1.3 Turvallisen sovelluskehityksen viitekehys

Kuva 1 esittää turvallisen sovelluskehityksen viitekehyksen, jonka keskiössä on organisaation digitaalisten palveluiden sovelluskehitys, jota tuotetiimit tekevät. Turvallisen sovelluskehityksen ohjenuorana on tämä käsikirja.

Yksi keskeisimmistä asioista on tehdä kaikki kehittämisen kohteeseen liittyvä tietoturva- ja tietosuojatyö näkyväksi kirjaamalla ne tiimin tehtävälistalle. Esimerkkejä tietoturvatöistä ovat esimerkiksi uhkamallinnukset, lokituksen suunnittelu ja toteutus sekä tietoturvatestaus. 

Organisaatiolla on todennäköisesti myös muutamia muita keskeisiä ohjeita, vaatimuksia ja linjauksia, jotka ohjaavat sovelluskehitystiimien turvallista sovelluskehitystä. Näitä ovat esimerkiksi lokiohjeet, pilven tietoturvavaatimukset sekä palveluiden kriittisyysluokittelu.

Tukea antavia sidosryhmiä ovat esimerkiksi organisaation tietoturvatiimi, tietosuojatiimi ja pilvitiimi. Vaatimuksia sovelluskehitystyön toteuttamiseen tulee sekä hankinnoista ja niihin liittyvistä sopimuksista että organisaation politiikoista. Sovelluskehitystyöhön tulee vaatimuksia myös organisaation ulkopuolelta. Näitä ovat mm. lait ja asetukset, kuten EU:n yleinen tietosuoja-asetus ja tiedonhallintalaki, eri viranomaissuositukset -ohjeet ja -määräykset sekä standardit.

Käsikirjan lisäksi alan parhaat ja ajantasaiset käytännöt, kuten OWASP:n, CIS:n ja MITRE:n ohjeet, antavat ohjeita turvalliseen sovelluskehitykseen. Tilannekuvan laatimiseksi ja ylläpitämiseksi voidaan seurata esimerkiksi ohjelmistokomponentteihin liittyviä haavoittuvuuksia sekä yleisiä kohteeseen liittyviä uhkia ja ilmiöitä.

Sivun oikeassa reunassa on linkkilista viitekehyksessä esitettyihin ulkoisiin rajapintoihin.