Page History

Image Removed

1.

1. Tuotetiimi on toteuttanut ohjelmiston yleisarkkitehtuurille ja pääasiallisille toiminnallisuuksille uhkamallinnuksen noudattaen liitteen 5 ohjeita soveltuvin osin. Tuoteomistaja on kirjallisesti hyväksynyt mahdolliset jäännösriskit. Tuotetiimi on tiketöinyt uhkamallinnuksen toteutuksen sekä sen tuloksena syntyneet (tietoturva)tehtävät. Tämä vaatimus voi täyttyä yhdistelemällä kertaluontoisia uhkamallinnuksia ja tämän prosessin kuvaamia toiminnallisuuskohtaisia pienemmistä uhkamallinnuksista.

Image Removed

2.

Henkilötietojen käsittelyyn liittyvät riskit on arvioitu, ja tuotantoon vietävä kokonaisuus on esitelty tietosuojavastaavalle. Esittely voidaan tehdä esimerkiksi arvopaketin tietosuoja- ja tietoturva-analyysiä tehtäessä.

2. Henkilötietojen käsittelyyn liittyvät riskit on arvioitu, tietosuojakortti on täytetty ja tarvittaessa myös tietosuojan vaikutustenarviointi on laadittu. Tarvittaessa tuotantoon vietävä kokonaisuus on esitelty esiteltävä tietosuojavastaavalle. Esittely voidaan tehdä esimerkiksi arvopaketin tietosuoja- ja tietoturva-analyysiä tehtäessä.

Image Removed

3.

3. Ohjelmistolle on suoritettu tietosuojavaikutusten arviointi (tietosuoja-asetuksen tarkoittama Data Protection Impact Assessment, DPIA), mikäli se on lakisääteisesti tarpeellista. Suoritettu tietosuojavaikutusten arviointi ja sen tulokset ovat auditoitavissa.

Image Removed

4.

4. Mikäli Jos ohjelmisto käsittelee henkilötietoja, ohjelmistosta on olemassa ajantasainen kuvaus henkilötietovirroista ja niiden tallennuspaikoista, henkilötietotyyppikohtaisesti eriteltyinä. Tämä vaatimus on erillinen tietosuojavaikutusten arvioinnista ja sen tulee toteutua kaikille henkilötietoja käsitteleville ohjelmistoille.

Image Removed

5.

5. Ohjelmiston tietoturvatestaustarpeet on määritelty ja ne on dokumentoitu. Ensisijaisesti testaustarpeet dokumentoidaan tiketteinä tuotteen tehtävälistalla.

Testaus on hyväksytysti suoritettu.

Image Removed

6.

6. Ohjelmistolle on tehty säännöllinen game day. Game dayssä tunnistetaan ja havaitaan (uusia) riskejä, selvitetään ohjelmiston palautumiskyvykkyys ja koulutetaan tiimien jäseniä pilvioperointiin ja toimintaohjeiden (playbook tai runbook) noudattamiseen. Game day n konseptin omistaa kirjoitushetkellä pilvitiimi-konseptin omistajuus voi olla esimerkiksi pilvitiimillä.

Image Removed

7.

7. Liite 4: Tietoturva-arkkitehtuurin dokumentoinnin vähimmäisvaatimuksetOhjelmistosta on olemassa ajantasainen tietoturva-arkkitehtuurikuvaus, joka täyttää minimivaatimukseltaan kappaleen liitteen 4vaatimukset.

Image Removed

8.

8. Muutosoikeudet käyttöpalvelujen ylläpitoon on rajattu vain niille henkilöille, joiden on tarpeen tehdä tuotannonaikaisia toimenpiteitä. Tämä sisältää ajoympäristöjen virtuaalikoneet, käyttöjärjestelmät, orkestrointijärjestelmät, koodivarastot (repositories), automaattisen tuotantoon viennin järjestelmät ja verkon konfiguraatiot. Jos infrastruktuuri on kuvattu koodina, myös versionhallinnan katsotaan kuuluvaksi käyttöpalvelujen ylläpitoon.

Image Removed

9.

9. Käyttöpalvelujen ylläpitoon liittyvien ympäristöjen (vaatimus 8 yllä) omistajuus ja päivitysperiaatteet on vastuutettu ja kuvattu selkeästi.

Image Removed

10.

10. Käyttöpalvelut täyttävät niille erikseen asetetut kovennusvaatimukset noudatellen palvelutoimittajan ja palvelun käyttäjän vastuurajoja. Ellei kovennusvaatimuksia ole erikseen määritelty, lähteinä käytetään ensisijaisesti CIS Benchmark -dokumentteja.Center for Internet Security Benchmarks -suosituksia (https://www.cisecurity.org/cis-benchmarks/)

Image Removed

11.

11. Ohjelmiston tuottamat lokit siirretään keskitettyyn lokijärjestelmään.

Image Removed

12.

Ohjelmiston ajallisesti rajoitetut komponentit (kuten varmenteet) sekä salaisuuksien hallinta on dokumentoitu, ja niiden hallinta on siirretty mahdollisen tuotantoa hoitavan tahon haltuun.

13.

< 56.2 Kriteerit tuotantoon viennin vaatimuksille

67. Tietoturvallisuuden yleisperiaatteet (liite 2) >