Ohjeet
Tietoturva- ja tietosuojatyö tulee kohdentaa oikein, jotta resursseja ei tuhlata kohteisiin, joissa ei ole merkittäviä tietoturvariskejä. Tätä tarkastuslistaa voidaan käyttää sen määrittämiseen, mitä tietoturva- ja tietosuojatyötä toiminnallisuudelle on tarpeen tehdä.
Tarkastuslistat eivät kata kaikkia tietoturva- tai tietosuoja-aktiviteetteja vaan ainoastaan ne tehtävät, joiden avulla loput aktiviteetit voidaan löytää. Tietoturvan osalta tyypillisimmin olennaisin tehtävä on uhkamallinnus, ja tietosuojan osalta tietosuojan riskiarviointi. Uhkamallinnuksen suorittaminen paljastaa muut tietoturvatarpeet.
Tarkastuslistoja voidaan käyttää eri tasoisille työlistan tehtäville. Yleisimmin kohteena on käyttäjäkertomustasoinen (user story) tehtävä, mutta erityisesti tietosuojakysymyksiin voidaan usein vastata korkeammalla tasolla (epic). Joskus taas tarkastuslistan läpikäyminen voi olla tarpeen myös hyvin matalan tason tehtävillekin - esimerkiksi jos todennusmekanismissa suoritetaan bugikorjaus.
Tarkastuslistoja käytetään vastaamalla vasemman sarakkeen kysymyksiin. Jos vastaus on myöntävä, varmistetaan, että tehtävälistalla on oikeassa sarakkeessa merkitty tehtävä. Syvällisempää analyysiä ei välttämättä tässä vaiheessa tarvita; listan lopussa on esitetty mallitekstejä, jotka voi yleisimmin leikata ja liimata.
Tehtävät luokitellaan käyttäen työnohjausjärjestelmän leimoja (label tai tag), jotta tietoturva- ja tietosuojatyön seuraaminen on mahdollista.
Tarkastuslista 1
| 1. Liittyykö uusi tai muuttunut toiminnallisuus | Kyllä | Ei |
|---|---|---|
| uuden tietovarannon kuten tietokannan käyttöönottoon? | ||
| todennuksen, valtuutuksen tai istuntojen hallinnan toteutukseen? | ||
| järjestelmän tuotantoonviennin periaatteen muutoksiin? | ||
| uuden kolmannen osapuolen riippuvuuden käyttöönottoon? | ||
| uuden rajapintaintegraation käyttöönottoon? | ||
| olemassa olevan oman rajapinnan toiminnallisuuden laajentamiseen? |
Jos vastaus on myöntävä:
- Tehtävälistalla on tehtävä (1) joka linkitetään toiminnallisuuden toteuttavaan tehtävään
- Tehtävälistan tehtävällä (1) on luokitus "uhkamallinnus"
Tarkastuslista 2
| 2. Liittyykö uusi tai muuttunut toiminnallisuus | Kyllä | Ei |
|---|---|---|
| muutokseen henkilötietojen käsittelyssä (mitä tai miten käsitellään)? | ||
| muutokseen analytiikassa, mainostuksessa tai profiloinnissa? |
Jos vastaus on myöntävä:
- Tuotteen tehtävälistalla on tehtävä (2) joka linkitetään toiminnallisuuden toteuttavaan tehtävään
- Toiminnallisuuden toteuttavalla tehtävällä on luokitus "tietosuoja" ja lisätyllä tehtävällä (2) luokitus "pia"
- Tuotteen tehtävälistalla on tehtävä (1) joka linkitetään toiminnallisuuden toteuttavaan tehtävään
- Tehtävällä (1) on luokitus "uhkamallinnus"
Tarkastuslista 3
| 3. Liittyykö uusi tai muuttunut toiminnallisuus | Kyllä | Ei |
|---|---|---|
| henkilötietojen laajamittaisen käsittelyn, kattavan profiloinnin, järjestelmällisen valvonnan tai tietojen EU:n ulkopuolelle viennin aloittamiseen? | ||
| muutokseen henkilöiden arvioinnissa, automaattiseen oikeusvaikutusten luomisessa? | ||
| muutokseen arkaluontoisten tai haavoittuvassa asemassa olevien henkilöiden tietojen käsittelyssä? | ||
| uuden tai innovatiivisen henkilötietojen hankinnan tai käsittelytekniikan käyttöönottoon? |
Jos vastaus on myöntävä:
- Tuotteen tehtävälistalla on tehtävä (3) joka linkitetään toiminnallisuuden toteuttavaan tehtävään
- Toiminnallisuuden toteuttavalla tehtävällä on luokitus "tietosuoja" ja lisätyllä tehtävällä (3) luokitus "pia"
- Tuotteen tehtävälistalla on tehtävä (1) joka linkitetään toiminnallisuuden toteuttavaan tehtävään
- Lisätyllä tehtävällä (1) on luokitus "uhkamallinnus"
Tehtävät
Tehtävä (1)
"Suoritetaan uhkamallinnus toiminnallisuudelle käyttäen STRIDE-menetelmää (turvallisen ohjelmistokehityksen käsikirjan Liite 5: Uhkamallinnus). Uhkamallinnuksessa löytyvien riskien ehkäisemiseen tarkoitetut vaatimukset kirjataan tuotteen tehtävälistalle."
Tehtävä (2)
"Suoritetaan tietosuojavaikutusten arviointi (turvallisen ohjelmistokehityksen käsikirjan Liite 6: Tietosuojan toteutumisen varmistaminen). Tietosuojavaikutusten arvioinnissa löytyvien riskien ehkäisemiseen ja lain noudattamiseen tarkoitetut vaatimukset kirjataan tuotteen tehtävälistalle."
Tehtävä (3)
"Suoritetaan tietosuojavaikutusten arviointi tietosuoja-asetuksen määräämällä tavalla (DPIA) (turvallisen ohjelmistokehityksen käsikirjan Liite 6: Tietosuojan toteutumisen varmistaminen). Tietosuojavaikutusten arvioinnissa löytyvien riskien ehkäisemiseen ja lain noudattamiseen tarkoitetut vaatimukset kirjataan tuotteen tehtävälistalle."