• Created by Unknown User (erja.kinnunen@dvv.fi) on 11.5.2023

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

Version 1 Next »


Tietoturvatyön tiketöinti ja siirto tuotteen tehtävälistalle

Jotta tietoturvatyö tulisi näkyväksi ja sille varattaisiin riittävästi aikaa, ohjelmistokehittäjien tärkeimpiä vastuita on varmistua siitä, että tietoturvatyö näkyy työnhallintajärjestelmässä. Kun tietoturvatyö on kirjattu tehtäväksi tikettiin, esimerkiksi työjaksojen sisältöä määriteltäessä on selkeämpää, paljonko aikaa tietoturvatyö vie.

Mikäli ohjelmistokehittäjä havaitsee uutta tietoturvatyötä, jota pitäisi tehdä, heidän vastuullaan on lisätä se tuotteen tehtävälistalle. Tyypillisimmin tämä tapahtuu uhkamallinnuksen seurauksena, jolloin löydettyjen riskien hallitsemiseksi luodaan uusia tehtäviä.

Näkyvyyden varmistamiseksi ohjelmistokehittäjien tulee myös luokitella tiketit kuten Liite 3: Uuden tai muuttuneen toiminnallisuuden tietoturva- ja tietosuojatyön tarkastuslista kuvaa.



Tietoturvatyön suorittaminen ja dokumentointi

Vastuu tietoturvatyön suorittamisesta on ohjelmistokehittäjillä.

On selvää, että kaikki ohjelmistokehitystiimit eivät aina pysty suorittamaan kaikkia näitä tietoturvatehtäviä aika- tai kompetenssirajoitteista johtuen. Vastuu ei kuitenkaan tällöin siirry, vaan rajoite on ratkaistava joko koulutuksella, priorisoinnilla tai tiimin ulkopuolisiin resursseihin tukeutumalla.

Joissakin tapauksissa ympäröivä organisaatio voi luoda palvelun, jonka käyttö on kustannustehokkaampaa kuin tiimin sisäisten resurssien käyttö. Esimerkiksi tutkivan tietoturvatestauksen asiantuntijaresurssit voi olla tehokkaampaa hankkia keskitetysti koko organisaation käyttöön.

Toteutusaikainen tietoturvatyö koostuu yleisimmin seuraavista tehtävistä:

  • Kehitysympäristöjen ja -työkalujen tietoturvasta vastaaminen (ks. kappale Kehitysympäristöjen ja tuotantoonviennin yleisperiaatteet)
  • Uhkamallinnus (ks. 9. Uhkamallinnus (liite 5) ja kappale Tietoturvallisen arkkitehtuurin ja suunnittelun yleisperiaatteet)
  • Tietosuojavaikutusten arviointi (ks. Liite 6: Tietosuoja)
  • Koodikatselmointi tai staattinen analyysi (eli koneellinen koodikatselmointi)
  • Automaattisten testitapausten toteutus (ks. kappale Tietoturvatestauksen ja teknisen tarkastuksen yleisperiaatteet)
  • Tutkiva tietoturvatestaus (ks. kappale Tietoturvatestauksen ja teknisen tarkastuksen yleisperiaatteet)
  • Ohjelmistoriippuvuuksien haavoittuvuusseuranta ja paikkaus (ks. kappale Tietoturvallisen arkkitehtuurin ja suunnittelun yleisperiaatteet)
  • Tuotantoon viennin tietoturvadokumentaation ylläpito (ks. kappale Kehitysympäristöjen ja tuotantoonviennin yleisperiaatteet)
  • Palvelun (mukaan lukien tuotetiimin ylläpitämän infrastruktuurin) monitoroinnin ja tietoturvapoikkeamiin reagoinnin järjestäminen


Tehdyn tietoturvatyön dokumentointi tehdään ensisijaisesti tiketöintijärjestelmään ja versiohallittuihin dokumentteihin (esimerkiksi wiki).

Mikäli ohjelmistokehittäjät tukeutuvat joiltakin osin käyttöpalvelutoimittajan komponentteihin (esimerkiksi käyttöjärjestelmään tai pilvipalvelun orkestrointirajapintaan), ohjelmistokehittäjien vastuulla on määritellä vastuunjaon raja käyttöpalvelutoimittajaan nähden. Käyttöpalvelutoimittajan vastuualueista on sovittava sopimuksellisesti.










< 3.2.3 Arkkitehtien vastuut

3.2.5 Tietoturva-asiantuntijan vastuut >





  • No labels