1.
Tietoturvatestauksen ja -tarkastuksen kohteet määritellään hyökkäyspinnan ja mahdollisen vaikutuksen mukaan
Tietoturvatarkastukset ja niiden tyyppi kohdennetaan arvioimalla eri toiminnallisuudelle suhteellinen riski hyökkäyspinnan (riskin todennäköisyys) ja toiminnallisuuden tärkeyden tai käsiteltyjen tietojen (riskin vaikutus) mukaan. Suositeltavaa on tehdä tämä uhkamallinnuksen yhteydessä. Tietoturvatestaus jakaantuu pääasiassa automaattisiin testitapauksiin ja tutkivaan testaukseen; tutkiva testaus kohdistetaan ensisijaisesti niihin kohteisiin, jotka ovat suhteessa riskialttiimpia.
2.
Tietoturvatarkastuksen kattavuus ja tyyppi määritellään hyökkäyspinnan ja mahdollisen vaikutuksen mukaan
Tietoturvatarkastuksen tarvittava taso on lähtökohtaisesti OWASP ASVS Level 2, mikäli se on kohteeseen sovellettavissa. OWASP ASVS -viitekehystä voi käyttää myös testauksen tarkastuslistana ostettaessa web-sovelluksen tietoturvatarkastusta. Joissakin tapauksissa tarkastuksen tyypin on mahdollisesti oltava esimerkiksi Liikenne- ja viestintäviraston akkredointi. Pilvipalveluiden tarkastuksessa tarkastuksen on katettava myös tässä listassa luetellut pilvipalveluiden erityisalueet.
OWASP Application Security Verification Standard -projekti https://owasp.org/www-project-application-security-verification-standard/
3.
Tietoturvatestaustarpeet ja tekniset tarkastukset merkitään tehtävinä tuotteen tehtävälistalle
Automaattisen tietoturvatestauksen kehitystehtävät merkitään tuotteen tehtävälistalle kehittäjille tarkoitettuina työtehtävinä. Tekniset tarkastukset, vaikka ne tekisikin tuotetiimin ulkopuolinen taho, merkitään myös omina tehtävinään tuotteen tehtävälistalle, jotta niiden tilasta jää jälki. Ulkoisen testauksen työlistatehtävien omistaja on oletusarvoisesti tuoteomistaja, ellei niitä erikseen delegoida.
4.
Tietoturvatestauksen ja teknisen tarkastuksen löydökset merkitään tuotteen tehtävälistalle
Kaikki tietoturvatestauksesta ja tarkastuksesta kumpuavat löydökset lisätään tuotteen tehtävälistalle niin, että tehtävänä on joko korjata ongelma, tuottaa kompensoiva kontrolli tai hyväksyä riski.
5.
Tutkivasta tietoturvatestauksesta ylläpidetään vallitsevan tilanteen kuvausta
Tutkiva tietoturvatestaus tuottaa tuloksenaan löydösten lisäksi tietoturvan vallitsevan tilanteen kuvauksen, jota ylläpidetään kohdejärjestelmäkohtaisesti versioituna dokumenttina. Tämän dokumentin päivitys vastuutetaan tutkivan tietoturvatestauksen suorittajalle.
6.
HTTP-rajapintojen tekniset kovennukset pidetään ajan tasalla selainten ja standardien kehittyessä
Rajapintoja vasten tehdään joko automaattista tai tutkivaa testausta, jolla huomataan puuttuvat rajapintojen tekniset kovennukset (esimerkiksi HTTP-tietoturvaotsakkeet, jotka on kehitetty sovelluksen alkuperäisen käyttöönoton jälkeen).
Esimerkki: Hankittavilta tietoturvaskannereilta ja tietoturvatestaajilta vaaditaan hankinnan ja toimeksiannon yhteydessä, että he huomioivat rajapintojen teknisten kovennusten ajantasaisuuden suhteessa alati kehittyviin standardeihin.
7.
Koodina hallittu infrastruktuuri on osa tietoturvatarkastusta
Tietoturvatarkastuksen kattaessa pilvipalvelun myös kyseisen palvelun infrastruktuurikuvaukset katselmoidaan tarkastuksen yhteydessä.
Esimerkki: Tilataan tietoturvatarkastus sovellukselle, jota ajetaan Kubernetes-klusterissa AWS:ssä. Tietoturvatarkastukseen sisällytetään AWS:n Terraform-konfiguraatiot, Kubernetes-klusterin konfiguraatiot sekä konttien Dockerfilet.
8.
Pilvi-infrastruktuurin identiteetin- ja pääsynhallinta on osa tietoturvatarkastusta
Tietoturvatarkastuksen kattaessa pilvipalvelun myös kyseisen palvelun IAM-konfiguraatio katselmoidaan tarkastuksen yhteydessä.
9.
Tuotantoonviennin automaatio on tietoturvatarkastuksen piirissä
Tuotetiimin käyttämä tuotantoonviennin automaatio (CI/CD) kuuluu tarkastettaviin kokonaisuuksiin kuten tuotetiimin ylläpitämät sovelluksetkin. Tarkastettavat osa-alueet ovat vähintään pääsynhallinta itse CI/CD-automaatioon, salaisuuksien hallinta sekä CI/CD-automaation pääsynhallinnan järjestäminen pilvi-infrastruktuuriin.
10.
Tunnusten luontia ja vanhentumista on seurattava
Pilvipalvelun tunnusten luontia, roolien omaksuntaa ja niiden käyttöä on valvottava.
Esimerkki: Uusien IAM-käyttäjien, pääsyavainten (access keys) ja roolien luomisesta on tultava heräte, jonka ihminen (esimerkiksi SOC) tarkastaa ilman suurta viivettä. Roolin omaksumisesta (AssumeRole) on tallennettava auditoitava lokitapahtuma. Käyttäjätunnukset ja pääsyavaimet, joita ei ole käytetty tietyn ajan jälkeen, on säännöllisesti poistettava.