of steganography, which is the practice of hiding secret messages within other innocent messages or files. It discusses the differences between steganography and cryptography, various historical uses of steganography, and modern techniques such as hiding messages in digital images, audio, video and network traffic. The document also briefly outlines tools for steganography, challenges in steganalysis, and concludes with references for further information.
Transport Layer Security (TLS) is a protocol that ensures privacy between communicating applications and their users on the Internet. When a server and client communicate, TLS ensures that no third party may eavesdrop or tamper with any message. TLS is the successor to the Secure Sockets Layer (SSL).
السلام عليكم ورحمه الله وبركاته
العمل مقدم ب اعداد الطلاب
نايف الغامدي
ID: 442140247
معتز يوسف البوق
ID:442140267
نامل ان يحوز على رضاك وينال اعجابك
..,,وتقبل تحياتي
L'Internet des objets implique les appareils connectés à Internet que nous utilisons pour exécuter les processus et les services qui soutiennent notre mode de vie.
Un autre ensemble de composants pour aider l'IoT à réussir est le cloud computing, qui agit comme une sorte de frontal. Le cloud computing est un service de plus en plus populaire qui offre plusieurs avantages à l'IoT et repose sur le concept de permettre aux utilisateurs d'effectuer des tâches informatiques normales en utilisant des services entièrement fournis sur Internet.
Dans cette exposé , On va savoir les différentes approches qui peuvent être utilisées pour traiter et stocker des données (générées par des appareils IoT) sur le cloud.
Este documento describe una presentación sobre evidencia volátil realizada por Alonso Eduardo Caballero Quezada. La presentación explica que la evidencia volátil se pierde cuando un sistema es apagado y incluye información en la memoria RAM como procesos, conexiones de red y archivos abiertos. También incluye demostraciones prácticas de cómo capturar evidencia volátil en un sistema Windows.
The document discusses challenges and approaches related to Internet of Things (IoT) forensics. It notes that IoT forensics is a new area that faces several challenges including a lack of standardized methodology and tools. Evidence identification, collection, and preservation can be difficult due to the wide range of IoT device hardware and software specifications. Analysis and correlation of overwhelming amounts of IoT data is also challenging. The document reviews some potential approaches to IoT forensics including performing standard data acquisition, interface testing, and extracting firmware data. It also outlines frameworks for handling IoT forensics such as the 1-2-3 Zones approach and FAIoT model. Overall, the document illustrates that IoT forens
SSL and TLS are cryptographic protocols that provide secure communication on the internet. They use public/private key encryption to authenticate servers and establish encrypted connections. While similar, TLS is the standardized successor to SSL. Key differences include TLS using HMAC for integrity checking and having additional alert codes not found in SSL. Both protocols operate at the transport layer and provide data confidentiality, integrity, and server authentication.
Digital forensics involves the process of preserving, analyzing, and presenting digital evidence in a manner that is legally acceptable. This document defines digital forensics and outlines the key steps involved, including acquiring evidence, recovering data, analyzing findings, and presenting results. It also discusses who uses computer forensics, common file types and locations examined, and important tools and skills required by forensic examiners. Maintaining a legally-sound methodology is important to ensure evidence is handled properly and can be used in legal cases.
This document provides an overview of key concepts in data security, including data types and classification, data lifecycle management, and relevant laws and industry regulations. It discusses common data types like PII, PHI, financial information and intellectual property. It also explains the process of data classification and the data lifecycle. Finally, it outlines several important regulations and standards that govern data security, such as GDPR, HIPAA, PCI DSS, ISO 27001, and SOX.
Learn Ethical Hacking in 10 Hours | Ethical Hacking Full Course | EdurekaEdureka!
YouTube Link: https://youtu.be/dz7Ntp7KQGA
** Edureka Ethical Hacking Course: https://www.edureka.co/cybersecurity-certification-training **
This Edureka PPT on "Ethical Hacking Full Course" will help you learn Ethical Hacking and Cyber Security concepts from scratch. You will learn about different kinds of Cyberattacks and ethical hacking tools used to prevent such attacks. There are a lot of demos on several tools in this Ethical Hacking Tutorial for Beginners PPT. You will also learn how to become an Ethical Hacker.
Follow us to never miss an update in the future.
YouTube: https://www.youtube.com/user/edurekaIN
Instagram: https://www.instagram.com/edureka_learning/
Facebook: https://www.facebook.com/edurekaIN/
Twitter: https://twitter.com/edurekain
LinkedIn: https://www.linkedin.com/company/edureka
Castbox: https://castbox.fm/networks/505?country=in
It has all details related to cyber security information hiding.It mainly focuses on steganography and its major details.The ppt also shows is applications.
This chapter discusses managing risk through various strategies and processes. It explains how risk assessments involve identifying threats, vulnerabilities, impacts, and determining risks through qualitative or quantitative analyses. Key aspects of risk assessments include annualized rate of occurrence, single loss expectancy, and annual loss expectancy. The chapter also covers risk measurements, acting on assessments through avoidance, transference, mitigation or acceptance. Specific risks related to cloud computing, virtualization and policies/guidelines are examined.
