- Created by Unknown User (erja.kinnunen@dvv.fi), last modified by Seulassaari Riina (DVV) on 15.5.2023
You are viewing an old version of this page. View the current version.
Compare with Current View Page History
« Previous Version 2 Next »
Kuva 1: Turvallisen sovelluskehityksen viitekehys
Kuva 1 esittää turvallisen sovelluskehityksen viitekehyksen, jonka keskiössä on organisaation digitaalisten palveluiden sovelluskehitys, jota tuotetiimit tekevät. Turvallisen sovelluskehityksen ohjenuorana on tämä käsikirja.
Yksi keskeisimmistä asioista on tehdä kaikki kehittämisen kohteeseen liittyvä tietoturva- ja tietosuojatyö näkyväksi kirjaamalla ne tiimin tehtävälistalle. Esimerkkejä tietoturvatöistä ovat esimerkiksi uhkamallinnukset, lokituksen suunnittelu ja toteutus sekä tietoturvatestaus.
Organisaatiolla on todennäköisesti myös muutamia muita keskeisiä ohjeita, vaatimuksia ja linjauksia, jotka ohjaavat sovelluskehitystiimien turvallista sovelluskehitystä. Näitä ovat esimerkiksi lokiohjeet, pilven tietoturvavaatimukset sekä palveluiden kriittisyysluokittelu.
Tukea antavia sidosryhmiä ovat esimerkiksi organisaation tietoturvatiimi, tietosuojatiimi ja pilvitiimi. Vaatimuksia sovelluskehitystyön toteuttamiseen tulee sekä hankinnoista ja niihin liittyvistä sopimuksista että organisaation politiikoista. Sovelluskehitystyöhön tulee vaatimuksia myös organisaation ulkopuolelta. Näitä ovat mm. lait ja asetukset, kuten EU:n yleinen tietosuoja-asetus ja tiedonhallintalaki, eri viranomaissuositukset -ohjeet ja -määräykset sekä standardit.
Käsikirjan lisäksi alan parhaat ja ajantasaiset käytännöt, kuten OWASP:n, CIS:n ja MITRE:n ohjeet, antavat ohjeita turvalliseen sovelluskehitykseen. Tilannekuvan laatimiseksi ja ylläpitämiseksi voidaan seurata esimerkiksi ohjelmistokomponentteihin liittyviä haavoittuvuuksia sekä yleisiä kohteeseen liittyviä uhkia ja ilmiöitä.
Sivun oikeassa reunassa on linkkilista viitekehyksessä esitettyihin ulkoisiin rajapintoihin.
- OWASP
- Muita OWASP:n parhaita käytäntöjä (ei kuvassa)
- Parhaita käytäntöjä / CIS
- Parhaita käytäntöjä / MITRE ATT&CK
- Parhaita käytäntöjä / Kyberturvallisuuskeskus
Turvallisen sovelluskehityksen käsikirja (Confluence, tämä dokumentti)
- Keskeisiä DVV:n ohjeita, vaatimuksia ja linjauksia
Tietoturvaperiaatteita (DIVI)
Lokiohjeet (Confluence)
Pilven tietoturvavaatimukset (Confluence)
Vaatimukset tuotantoympäristössä toimimiseen (Confluence)
Arvopakettien tietoturva- ja tietosuoja-analyysin tarkistuslista (Confluence)
Kyberturvallisuuskeskuksen haavoittuvuustiedotteet (ei ole kuvassa)
Kyberturvallisuuskeskuksen uutiskirjeet (uutiskirjeiden tilausohjeet)
Kryptografisia standardeja (esimerkkejä)
- No labels