Tietoturvatyön tiketöinti ja siirto tuotteen tehtävälistalle
Jotta tietoturvatyö tulisi näkyväksi ja sille varattaisiin riittävästi aikaa, ohjelmistokehittäjien tärkeimpiä vastuita on varmistua siitä, että tietoturvatyö näkyy työnhallintajärjestelmässä. Kun tietoturvatyö on kirjattu tehtäväksi tikettiin, esimerkiksi työjaksojen sisältöä määriteltäessä on selkeämpää, paljonko aikaa tietoturvatyö vie.
Jos ohjelmistokehittäjä havaitsee uutta tietoturvatyötä, jota pitäisi tehdä, heidän vastuullaan on lisätä se tuotteen tehtävälistalle. Tyypillisimmin tämä tapahtuu uhkamallinnuksen seurauksena, jolloin löydettyjen riskien hallitsemiseksi luodaan uusia tehtäviä.
Näkyvyyden varmistamiseksi ohjelmistokehittäjien tulee myös luokitella tiketit kuten luvussa 8. Uuden tai muuttuneen toiminnallisuuden tietoturva- ja tietosuojatyön tarkastuslista (liite 3) kuvataan.
Tietoturvatyön suorittaminen ja dokumentointi
Vastuu tietoturvatyön suorittamisesta on ohjelmistokehittäjillä.
On selvää, että kaikki ohjelmistokehitystiimit eivät aina pysty suorittamaan kaikkia näitä tietoturvatehtäviä aika- tai kompetenssirajoitteista johtuen. Vastuu ei kuitenkaan tällöin siirry, vaan rajoite on ratkaistava joko koulutuksella, priorisoinnilla tai tiimin ulkopuolisiin resursseihin tukeutumalla.
Joissakin tapauksissa ympäröivä organisaatio voi luoda palvelun, jonka käyttö on kustannustehokkaampaa kuin tiimin sisäisten resurssien käyttö. Esimerkiksi tutkivan tietoturvatestauksen asiantuntijaresurssit voi olla tehokkaampaa hankkia keskitetysti koko organisaation käyttöön.
Toteutusaikainen tietoturvatyö koostuu yleisimmin seuraavista tehtävistä:
- Kehitysympäristöjen ja -työkalujen tietoturvasta vastaaminen (Katso luku 7.5 Kehitysympäristöjen ja tuotantoon viennin yleisperiaatteet)
- Uhkamallinnus (katso luku 10. Uhkamallinnus (liite 5) alalukuineen sekä luku 7.1 Tietoturvallisen arkkitehtuurin ja suunnittelun yleisperiaatteet)
- Osallistuminen tietosuojavaikutusten arviointiin (ks. 11. Tietosuojan toteutumisen varmistaminen (liite 6))
- Koodikatselmointi tai staattinen analyysi (eli koneellinen koodikatselmointi)
- Automaattisten testitapausten toteutus (katso luku 7.8 Tietoturvatestauksen ja teknisen tarkastuksen yleisperiaatteet)
- Tutkiva tietoturvatestaus (katso luku 7.8 Tietoturvatestauksen ja teknisen tarkastuksen yleisperiaatteet)
- Ohjelmistoriippuvuuksien haavoittuvuusseuranta ja paikkaus (katso luku 7.1 Tietoturvallisen arkkitehtuurin ja suunnittelun yleisperiaatteet)
- Tuotantoon viennin tietoturvadokumentaation ylläpito (katso luku 7.5 Kehitysympäristöjen ja tuotantoon viennin yleisperiaatteet)
- Palvelun (mukaan lukien tuotetiimin ylläpitämän infrastruktuurin) monitoroinnin ja tietoturvapoikkeamiin reagoinnin järjestäminen
Tehdyn tietoturvatyön dokumentointi tehdään ensisijaisesti tiketöintijärjestelmään ja versiohallittuihin dokumentteihin (esimerkiksi wiki).
Jos ohjelmistokehittäjät tukeutuvat joiltakin osin käyttöpalvelutoimittajan komponentteihin (esimerkiksi käyttöjärjestelmään tai pilvipalvelun orkestrointirajapintaan), ohjelmistokehittäjien vastuulla on määritellä vastuunjaon raja käyttöpalvelutoimittajaan nähden. Käyttöpalvelutoimittajan vastuualueista on sovittava sopimuksellisesti.