The document provides an overview of steganography, which is the practice of hiding secret messages within other innocent messages or files. It discusses the differences between steganography and cryptography, various historical uses of steganography, and modern techniques such as hiding messages in digital images, audio, video and network traffic. The document also briefly outlines tools for steganography, challenges in steganalysis, and concludes with references for further information.
Transport Layer Security (TLS) is a protocol that ensures privacy between communicating applications and their users on the Internet. When a server and client communicate, TLS ensures that no third party may eavesdrop or tamper with any message. TLS is the successor to the Secure Sockets Layer (SSL).
السلام عليكم ورحمه الله وبركاته
العمل مقدم ب اعداد الطلاب
نايف الغامدي
ID: 442140247
معتز يوسف البوق
ID:442140267
نامل ان يحوز على رضاك وينال اعجابك
..,,وتقبل تحياتي
L'Internet des objets implique les appareils connectés à Internet que nous utilisons pour exécuter les processus et les services qui soutiennent notre mode de vie.
Un autre ensemble de composants pour aider l'IoT à réussir est le cloud computing, qui agit comme une sorte de frontal. Le cloud computing est un service de plus en plus populaire qui offre plusieurs avantages à l'IoT et repose sur le concept de permettre aux utilisateurs d'effectuer des tâches informatiques normales en utilisant des services entièrement fournis sur Internet.
Dans cette exposé , On va savoir les différentes approches qui peuvent être utilisées pour traiter et stocker des données (générées par des appareils IoT) sur le cloud.
Este documento describe una presentación sobre evidencia volátil realizada por Alonso Eduardo Caballero Quezada. La presentación explica que la evidencia volátil se pierde cuando un sistema es apagado y incluye información en la memoria RAM como procesos, conexiones de red y archivos abiertos. También incluye demostraciones prácticas de cómo capturar evidencia volátil en un sistema Windows.
The document discusses challenges and approaches related to Internet of Things (IoT) forensics. It notes that IoT forensics is a new area that faces several challenges including a lack of standardized methodology and tools. Evidence identification, collection, and preservation can be difficult due to the wide range of IoT device hardware and software specifications. Analysis and correlation of overwhelming amounts of IoT data is also challenging. The document reviews some potential approaches to IoT forensics including performing standard data acquisition, interface testing, and extracting firmware data. It also outlines frameworks for handling IoT forensics such as the 1-2-3 Zones approach and FAIoT model. Overall, the document illustrates that IoT forens
SSL and TLS are cryptographic protocols that provide secure communication on the internet. They use public/private key encryption to authenticate servers and establish encrypted connections. While similar, TLS is the standardized successor to SSL. Key differences include TLS using HMAC for integrity checking and having additional alert codes not found in SSL. Both protocols operate at the transport layer and provide data confidentiality, integrity, and server authentication.
Digital forensics involves the process of preserving, analyzing, and presenting digital evidence in a manner that is legally acceptable. This document defines digital forensics and outlines the key steps involved, including acquiring evidence, recovering data, analyzing findings, and presenting results. It also discusses who uses computer forensics, common file types and locations examined, and important tools and skills required by forensic examiners. Maintaining a legally-sound methodology is important to ensure evidence is handled properly and can be used in legal cases.
This document provides an overview of key concepts in data security, including data types and classification, data lifecycle management, and relevant laws and industry regulations. It discusses common data types like PII, PHI, financial information and intellectual property. It also explains the process of data classification and the data lifecycle. Finally, it outlines several important regulations and standards that govern data security, such as GDPR, HIPAA, PCI DSS, ISO 27001, and SOX.
Learn Ethical Hacking in 10 Hours | Ethical Hacking Full Course | EdurekaEdureka!
YouTube Link: https://youtu.be/dz7Ntp7KQGA
** Edureka Ethical Hacking Course: https://www.edureka.co/cybersecurity-certification-training **
This Edureka PPT on "Ethical Hacking Full Course" will help you learn Ethical Hacking and Cyber Security concepts from scratch. You will learn about different kinds of Cyberattacks and ethical hacking tools used to prevent such attacks. There are a lot of demos on several tools in this Ethical Hacking Tutorial for Beginners PPT. You will also learn how to become an Ethical Hacker.
Follow us to never miss an update in the future.
YouTube: https://www.youtube.com/user/edurekaIN
Instagram: https://www.instagram.com/edureka_learning/
Facebook: https://www.facebook.com/edurekaIN/
Twitter: https://twitter.com/edurekain
LinkedIn: https://www.linkedin.com/company/edureka
Castbox: https://castbox.fm/networks/505?country=in
It has all details related to cyber security information hiding.It mainly focuses on steganography and its major details.The ppt also shows is applications.
