Turvallisen sovelluskehityksen viitekehys Turvallisen Kuva 1 esittää turvallisen sovelluskehityksen viitekehyksen, jonka keskiössä on DVV:n sähköisten palveluiden turvallinen sovelluskehitysorganisaation digitaalisten palveluiden sovelluskehitys, jota tuotetiimit tekevät. Turvallisen sovelluskehityksen ohjenuorana on tämä käsikirja , jota noudattaen tuotetiimien tulisi tehdä sovelluskehitystä. Yksi keskeisimmistä asioista on tehdä kaikki kehittämisen kohteeseen liittyvä tietoturva- ja tietosuojatyö näkyväksi kirjaamalla tietoturva- ja tietosuojatehtävät ne tiimin tehtävälistalle. Esimerkkejä tietoturvatöistä ovat esimerkiksi uhkamallinnukset, lokituksen suunnittelu ja toteutus sekä tietoturvatestaus. DVV:lla Organisaatiolla on todennäköisesti myös muutamia muita keskeisiä ohjeita, vaatimuksia ja linjauksia, jotka ohjaavat sovelluskehitystiimien turvallista turvallista sovelluskehitystä. Näitä ovat esimerkiksi lokiohjeet, pilven tietoturvavaatimukset sekä palveluiden kriittisyysluokittelu. Tukea antavia sidosryhmiä ovat mm. DVV:n esimerkiksi organisaation tietoturvatiimi, tietosuojatiimi ja pilvitiimi. Vaatimuksia sovelluskehitystyön toteuttamiseen tulee tulee sekä hankinnoista ja niihin liittyvistä sopimuksista että DVV:n organisaation politiikoista. Sovelluskehitystyöhön tulee vaatimuksia myös viraston organisaation ulkopuolelta. Näitä ovat mm. lait ja asetukset, kuten EU:n yleinen tietosuoja-asetus ja tiedonhallintalaki, eri viranomaissuositukset -ohjeet ja -määräykset sekä standardit. Käsikirjan lisäksi alan parhaat ja ajantasaiset käytännöt, kuten OWASP:n, CIS:n ja MITRE:n ohjeet, antavat ohjeita turvalliseen sovelluskehitykseen. Tilannekuvan laatimiseksi ja ylläpitämiseksi voidaan seurata mm. kehittettävään kohteeseen ja liittyvien esimerkiksi ohjelmistokomponentteihin liittyviä haavoittuvuuksia sekä yleisiä kohteeseen liittyviä uhkia ja ilmiöitä. Alla oleva kuva esittää DVV:n turvallisen sovelluskehityksen viitekehyksen. Kuvan alla Sivun oikeassa reunassa on linkkilista viitekehyksessä esitettyihin ulkoisiin ulkoisiin rajapintoihin.
|