Turvallisen sovelluskehityksen viitekehys
Turvallisen sovelluskehityksen viitekehyksen keskiössä on DVV:n sähköisten palveluiden turvallinen sovelluskehitys, jota tuotetiimit tekevät.Turvallisen sovelluskehityksen ohjenuorana on tämä käsikirja, jota noudattaen tuotetiimien tulisi tehdä sovelluskehitystä.
Yksi keskeisimmistä asioista on tehdä kaikki kehittämisen kohteeseen liittyvä tietoturva- ja tietosuojatyö näkyväksi kirjaamalla tietoturva- ja tietosuojatehtävät tiimin tehtävälistalle. Esimerkkejä tietoturvatöistä ovat esimerkiksi uhkamallinnukset, lokituksen suunnittelu ja toteutus sekä tietoturvatestaus.
DVV:lla on myös muutamia muita keskeisiä ohjeita, vaatimuksia ja linjauksia, jotka ohjaavat sovelluskehitystiimien turvallista sovelluskehitystä. Näitä ovat esimerkiksi lokiohjeet, pilven tietoturvavaatimukset sekä palveluiden kriittisyysluokittelu.
Tukea antavia sidosryhmiä ovat mm. DVV:n tietoturvatiimi, tietosuojatiimi ja pilvitiimi. Vaatimuksia sovelluskehitystyön toteuttamiseen tulee sekä hankinnoista ja niihin liittyvistä sopimuksista että DVV:n politiikoista. Sovelluskehitystyöhön tulee vaatimuksia myös viraston ulkopuolelta. Näitä ovat mm. lait ja asetukset, kuten EU:n yleinen tietosuoja-asetus ja tiedonhallintalaki, eri viranomaissuositukset -ohjeet ja -määräykset sekä standardit.
Käsikirjan lisäksi alan parhaat ja ajantasaiset käytännöt, kuten OWASP:n, CIS:n ja MITRE:n ohjeet, antavat ohjeita turvalliseen sovelluskehitykseen. Tilannekuvan laatimiseksi ja ylläpitämiseksi voidaan seurata mm. kehittettävään kohteeseen ja liittyvien ohjelmistokomponentteihin liittyviä haavoittuvuuksia sekä yleisiä kohteeseen liittyviä uhkia ja ilmiöitä.
Alla oleva kuva esittää DVV:n turvallisen sovelluskehityksen viitekehyksen. Kuvan alla on linkkilista viitekehyksessä esitettyihin ulkoisiin rajapintoihin.
- OWASP
- Muita OWASP:n parhaita käytäntöjä (ei kuvassa)
- Parhaita käytäntöjä / CIS
- Parhaita käytäntöjä / MITRE ATT&CK
- Parhaita käytäntöjä / Kyberturvallisuuskeskus
Turvallisen sovelluskehityksen käsikirja (Confluence, tämä dokumentti)
- Keskeisiä DVV:n ohjeita, vaatimuksia ja linjauksia
Tietoturvaperiaatteita (DIVI)
Lokiohjeet (Confluence)
Pilven tietoturvavaatimukset (Confluence)
Vaatimukset tuotantoympäristössä toimimiseen (Confluence)
Arvopakettien tietoturva- ja tietosuoja-analyysin tarkistuslista (Confluence)
Kyberturvallisuuskeskuksen haavoittuvuustiedotteet (ei ole kuvassa)
Kyberturvallisuuskeskuksen uutiskirjeet (uutiskirjeiden tilausohjeet)
PiTuKri - Pilvipalveluiden turvallisuuden arviointikriteeristö
JHS-suositukset (Huom! Osa suosituksista vanhentuneita)
Kyberturvallisuuskeskuksen valvonnan ja ohjauksen alaiset toiminnot
Kryptografisia standardeja (esimerkkejä)