Millaisia muutoksia EU:n tietosuoja-asetus tuo henkilötietojen käsittelyyn ja henkilörekisterien ylläpitäjille? Miten se vaikuttaa kansalaisen tai yrityksen elämään? FK:n lakimies Outi Aalon esitys.
The document contains descriptions of several landmarks and people. It describes the Eiffel Tower in Paris, highlighting its height, history, and levels open to visitors. It then describes the Monas tower in Jakarta, noting its height and symbolism. Finally, it introduces Mrs. Debby Magdalena, the new sales manager of a resort, detailing her background and qualifications.
With data classification, critical information can be distinguished from public information. Classification helps optimize costs and controls information handling according to good practice guidelines. Data should be classified according to confidentiality, integrity, and availability to ensure a safe and reliable system. When handling data, special care should be taken with confidential or sensitive information, for example when traveling, using cloud services, or sharing files externally.
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeamaNixu Corporation
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama. Esitetty NamesDays -seminaarissa 2.10.2014 (c) Nixu Oy, Jussi Perälampi
Lue Nixun sivuilta lisää tietoturvapoikkeaman hallintapalvelustamme: https://www.nixu.com/fi/ratkaisut/nixu-csirt
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Petri Aukia
Pilvipalvelut - vääjäämättömyys vai mahdottomuus käsiteltynä tietoturvan, arkkitehtuurin sekä tarkastuksen näkökulmista. Esitetty ISACA Helsingin kuukausikokouksessa 17.2.2011.
Success Story - lokitietojen hallintaa keskitetysti ja määräystenmukaisestiFinceptum Oy
Tukes päätyi ostamaan NetIQ Sentinel -ratkaisun SaaS-palveluna. NetIQ Sentinel on integroitu Tukesin kirjautumisympäristöihin, eli sähköpostipalvelimelle sekä Microsoft AD -ympäristöön.
Tukes pystyy selvittämään ja tarpeen mukaan näyttämään toteen, että Tukesilla on toimittu määräystenmukaisesti. Kaikki IT-ympäristössä suoritetut kirjautumiset voidaan jäljittää, ja lokidata on nyt helposti löydettävissä.
Luonto- ja ohjelmapalveluiden asiakasturvallisuus -koulutukset Lapin ja Kainuun alueella loka-marraskuussa 2018. Mervi Murtonen ja Jaakko Leinonen / Tukes
Riskienhallinta, järjestelmällistä riskienhallintaa, riskien hallinnan käsitteet, työpajan pitäminen, fasilitointi
Esitys pidetty tässä muodossa turvallisuusjohdon koulutusohjelman yhteydessä 2014
The document summarizes key aspects of the upcoming EU General Data Protection Regulation (GDPR) as it relates to software development:
- The GDPR defines what organizations must do with personal data, but not how to implement it technically. Guidelines provide high-level principles like "privacy by design" but not specific tools or processes.
- To comply, developers must consider privacy throughout the design process using methods like data minimization, access controls, and encryption. Organizations must also be able to demonstrate and ensure ongoing compliance, such as through documentation and audits.
- The GDPR places new obligations on data controllers and processors around security, impact assessments, subcontractors, access requests, and accountability. While
-“Facts” about NSA/Snowden/Prism
-data classification
-guideline to Safe use of “Cloud”:
-choosing and using Cloud
-open source, alternative cloud services
The document discusses how to safely use cloud services, noting that while cloud services provide benefits like scalability and accessibility, users should select services carefully based on the type of data, choose providers that ensure privacy and security, and avoid storing certain sensitive data like intellectual property or regulated information in the cloud.
2. Kuka?
2
Tomi Järvinen
twitter.com/tomppaj , slideshare.com/tomppaj
• IT Security Specialist at Aalto University
• Project manager at F-secure corporation
• IT Manager at Falck Security / G4S
• IT-Specialist / Program manager at Instrumentarium
• Administrator at Outokumpu Oyj
3. • Tietojen luottamuksellisuus (confidentiality)
tietojen paljastumisen estäminen
• valtuudet
• henkilöiden tunnistaminen
• todentaminen
• salaus
• Tietojen oikeellisuus ja eheys (integrity)
tieto ei saa muuttua tahattomasti tai tahallisesti
• varmistukset
• valtuuksien määrittely
• muutosten hallinta
• Tietojen saatavuus (availability)
tieto saatavilla kun sitä tarvitaan
• varajärjestelyt
• tiedonsiirron kapasiteetti
• varahenkilöt
Tietoturva tuo mukanaan
”C I A”
Luottamuksellisuus
(Confidentality)
Eheys (Integrity).
