Versions Compared

Old Version 4

changes.mady.by.user Unknown User (rosa.hyvarinen@dvv.fi)

Saved on

compared with

New Version Current

changes.mady.by.user Unknown User (erja.kinnunen@dvv.fi)

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.


Section
Column
width720px

Ohjeet

Tietoturva- ja tietosuojatyö tulee kohdentaa oikein, jotta resursseja ei tuhlata kohteisiin, joissa ei ole merkittäviä tietoturvariskejä. Tätä tarkastuslistaa voidaan käyttää sen määrittämiseen, mitä tietoturvatyötä tietoturva- ja tietosuojatyötä toiminnallisuudelle on tarpeen tehdä.

Tarkastuslista ei Tarkastuslistat eivät kata kaikkia tietoturva- tai tietosuoja-aktiviteetteja vaan ainoastaan ne tehtävät, joiden avulla loput aktiviteetit voidaan löytää. Tyypillisimmin Tietoturvan osalta tyypillisimmin olennaisin tehtävä on uhkamallinnus, ja tietosuojan osalta tietosuojan riskiarviointi. Uhkamallinnuksen suorittaminen paljastaa muut tietoturvatarpeet.

Tarkastuslistaa Tarkastuslistoja voidaan käyttää eri tasoisille työlistan tehtäville. Yleisimmin kohteena on käyttäjäkertomustasoinen (user story) tehtävä, mutta erityisesti tietosuojakysymyksiin voidaan usein vastata korkeammalla tasolla (epic). Joskus taas tarkastuslistan läpikäyminen voi olla tarpeen myös hyvin matalan tason tehtävillekin - esimerkiksi jos todennusmekanismissa suoritetaan bugikorjaus.

Tarkastuslistaa Tarkastuslistoja käytetään vastaamalla vasemman sarakkeen kysymyksiin. Jos vastaus on myöntävä, varmistetaan, että tehtävälistalla on oikeassa sarakkeessa merkitty tehtävä. Syvällisempää analyysiä ei välttämättä tässä vaiheessa tarvita; listan lopussa on esitetty mallitekstejä, jotka voi yleisimmin leikata ja liimata.

Tehtävät luokitellaan käyttäen työnohjausjärjestelmän leimoja (label tai tag), jotta tietoturva- ja tietosuojatyön seuraaminen on mahdollista.




Section
bordertrue
Column
width40px

Column
width680px

Tarkastuslista 1


1. Liittyykö uusi tai muuttunut toiminnallisuusKylläEi
uuden tietovarannon kuten tietokannan käyttöönottoon?

todennuksen, valtuutuksen tai istuntojen hallinnan toteutukseen?

järjestelmän tuotantoonviennin periaatteen muutoksiin?

uuden kolmannen osapuolen riippuvuuden käyttöönottoon?

uuden rajapintaintegraation käyttöönottoon?

olemassa olevan oman rajapinnan toiminnallisuuden laajentamiseen?


Jos vastaus on myöntävä:

  • Tehtävälistalla on tehtävä (1) joka linkitetään toiminnallisuuden toteuttavaan tehtävään
  • Tehtävälistan tehtävällä (1) on luokitus "uhkamallinnus"



Section
bordertrue
Column
width40px

Column
width680px

Tarkastuslista 2


2. Liittyykö uusi tai muuttunut toiminnallisuusKylläEi
muutokseen henkilötietojen käsittelyssä (mitä tai miten käsitellään)?

muutokseen analytiikassa, mainostuksessa tai profiloinnissa?


Jos vastaus on myöntävä:

  • Tuotteen tehtävälistalla on tehtävä (2) joka linkitetään toiminnallisuuden toteuttavaan tehtävään
  • Toiminnallisuuden toteuttavalla tehtävällä on luokitus "tietosuoja" ja lisätyllä tehtävällä (2) luokitus "pia"
  • Tuotteen tehtävälistalla on tehtävä (1) joka linkitetään toiminnallisuuden toteuttavaan tehtävään
  • Tehtävällä (1) on luokitus "uhkamallinnus"




Section
bordertrue
Column
width40px

Column
width680px

Tarkastuslista 3


3. Liittyykö uusi tai muuttunut toiminnallisuusKylläEi
henkilötietojen laajamittaisen käsittelyn, kattavan profiloinnin,
järjestelmällisen valvonnan tai tietojen EU:n ulkopuolelle viennin
aloittamiseen?

muutokseen henkilöiden arvioinnissa, automaattiseen
oikeusvaikutusten luomisessa?

muutokseen arkaluontoisten tai haavoittuvassa asemassa
olevien henkilöiden tietojen käsittelyssä?

uuden tai innovatiivisen henkilötietojen hankinnan tai
käsittelytekniikan käyttöönottoon?


Jos vastaus on myöntävä:

  • Tuotteen tehtävälistalla on tehtävä (3) joka linkitetään toiminnallisuuden toteuttavaan tehtävään
  • Toiminnallisuuden toteuttavalla tehtävällä on luokitus "tietosuoja" ja lisätyllä tehtävällä (3) luokitus "pia"
  • Tuotteen tehtävälistalla on tehtävä (1) joka linkitetään toiminnallisuuden toteuttavaan tehtävään
  • Lisätyllä tehtävällä (1) on luokitus "uhkamallinnus"







Tehtävät 

Anchor
tehtava1
tehtava1
Anchor
tehtava2
tehtava2
Anchor
tehtava3
tehtava3

Section
bordertrue
Column
width40px

Column
width680px

Tehtävä (1)

"Suoritetaan uhkamallinnus toiminnallisuudelle käyttäen STRIDE-menetelmää (turvallisen ohjelmistokehityksen käsikirjan Liite 5: Uhkamallinnus). Uhkamallinnuksessa löytyvien riskien ehkäisemiseen tarkoitetut vaatimukset kirjataan tuotteen tehtävälistalle."



Section
bordertrue
Column
width40px

Column
width680px

Tehtävä (2)


"Suoritetaan tietosuojavaikutusten arviointi (turvallisen ohjelmistokehityksen käsikirjan Liite 6: Tietosuojan toteutumisen varmistaminen). Tietosuojavaikutusten arvioinnissa löytyvien riskien ehkäisemiseen ja lain noudattamiseen tarkoitetut vaatimukset kirjataan tuotteen tehtävälistalle."



Section
bordertrue
Column
width40px

Column
width680px

Tehtävä (3)


"Suoritetaan tietosuojavaikutusten arviointi tietosuoja-asetuksen määräämällä tavalla (DPIA) (turvallisen ohjelmistokehityksen käsikirjan Liite 6: Tietosuojan toteutumisen varmistaminen). Tietosuojavaikutusten arvioinnissa löytyvien riskien ehkäisemiseen ja lain noudattamiseen tarkoitetut vaatimukset kirjataan tuotteen tehtävälistalle."









Section
Column
width800px


Column
width200px


Column
width510px

9. Tietoturva-arkkitehtuurin dokumentoinnin vähimmäisvaatimukset (liite 4) >