Jokaisesta pakollisesta vaatimuksesta sekä valinnaisista toteutettavaksi päätetyistä vaatimuksista on luotava joko
vaatimus tuotteen tehtävälistalle tai
vaatimuksen täyttymistä on ajettava jollakin tietoturva-aktiviteetilla, josta jää todiste (kuten esimerkiksi testitulos).
Tällä tavoin vaatimuksista syntyy auditoitavissa oleva todiste myöhempää tarvetta varten.Pakolliset (lakiin perustuvat) vaatimukset otetaan huomioon kokonaisketterän kehitysmallin portfoliokanbanissa.
Tuotantoon viennin vaatimukset otetaan huomioon pääosin kokonaisketterän kehityksen suunnittelutasolla.Nämä johtavat todennäköisesti lopulta tehtävälistan tehtäviin, joilla vaatimustenmukaisuus syntyy.Yleiset tietoturvaperiaatteet on koottu ryhmiksi, joista kussakin roolissa olevan henkilön on omaksuttava omaan rooliinsa liittyvät periaatteet ja huolehtia periaatteiden noudattamisesta oman työnsä viitekehyksessä. Esimerkiksi käyttöliittymäsuunnittelijoiden tulisi tutustua rajapintoja ja käyttöliittymiä koskeviin yleisiin tietoturvavaatimuksiin.
Vaatimukset ja periaatteet
Pakolliset vaatimukset
Vaatimuslähde:
Kuka voi päättää vaatimuksen tekemättä jättämisestä:
Lain ja asetusten vaatimuksia ei voi jättää tekemättä.
Huomioita:
Huomioidaan portfoliokanbanissa. Esimerkiksi organiosaation tietosuojavastaavalta ja juristeilta voi saada apua niiden tulkinnassa. Tulkinnat on dokumentoitava arvopaketteihin (Business Outcome)
Tuotantoon viennin vaatimukset
Vaatimuslähde:
6. Tuotantoon viennin vaatimukset (liite 1)
Kuka voi päättää vaatimuksen tekemättä jättämisestä:
Tuoteomistaja konsultoituaan organisaation tietoturvatiimiä.
Huomioita:
Huomioidaan suunnittelukanbanissa. Tietoturvavaatimuksesta poikkeaminen on dokumentoitava arvopaketteihin (Business Outcome).
Yleiset tietoturvaperiaatteet
Vaatimuslähde:
7. Tietoturvallisuuden yleisperiaatteet (liite 2)
Kuka voi päättää vaatimuksen tekemättä jättämisestä:
Tuotetiimi konsultoituaan organisaation tietoturvatiimiä.
Huomioita:
Kussakin roolissa toimiva henkilö tutustuu itselleen olennaisiin periaatteisiin ja huolehtii niiden täyttymisestä oman työnsä kontekstissa. Tuotetiimi dokumentoi tietoturvaperiaatteista poikkeamisen (tekemättä jättäminen).
Lisätietolähteet
Vaatimuslähde:
Ks. seuraava taulukko
Kuka voi päättää vaatimuksen tekemättä jättämisestä:
Tuotetiimi
Huomioita:
Näistä lähteistä otetaan vaatimuksia mukaan vain tarvittaessa, esimerkiksi kun tarvitaan tietyn aihealueen tarkempaa ohjeistusta.
Ulkoiset lisätietolähteet
Lisätietolähde | Soveltamisala | Linkki lähteeseen |
OWASP Application Security Verification Standard (ASVS) | Tietoturvatestauksen ja auditoinnin määrittely tehdään lähtökohtaisesti ASVS Level 2 -tason mukaisesti. Sovelluskehityksessä tulee huomioida nämä vaatimukset. | |
OWASP Mobile Security Testing Guide ja OWASP Mobile Application Security Verification Standard | Mobiilisovellusten tietoturvatestauksen ja auditoinnin ohjeet | OWASP MSTG ja OWASP MASVS |
OWASP Top 10 Web Application Security Risks | Kymmenen yleisintä web-sovellusten toteutukseen liittyvää tietoturvariskiä ja ohjeet niiden välttämiseksi. | OWASP Top Ten |
OWASP API Security Top 10 | Kymmenen yleisintä rajapintojen suunnitteluun ja toteutukseen liittyvää tietoturvariskiä ja ohjeet niiden välttämiseksi. | OWASP API Security Top Ten |
MITRE ATT&CK Enterprise Matrix | Käyttöympäristöjen ja sovellusten uhkamallien muodostaminen. Pilvipalveluissa Cloud Matrixin mukaisesti | |
MITRE D3FEND | Hyvät käytänteet (kyberturvallisuuden vastatoimet) sovellusten suojaamiselle. | MITRE D3FEND Matrix |
CIS Benchmarks | Yksittäisten teknologioiden suojaamis- ja kovennusohjeistus | |
Pilvipalveluiden turvallisuuden arviointikriteeristö (PiTuKri) | Pilvipalveluiden valinta ja vastuunjaon määrittäminen, kun järjestelmässä käsitellään salassa pidettävää tietoa, henkilötietoja tai turvallisuusluokiteltua tietoa. | |
Guidelines on Data Protection Impact Assessment (DPIA) wp248rev.01 | Tietosuojavaikutusten arviointi | |
Data protection by design and default | Sisäänrakennetun ja oletusarvoisen tietosuojan huomioiminen | ICO:n kotisivut |
Turvallinen tuotekehitys - kohti hyväksyntää | Turvallisen sovelluskehityksen opas, joka sisältää parhaita käytäntöjä haavoittuvuuksien sekä muiden yleisten ongelmien välttäisestä ohjelmistokehityksessä. Antaa lisäohjeistusta tämän käsikirjan lisäksi. | Turvallinen tuotekehitys -opas |
Kryptografiset vahvuusvaatimukset luottamuksellisuuden suojaamiseen - kansalliset turvallisuusluokat | Kyberturvallisuuskeskuksen laatima lista kryptografian vahvuusvaatimuksista, joita tulee noudattaa turvallisuusluokitellulle tiedolle. | Ohje kryptografisista vahvuusvaatimuksista (pdf) |
Hyväksytyt TLS cipher suitet turvallisuusluokille IV - III | Kyberturvallisuuskeskuksen laatima lista kansallisesti hyväksytyistä TLS cipher suiteista, joita tulee käyttää turvallisuusluokan IV ja III mukaan luokitelluille tiedoille ja sovelluksille. | Hyväksytyt TLS cipher suitet turvallisuusluokille IV - III (pdf) |