Käytettävyys (Availability)
7
4. Tietoturvaan liittyviä uhkia
1. Kalastelu (tunnusten hyväksikäyttö)
2. Haittaohjelmat (cryptolocker)
2. Tahallinen väärinkäyttö (henkilöriskit)
3. Haavoittuvuudet (suuri määrä palvelimia)
4. Huolimattomuus (kiire, stressi, mobiili)
5. Mobiililaitteet (BYOD, Android..)
6. Sosiaalinen media (julkisuus tai julkaisu)
7. ”Social engineering” käyttäjän manipulointi (taloudellinen hyöty)
8. Zero-day exploits, uudet haavoittuvuudet, joihin ei ole korjausta
9. Pilviteknologia (saatavuus, käyttöehdot, eheys)
10. Vakoilu (innovaatiot)
5. Uhka on myös todellinen
• 21.1 2015 University of Oregon unlawfully releases 22,000 pages with confidential
faculty, staff and student records
• 16.1.2015 Hacker breached Metropolitan State University database with personal info
• 7.1.2015 University of Hawaii and Cornell University hacked by @MarxistAttorney
• 15.12.2014 Point Loma Nazarene University discloses breach after employees fall for
phishing scheme
• 13.12.2014 University of California – Berkeley discloses data breach
• 8.12.2014 Officials report University of Oklahoma nursing web server compromised
(updated)
• 14.11.2014 FL: Nova Southeastern University law students’ data hacked
• 16.10.2014 Marquette University suffers potential data breach on grad school
applications
• Suomalaisia unohtamatta…
Working Paper: Data Breaches in Europe: Reported Breaches of Compromised Personal
Records in Europe, 2005‐2014:
229 data breach incidents involved the personal records of people in Europe. Globally, all
these incidents resulted in the loss of some 645 million records.
http://www.databreaches.net/?s=university&searchsubmit=
http://www.databreaches.net/working-paper-data-breaches-in-europe-reported-breaches-of-compromised-
personal-records-in-europe-2005%E2%80%902014/
7. Yleistä
• Luo projektille turvallinen paikka missä projektia hallitaan, huomioi
mahdolliset sidosryhmien tietoturvavaatimukset.
• Samaa asiaa saatetaan suunnitella useassa paikassa
– jotta kaikki relevantit tahot tietävät tulevista hankkeista
– turhaa päällekkäisyyttä ei esiinny
– varmistetaan että ei tehdä asioita politiikkojen vastaisesti
• Kaikki tarpeelliset ryhmät otettava mukaan riittävän varhaisessa vaiheessa
– Loppukäyttäjät, ”käytettävyyden ja vaatimusten tarkistus”
– IT-arkkitehdit
”varmistetaan sopivuus kokonaisarkkitehtuuriin”
– Tietoturva
”Tietoturvan, tietosuojan ja jatkuvuuden varmistus”
– Hankinta
”Kilpailutuksessa avustaminen, sopimukset”
• Pienistäkin asioista tulee tehdä dokumentaatiota
8. Esiselvitys johtaa Projektiin
Asiakkaan ja IT:n keskustelussa huomataan että tarvitaan
uusi ”Oikea” palvelu, alkaa yleensä Projekti
Tietoturvan, tietosuojan ja jatkuvuudenhallinnan
näkökulmasta tärkeimmät:
• Esiselvityslomake (tarve, sisältö, kenelle)
• hankinnan vaatimusmäärittelypohjat (kaikki tarpeet myös
toteutuu)
• Sopimukset, erit. NDA sopimus (auditointipykälä)
• projektien tietoturvaohjeet (turvallisuus toteutuksen aikana)
• jatkuvuussuunnitelma (toteutus toimii jatkossakin)
Aallon malli hankkeen läpiviemiseksi
9. Yksi tapa jakaa projektin vaiheet
Projektin vaiheet, tietoturvan näkökulmasta
Valmistelu,
esiselvitys
Projektin
suunnittelu
Testaus ja
käyttöönotto
Tuotteistus,
Käyttö
Käytännöt ja vaadittava dokumentaatio vaihtelee, tässä jotain yleisimpiä
Esiselvitys,
Tarkistuslista
Tietoturvaohje
Vaatimusmäärittelyt
-Omat politiikat
-Tietoturvatasot
-Katakri
-Lainsäädäntö
Jatkuvuussuunnitelma
Projektin Toteutus
Projektin riskienhallinta
Käyttöikeudet
palomuuriavaukset
kulkuluvat
Vaatimusmäärittelyt
Kilpailutus
Sopimukset
Testaussuunni-
telma, tietoturva-
auditointi,
tietoturvaskannaus
Tietoturvan
tarkistuslista,
aineiston
luovutukset,
seloste,
käyttäjien ja
ylläpidon ohjeet
10. Esiselvitys (”valmisteluvaihe”*)
Hyvä tapa on tarkistuslista** jota voidaan käyttää ensimmäisessä
Asiakastapaamisessa.
