Johdanto (in Finnish)
Periaatteet
- Tietoturva huomioidaan sovelluksen elinkaaren kaikissa vaiheissa suunnittelusta luopumiseen.
- Sovelluksien riski- ja uhkataso määritellään ja tietoturvasta huolehditaan riski- ja uhkatason edellyttämällä tasolla.
- Tietoturva- ja testiautomaatio on kriittinen osa sovelluskehityksen- ja ylläpidon prosesseja. Sovelluskehittäjien tulee varmistaa, että sovellus testataan kattavasti.
- IT-projekteissa sovitaan tietoturvan vastuuroolit.
- Lue myös HY:n tietoturvaperiaatteet (Flamma työryhmät, vaatii kirjautumisen).
Ohjeiden tarkoitus
- Edistää hyviä käytäntöjä tietoturvan huomioimisessa sovelluskehityksen eri vaiheissa.
- Antaa tiivistetty yleiskuva minkälaisia tietoturva-asioita sovelluskehityksessä tulee huomioida ja kuinka ne voidaan ottaa huomioon.
- Auttaa eri rooleissa toimivia henkilöitä hahmottamaan heidän oma roolinsa tietoturvan edistämisessä ja varaamaan heille riittävästi aikaa erityisroolissa toimimiseen.
Tietoturvan rooli sovelluskehityksessä
- Tietoturva ja tietosuoja ovat toisistaan erottamattomia.
- Tietoturvan päätarkoitus on suojata tietoa, esimerkiksi tietoon pääsyä ja tiedon oikeellisuutta.
- Tietosuoja puolestaan suojaa tiedon kohteena olevan henkilön perusoikeutta yksityisyyteen ja henkilötietojen suojaan sekä vahvistaa hallintaa hänestä kerätyistä tiedoista.
- Hyvin toteutettu tietoturva mahdollistaa sovelluksen häiriöttömän ja tarkoituksenmukaisen käytön.
- Sovelluksen tietoturvaongelmat voivat johtaa myös muiden järjestelmien vaarantumiseen.
Tietoa aiheesta muualla
DVV Turvallisen sovelluskehityksen käsikirja
Digi- ja väestötietoviraston turvallisen sovelluskehityksen käsikirja on kattava opas tietoturvan huomioimisesta julkishallinnon sovelluskehityksessä.
Käsikirja kuvaa erityisesti tietoturvan kannalta tärkeitä prosesseja.
https://wiki.dvv.fi/pages/viewpage.action?pageId=230470940
Trendejä tietoturvassa
- Kybersää
- Kyberturvallisuuskeskuksen kuukausittain raportti tapahtumista
- https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/kybersaa
- Kyberturvallisuuskeskuksen Ohjelmistoturvallisuuden tila 2023 –raportti
- ENISA, European Union Agency for Cybersecurity
- OWASP TOP 10
- Yleisimmät uhat sovelluskehityksessä. Kertoo trendeistä, eikä ole kattava lista, jonka huomiointi yksinään riittäisi.
- https://owasp.org/www-project-top-ten/
OWASPin projektit
The Open Worldwide Application Security Project (OWASP) on voittoa tavoittelematon säätiö, jonka tehtävänä on kehittää sovellusten tietoturvaa. Eri projekteissaan he luovat malleja ja työkaluja sovellusten tietoturvan kehittämiseen ja varmistamiseen.
OWASP on suurimpia avoimia tietoturvamäärityksiä ja ohjeita kehittäviä organisaatioita, ja monia sen projekteja pidetään käytännön standardeina alla.
Alla on kuvattu muutamia sovelluskehityksen kannalta merkittäviä projekteja.
OWASP Application Security Verification Standard
- Lista tietoturvavaatimuksista aihepiireittäin, joka kertoo mitä vaatimuksia tulisi huomioida eri tietoturvatason sovelluksissa.
- Tekniset auditoinnit toteutetaan usein tätä listaa vastaan, joten se on hyvä huomioida jo kehitysvaiheessa.
- https://owasp.org/www-project-application-security-verification-standard/
OWASP Cheat Sheet Series
- Tiiviitä ohjeita eri sovelluksen osa-alueiden, menetelmien ja sovellusten tietoturvasta.
- Jo sovelluksen suunnitteluvaiheessa kannattaa tutustua tietoturvallisen suunnittelun perusperiaatteisiin.
Muita lähteitä
CIS Benchmarks
Kattavia ohjeita eri sovellusten koventamiseen. Ei-kaupalliseen käyttöön ilmaisia CC BY-NC-SA 4.0-lisenssillä.
https://www.cisecurity.org/cis-benchmarks
MITRE ATT&CK
Tietomurroissa käytettyjen tekniikoiden ja taktiikoiden luokittelua tosielämän havaintoihin perustuen.