• Created by Unknown User (erja.kinnunen@dvv.fi), last modified by Unknown User (rosa.hyvarinen@dvv.fi) on 30.5.2023


Jokaisesta pakollisesta vaatimuksesta sekä valinnaisista toteutettavaksi päätetyistä vaatimuksista on luotava joko

  • vaatimus tuotteen tehtävälistalle tai

  • vaatimuksen täyttymistä on ajettava jollakin tietoturva-aktiviteetilla, josta jää todiste (kuten esimerkiksi testitulos).

Tällä tavoin vaatimuksista syntyy auditoitavissa oleva todiste myöhempää tarvetta varten.Pakolliset (lakiin perustuvat) vaatimukset otetaan huomioon kokonaisketterän kehitysmallin portfoliokanbanissa.

Tuotantoon viennin vaatimukset otetaan huomioon pääosin kokonaisketterän kehityksen suunnittelutasolla.Nämä johtavat todennäköisesti lopulta tehtävälistan tehtäviin, joilla vaatimustenmukaisuus syntyy.Yleiset tietoturvaperiaatteet on koottu ryhmiksi, joista kussakin roolissa olevan henkilön on omaksuttava omaan rooliinsa liittyvät periaatteet ja huolehtia periaatteiden noudattamisesta oman työnsä viitekehyksessä. Esimerkiksi käyttöliittymäsuunnittelijoiden tulisi tutustua rajapintoja ja käyttöliittymiä koskeviin yleisiin tietoturvavaatimuksiin.




  

Vaatimukset ja periaatteet


Pakolliset vaatimukset


Vaatimuslähde:

  • Kansallinen lainsäädäntö
  • GDPR [*]
  • eIDAS [*]


Kuka voi päättää vaatimuksen tekemättä jättämisestä:

Lain ja asetusten vaatimuksia ei voi jättää tekemättä.


Huomioita:

Huomioidaan portfoliokanbanissa. Esimerkiksi organiosaation tietosuojavastaavalta ja juristeilta voi saada apua niiden tulkinnassa. Tulkinnat on dokumentoitava arvopaketteihin (Business Outcome)




Tuotantoon viennin vaatimukset


Vaatimuslähde:

6. Tuotantoon viennin vaatimukset (liite 1)


Kuka voi päättää vaatimuksen tekemättä jättämisestä:

Tuoteomistaja konsultoituaan organisaation tietoturvatiimiä.


Huomioita:

Huomioidaan suunnittelukanbanissa. Tietoturvavaatimuksesta poikkeaminen on dokumentoitava arvopaketteihin (Business Outcome).




Yleiset tietoturvaperiaatteet


Vaatimuslähde:

7. Tietoturvallisuuden yleisperiaatteet (liite 2)


Kuka voi päättää vaatimuksen tekemättä jättämisestä:

Tuotetiimi konsultoituaan organisaation tietoturvatiimiä.


Huomioita:

Kussakin roolissa toimiva henkilö tutustuu itselleen olennaisiin periaatteisiin ja huolehtii niiden täyttymisestä oman työnsä kontekstissa. Tuotetiimi dokumentoi tietoturvaperiaatteista poikkeamisen (tekemättä jättäminen).




Lisätietolähteet


Vaatimuslähde:

Ks. seuraava taulukko


Kuka voi päättää vaatimuksen tekemättä jättämisestä:

Tuotetiimi


Huomioita:

Näistä lähteistä otetaan vaatimuksia mukaan vain tarvittaessa, esimerkiksi kun tarvitaan tietyn aihealueen tarkempaa ohjeistusta.




Yllä mainittujen vaatimustyyppien lisäksi tietyt ulkoiset lähteet on valittu lisätietolähteiksi. Lisätietolähteet on tarkoitettu ensisijaisiksi lähteiksi tietoturva-aktiviteetteja laajennettaessa esimerkiksi asiakasvaatimusten pohjalta. Tuoteomistajan tulee tunnistaa asiakasvaatimuksista tietoturvatarpeet ja käyttää näitä lähteitä – mahdollisesti tietoturva-asiantuntijan avustuksella – vaatimuksen täyttämiseen.




Ulkoiset lisätietolähteet


Lisätietolähde

Soveltamisala

Linkki lähteeseen

OWASP Application Security Verification Standard (ASVS)

Tietoturvatestauksen ja auditoinnin määrittely tehdään lähtökohtaisesti ASVS Level 2 -tason mukaisesti. Sovelluskehityksessä tulee huomioida nämä vaatimukset.

OWASP ASVS

OWASP Mobile Security Testing Guide ja

OWASP Mobile Application Security Verification Standard

Mobiilisovellusten tietoturvatestauksen ja auditoinnin ohjeetOWASP MSTG ja OWASP MASVS
OWASP Top 10 Web Application Security RisksKymmenen yleisintä web-sovellusten toteutukseen liittyvää tietoturvariskiä ja ohjeet niiden välttämiseksi.OWASP Top Ten
OWASP API Security Top 10Kymmenen yleisintä rajapintojen suunnitteluun ja toteutukseen liittyvää tietoturvariskiä ja ohjeet niiden välttämiseksi.OWASP API Security Top Ten

MITRE ATT&CK Enterprise Matrix

Käyttöympäristöjen ja sovellusten uhkamallien muodostaminen. Pilvipalveluissa Cloud Matrixin mukaisesti

MITRE ATT&CK Enterprise Matrix

MITRE ATT&CK Cloud Matrix

MITRE D3FENDHyvät käytänteet (kyberturvallisuuden vastatoimet) sovellusten suojaamiselle.MITRE D3FEND Matrix

CIS Benchmarks

Yksittäisten teknologioiden suojaamis- ja kovennusohjeistus

CIS Benchmarks

Pilvipalveluiden turvallisuuden arviointikriteeristö (PiTuKri)

Pilvipalveluiden valinta ja vastuunjaon määrittäminen, kun järjestelmässä käsitellään salassa pidettävää tietoa, henkilötietoja tai turvallisuusluokiteltua tietoa.

PiTuKri

Guidelines on Data Protection Impact Assessment (DPIA) wp248rev.01

Tietosuojavaikutusten arviointi

DPIA

Data protection by design and defaultSisäänrakennetun ja oletusarvoisen tietosuojan huomioiminenICO:n kotisivut

Turvallinen tuotekehitys - kohti hyväksyntää

Turvallisen sovelluskehityksen opas, joka sisältää parhaita käytäntöjä  haavoittuvuuksien sekä muiden yleisten ongelmien välttäisestä ohjelmistokehityksessä. Antaa lisäohjeistusta tämän käsikirjan lisäksi.

Turvallinen tuotekehitys -opas
Kryptografiset vahvuusvaatimukset luottamuksellisuuden suojaamiseen - kansalliset turvallisuusluokat

Kyberturvallisuuskeskuksen laatima lista kryptografian vahvuusvaatimuksista, joita tulee noudattaa turvallisuusluokitellulle tiedolle.

Ohje kryptografisista vahvuusvaatimuksista (pdf)
Hyväksytyt TLS cipher suitet turvallisuusluokille IV - III

Kyberturvallisuuskeskuksen laatima lista kansallisesti hyväksytyistä TLS cipher suiteista, joita tulee käyttää turvallisuusluokan IV ja III mukaan luokitelluille tiedoille ja sovelluksille.

Hyväksytyt TLS cipher suitet turvallisuusluokille IV - III (pdf)








3. Tietoturva ja tietosuoja ohjelmistokehitysprosessissa >