Käytännössä tämä tulisi tehdä jo ennen projektia (sen kuka asiakkaan ja
käyttäjän kanssa asiasta keskustelee), todellisuudessa jää usein
projektipäällikölle
*Aallon projektienhallinnassa käytettyjä termejä
**Saa pyynnöstä
11. Projektin tietoturvariskien hallinta
Projektia aloitettaessa tulee tehdä riskienhallintasuunnitelma
(liitä projektisuunnitelmaan). Riskejä tulee seurata
säännöllisesti koko projektin ajan, vähintään joka toinen
kuukausi. (sykli riippuen projektin pituudesta)
Analyysissä tulee arvioida ainakin luottamussuhteen
syntymistä ja säilyttämistä, toteutettavan ”Järjestelmän”
riskejä, tietojen käyttöön saamista, tietojen varmistamista,
käytettävyyttä, kiistämättömyyttä ja eheyttä sekä tietojen
luottamuksellisuuden määrittämistä ja takaamista.
Oleellista on kohdistaa ehkäiseviä toimenpiteitä
vaikutuksiltaan vakavimpiin ja todennäköisimpiin riskeihin.
(Esimerkki tietoturvariskilista jaetaan osallistujille)
12. Esiselvityksen vaikeimpia, tietosisältö?
Periaatteessa yksinkertainen, käytännössä vaikea.
Aallon julkiseksi linjattu
luokitteluohje:
• julkisuus ja tietosuojaohje
• tietoaineistojen luokittelu
• käsittelysäännöt
(saa pyynnöstä)
IT: Mitä palvelu sisältää?
Asiakas: projektisuunnitelmia, pöytäkirjoja,
lähdeaineistoa
IT: Ei kun mitä se sisältää? Tietosisältö?
Asiakas: ????
Eli näin: onko esim: psykologisia arvioita, merkittävän
tutkimuksen ratkaiseva tieto, Turvallisuustiedot,
sopimuksin salattava tieto..
13. Tietosisältö
Tärkeysluokit-
telu, SLA
Saatavuus
3. Tärkeys-
luokka
(normaali)
2. tärkeys-
luokka
(tärkeä)
1. tärkeys-
luokka (erittäin
tärkeä)
Säilytys-aika
10, 5, 1
vuotta?
Tiedon
elinkaari
Säilytys-
muoto
Metatiedon
käsittely
Ei
salassapito-
vaatimuksia
Sisäinen Luottamuksel-
linen,
ST IV, ST III
Tietoturva- ja tietosuoja ok, mutta entä
Järjestelmän/palvelun eheys ja Jatkuvuus?
Asiakkaan, tai Omistajan on nämä määriteltävä!
IT:n tulee toki auttaa
Vaatimukset
projektille
14. Vaatimusmäärittelyt, ~ 2 vko- 2 kk
(toki toiminnalliset, käytettävyys..)
Tietoturva:
•dokumentointi
•lainsäädäntö
•Pääsynhallinta
•lokit
•suojaus
•ylläpito ja hallinta
•maantieteellinen sijainti
15. Tietoturvavaatimuksia, (muista C- I – A)
• Yleinen
• järjestelmän toteutuksessa on otettu huomioon OWASP Top 10
Tietoturvariskit
• auditoinnin mahdollisuus
• Dokumentointi
• toimittaja vastaa että järjestelmä ja sen tietosisältö on
dokumentoitu.
• Lainsäädäntö
• järjestelmä täyttää lainsäädännön henkilötietojen käsittelylle tai
lokitukselle asettamat vaatimukset.
• Arkistolaki, yliopistolaki, Henkilötietolaki, TeTsl
• Pääsynhallinta
• Shibboleth autentikointi, tai jos on ulkopuolisia käyttäjiä niin
kunnollisesti toteutettu kirjautuminen
7/11/2016
15
16. Tietoturvavaatimuksia
• Lokit
• Vaativa asia, käytä pohjana Katakri, VAHTI-ohjeet
• lokeihin kohdistuu paljon vaatimuksia, lainsäädäntö, teknisen
toiminnan varmistaminen, pääsynhallinnan valvonta, tietosuojan
valvonta
• Suojaus
• kaikki järjestelmän verkkoliikenne salataan
• salasanoja ei säilytetä selkokielisenä.
• Ylläpito ja hallinta
• palvelun tuottajan ylläpito- ja hallintakäyttäjille on henkilökohtaiset
käyttäjätunnukset.
• järjestelmän otetaan säännöllisesti varmuuskopiot.
• Maantieteellinen sijainti
• järjestelmän tarvitsemat fyysiset laitteet ja järjestelmän sisältämä
materiaali sijaitsee EU alueella. Tietosuojadirektiivin mukaisesti
tietosuojan taso pitää olla vastaava kuin EUssa.
7/11/2016
16
18. Lopetusvaihe, tarkistuslista
7/11/2016
18
1. Kaikkeen aineistoon ja työmateriaaleihin on merkitty projektipäällikön vahvistama turvallisuusluokitus siten,
että materiaali on luovutuskunnossa. (luokitus tulossa 2012)
2. Synnytetty työ- ja välidokumentaatio on hallinnassa.
2 a. Kaikki hävitettäväksi päätetty projektin materiaali (sähköinen, paperi, muistivälineet) on hävitetty
raportoidusti organisaation ohjeiden määrittämällä tavalla:
Tietoaineistojen hävittäminen
2 b. Kaikki taltioitava työ- ja välidokumentaatio on luovutettu ohjausryhmän päättämille tahoille, vahvistettu
turvallisuusluokitus merkittynä, ja materiaali on tarvittaessa kirjattuna haltijoiden diaariin (dokumentit tulee olla
luetteloitu)*.
