Page History

Turvallisen sovelluskehityksen viitekehys

Kuva 1 esittää turvallisen sovelluskehityksen viitekehyksen, jonka keskiössä on

organisaation digitaalisten palveluiden sovelluskehitys, jota tuotetiimit tekevät. Turvallisen sovelluskehityksen ohjenuorana on tämä käsikirja

.

Yksi keskeisimmistä asioista on tehdä kaikki kehittämisen kohteeseen liittyvä tietoturva- ja tietosuojatyö näkyväksi kirjaamalla

ne tiimin tehtävälistalle. Esimerkkejä tietoturvatöistä ovat esimerkiksi uhkamallinnukset, lokituksen suunnittelu ja toteutus sekä tietoturvatestaus. 

Organisaatiolla on todennäköisesti myös muutamia muita keskeisiä ohjeita, vaatimuksia ja linjauksia, jotka ohjaavat sovelluskehitystiimien

turvallista sovelluskehitystä. Näitä ovat esimerkiksi lokiohjeet, pilven tietoturvavaatimukset sekä palveluiden kriittisyysluokittelu.

Tukea antavia sidosryhmiä ovat

esimerkiksi organisaation tietoturvatiimi, tietosuojatiimi ja pilvitiimi. Vaatimuksia sovelluskehitystyön toteuttamiseen

tulee sekä hankinnoista ja niihin liittyvistä sopimuksista että

organisaation politiikoista. Sovelluskehitystyöhön tulee vaatimuksia myös

organisaation ulkopuolelta. Näitä ovat mm. lait ja asetukset, kuten EU:n yleinen tietosuoja-asetus ja tiedonhallintalaki, eri viranomaissuositukset -ohjeet ja -määräykset sekä standardit.

Käsikirjan lisäksi alan parhaat ja ajantasaiset käytännöt, kuten OWASP:n, CIS:n ja MITRE:n ohjeet, antavat ohjeita turvalliseen sovelluskehitykseen. Tilannekuvan laatimiseksi ja ylläpitämiseksi voidaan seurata

esimerkiksi ohjelmistokomponentteihin liittyviä haavoittuvuuksia sekä yleisiä kohteeseen liittyviä uhkia ja ilmiöitä.

Sivun oikeassa reunassa on linkkilista viitekehyksessä esitettyihin

ulkoisiin rajapintoihin.