3. Projektiin osallistuville on selkeästi kerrottu projektin loppumisen jälkeiset vastuut tietoturvallisuudesta ja
vastuut seuraaville vaiheille on luovutettu.
4. Palvelun käytöstä on ohjeistus, jossa huomioidaan tietoturva (esim. raporttien ja tietokantahakujen
vieminen/tallentaminen järjestelmän ulkopuolelle)
4. a. Ohjeilla on omistajat ja he tarkistavat ohjeet tarvittaessa ja vuosikellon mukaisesti
4 b. Mahdolliset asennusohjeet (työasemalle sekä palvelimelle) huomioivat tietoturvallisuusvaatimukset.
5. Palvelusta on Aallon IT-jatkuvuussuunnitelman mallipohjan mukainen jatkuvuussuunnitelma.
6. Tietosisältö on kuvattu (usein osana rekisteriselostetta).
7. Rekisteriseloste / tietosuojaseloste on tehty ja sijoitettu käyttäjien saataville (tarvittaessa).
8.Tietojärjestelmäseloste on tehty ja sijoitettu käyttäjien saataville (tarvittaessa).
20. Projekti – perinteinen ”vesiputousmalli”
Perinteinen vai ketterä
Vaatimusmäärit
tely
Projekti Testaus Käyttö
Innovatiivinen projekti – Agile
Lista
ominaisuuksi
a
Toteutus
työlistan
mukaan
Esim 2 asiaa/
vko.
Tuote tai
tuotteen osa
GO/NO GO
Käyttö
.
Menetelmiä esim Scrum, Extreme Programming (XP), DSDM
Projektiteamillä suuri vapaus mutta myös vastuu!
Tietoturva pitää saada osaksi prosessia ja tekemistä. Esim. säännöllinen
testaus. Riskejä saatetaan hyväksyä tuntematta kokonaisuutta,
liiketoimintariskit, tms. Vaatimusmäärittely ei ole enää niin suuressa
roolissa tai sitä ei edes ole.
21. Ketterä tai iteratiivinen toimintatapa
Huomioi:
• asiakas ei osaa pyytää turvallisuutta,
(tietoturvaominaisuuksia)
• vaatimukset tyypillisesti avoimia
• ei voi olla puoliksi turvallinen järjestelmä
• missä vaiheessa voidaan testata julkisesti, ota huomioon backlogin
priorisoinnissa (kirjautumisen toteutus vs, avataan nettiin)
• tietoturvaan liittyen tulee yleensä toiminnallisia ja ei toiminnallisia
vaatimuksia
• backlog muutokset iteraatioiden välillä tulisi tehdä niin että jos jotain
oleellista muuttuu tai tulee joku uusi ominaisuus/komponentti/ ,
tehdään uusi riskiarvio tai tietoturvapohdiskelu. Tiimin osaaminen
suuressa roolissa. (tämän prosessin ei tarvitse olla raskas)
22. Tietoturva ”user stories” (backlog item)
Asiakkaat eivät tyypillisesti tiedä mitä he haluavat
(vaatimusmäärittelutasolla) joten miten he pystyisivät ilmaisemaan
turvallisuusvaatimukset. Mutta esimerkiksi näin:
• Käyttäjä: ”Haluan nostaa rahaa ja katsoa tilini tiedot selaimella”
• Tulisi olla: ”Haluan olla ainoa, joka voi käyttää tiliäni jotta voin pitää
tietoni salassa.”
• Tulisi olla: ”Haluan että tietoni salataan siirron ja tallennuksen aikana
jotta kukaan ulkopuolinen ei pääse niihin”
• Talousjohtaja, esim näin: ”Haluan olla ainoa, joka
voi muokata Henkilöstön palkkoja
• ylläpitäjä, esim näin : ”haluan lokittaa kaikki turvallisuuteen liittyvät
tapahtumat”
• väärinkäyttötapaukset/hyökkääjä tarinat
– Jos vaikka tehdään autentikointiin liittyvää komponenttia niin testauksessa tulee
keskittyä epäonnistuneisiin autentikointeihin, pyritään esimerkiksi tunkeutumaan
järjestelmään.
23. ”Misuse cases”
Wikimedia Commons
Opiskelija tekee
tunnuksen
järjestelmään
Tunnus kaapataan
liikenteestä
Tunnus vuotaa
palvelimelta
Backlog items:
• SSL salattu liikenne
• Salasanat hash+suolaus+etc
24. Järjestelmässä on mahdollista määritellä eri tasoisia
käyttöoikeuksia.
Käyttöoikeudet annetaan käyttäjäryhmäkohtaisesti.
Käyttäjäryhmien määrää ei ole rajattu.
Järjestelmässä metatietokenttä voi olla tekstikenttä.
Poistettavien asioiden ja asiakirjojen säilyvät
järjestelmässä määritellyn ajan, jolloin ne olisivat
vielä asiakirjahallintopääkäyttäjän palautettavissa
(vrt. ”roskakori”).
Käyttäjä voi muuttaa asian / asiakirjan / liitteen
julkisesta osittain salaiseksi tai salaiseksi ja valita
THS:n mukaisen salassapitoperusteen.
Julkisessa asiassa voi olla luottamuksellisia
asiakirjoja.
Julkisella asiakirjalla voi olla luottamuksellisia
liitteitä.
Käyttäjäryhmiä / käyttäjiä on pystyttävä lisäämään ja
poistamaan kesken asian käsittelyn tai jo suljettuun
asiaan.
Määräaikoja sisältäviin asioihin ja asiakirjoihin on
mahdollista liittää ajallinen muistutus, joka voi olla
henkilökohtainen tai siihen voi liittää käyttäjiä ja / tai
käyttäjäryhmiä.
Suljetun asian voi tarvittaessa avata uudelleen
käsittelyyn.
Asian avaaja tai käsittelijä voi lähettää asian tietylle
käsittelijälle / käyttäjäryhmälle jatkokäsittelyyn
seuraavaa toimenpidettä varten.
Kun asia lähetetään edelleen, asiaan voidaan liittää
viesti.
Käyttäjän keskeneräiset asiat on mahdollista nähdä
koottuna.
Saapuneesta tehtävästä / toimenpidepyynnöstä tulee
ilmoitus käsittelijälle sähköpostitse.
Järjestelmä lähettää käsittelijälle sähköpostitse
muistutuksen määritellyin väliajoin käsittelemättömänä
olevista asioista.
Järjestelmä ilmoittaa ylläpitäjälle, mikäli järjestelmästä
on säilytysajan perusteella poistumassa asiakirjaryhmä.
Käyttäjä voi tuoda ja muokata asiakirjan seuraavissa
formaateissa järjestelmässä: Office, PDF jne.
Järjestelmän etusivunäkymässä on pikahaku-toiminto.
Kaikki asia-avausten ja asiakirjojen metatietokentät ovat
valittavissa haun piiriin.
Käyttäjä voi tallentaa ja nimetä omia hakuja.
Hakutulokset voi siirtää exceliin ja PDF:ksi
Käyttäjähallinnan auditointi on mahdollista kaikilla
tasoilla: ryhmän käyttäjät ja oikeudet; ryhmän
erillismääriteltyjen asioiden ja asiakirjojen käyttäjät;
käyttäjän ryhmät, roolit ryhmissä jne.
Raportit voi siirtää exceliin ja PDF:ksi.
Koodattavia asioita ”Backlog Items”
JEE!
https://www.owasp.org/images/c/c6/OWASP_AppSec_Research_2010_Agile_Prod_Sec_Mgmt_by_Vaha-Sipila.pdf
25. Projektin aikainen tietoturva
Vesiputous tai ketterä, samat asiat
Tulosta vaikka tämä ohjeistus tai jaa ainakin
”Tietoturvan huoneentaulu”*
(huomioi organisaation omat ohjeet, politiikat)
(*Aallon huoneentaulu pyynnöstä)
26. Tietoturvavastuut
Projektipäällikkö vastaa siitä, että tietoturva ei vaarannu projektin eri vaiheissa ja
että projektin lopputuotos on tietoturvallinen. Tietoturvaryhmän asiantuntijan
vastuulla on tietoturvavaatimusten oikeellisuus ja riittävyys suhteessa projektiin.
• Raportoida tietoturvapoikkeamista. kaikki projektin aikaiset tietoturvaa
vaarantavat tapahtumat ja uhkaavat asiantilat. Haittaohjelmatartunnat,
kalastelut, ym.
• Määrittää dokumenttien ja muun käytettävän materiaalin tietoturvallisuustaso
yhteistyössä projektin omistajan kanssa.
• Huolehtia, että riskianalyysi tehdään projektin eri vaiheissa.
• Määrittää projektin aikaiset vastuut, oikeudet ja periaatteet.
• Vastata työhön osallistuvan henkilöstön ohjeistamisesta, kouluttamisesta ja
valvonnasta.
• Vastata tiedon hallinnasta projektin aikana. Tietoa ei saa päästä vuotamaan
projektin aikana ihmisten tai tietojärjestelmien kautta.
• Varmistaa projektin loppuessa, että tarvittavat tietoturvadokumentit, kuten
jatkuvuussuunnitelma, rekisteriseloste tai tietoturvan huomioivat käyttäjien
ohjeet, on tehty
27. Ulkopuolisen asiantuntijan käyttö
Mahdollisen ulkopuolisen asiantuntijan osalta projektipäällikön tulee
varmistaa:
• Varmistuminen siitä, että ulkopuolinen asiantuntija sekä sitoutuu
periaatteisiin että kykenee myös täyttämään niiden vaatimukset.
• Yritystason turvallisuussopimusten ja auditointien tekeminen tarpeen
mukaan ennen yhteistyön käynnistämistä.
• Turvallisuussopimukset saa tyypillisesti organisaation
hankinnalta/Tietoturvaryhmältä/Lakitiimi.
• Ulkopuolinen asiantuntija saa tarvittavat tunnukset järjestelmiin.
Tarkista oikea prosessi
• Projektin henkilöstön ohjeistaminen toiminnasta ulkopuolisen
toimittajan kanssa, mahdollisesti projektisuunnitelman päivittäminen.
Jatkuvan valvonnan mekanismin luominen, ulkopuolisella asiantuntijalla
tulee olla nimetty yhteyshenkilö ja sopia työnteon ja kulkuoikeuksien
käytännöt.
28. Yritys- ja henkilöstöturvallisuus
Projekteihin saattaa kohdistua eri syistä ulkopuolista mielenkiintoa
(esim. media, muut yritykset). Näissä tapauksissa projektipäällikkö
päättää kenelle, projektin tietoja voi luovuttaa ja tarvittaessa suorittaa
luovutukset itse. Kaikki hanketta koskeva tiedottaminen on
projektipäällikön vastuulla, kenenkään projektissa ei tule tiedottaa
projektin asioista ilman projektipäällikön valtuutusta. Tietojen
luovutuksesta tulee aina keskustella myös hankkeen omistajan tai
asiakkaan kanssa.
Matkustettaessa yleisissä kulkuneuvoissa tai oleiltaessa yleisissä
tiloissa tulee projektin luottamuksellisia tietoja kuljettaa suojattuina
sekä käsitellä siten, että ulkopuoliset eivät niitä saa tietoonsa.
Dokumentit voidaan hävittää hankkeeseen osallistuvien
organisaatioiden tietoturvamateriaalin hävittämismenettelyillä, usein
silppuamalla aineisto vaatimukset täyttävällä silppurilla.
(tietoturvaohjeet, huoneentaulu, käsittelysäännöt)
29. Fyysinen turvallisuus
Tilojen, joissa työtä tehdään, on oltava äänieristykseltään,
näkösuojaltaan, kulunvalvonnaltaan ja murtosuojaukseltaan
sellaiset, että niissä käsiteltävän luottamuksellisen tai
salaisen tiedon joutuminen projektin kannalta ulkopuolisen
haltuun ei ole mahdollista.
Tilojen valinnassa ja käytössä on huomioitava tietojen
suojausluokan vaatimukset. Työn tekemistä johtava henkilö
vastaa siitä, että tilat täyttävät edellä kuvatut vaatimukset ja
ettei tilojen käytön loppuessa niihin jää mitään
tietoturvallisuuden kannalta arkaa materiaalia.
Työtä voidaan tehdä ulkopuolisissa tiloissa, jotka täyttävät
edellä kuvatut vaatimukset.
30. Ohjelmistoturvallisuus
Turvallisuuden ja tiedon eheyden varmistamiseksi projektissa
tulee käyttää vain mukana olevien organisaatioiden
tietohallinnon tukemia ja ylläpitämiä ohjelmistoja.
Ohjelmistojen pitää olla päivitettyjä, erityisesti relevanteista
tietoturvapäivityksistä tulee huolehtia ilman tarpeetonta
viivytystä.
Hyvään dokumentin hallintaan kuuluu sopiminen
tallennuskäytännöistä sekä varmistuksesta. Dokumenteista
on säilytettävä aiempia versioita sekä varmistettava, että
materiaali on varmuuskopioitu. Dokumentit, joita ei enää
muokata, kannattaa mahdollisuuksien mukaan lähettää oman
organisaation ulkopuolelle pdf-muodossa (huomioi myös
dokumenttien piilotiedot).
31. Tietoliikenneturvallisuus
Sähköpostilla välitettävä luottamuksellinen tieto on suojattava
salaamalla liitetiedostot paketeiksi. Nykyään voidaan
salauksen minimitasona käyttää erittäin turvallista AES 256
salausta (käytä esimerkiksi ilmaista 7-Zip ohjelmaa)
Ennen menetelmän käyttöönottoa on kuitenkin selvitettävä
sen soveltuvuus projektin eri osapuolien välillä.
Projektin käyttöön voidaan avata sähköinen ryhmätyötila,
jonka käyttö on ohjeistettava erikseen luottamuksellisen
materiaalin osalta. Ryhmätyötilan käytöstä päättävät
osallistuvat organisaatiot keskenään silloin, kun se käyttö on
mahdollista. Projektin työtilaa ei tule normaalista avata
julkiseksi vaan laatia käyttöoikeuksiin perustuva hallinta.
.