Johdanto (in Finnish)

Last modified by Mikko Parviainen on 2026/06/15 12:26

Periaatteet

  • Tietoturva huomioidaan sovelluksen elinkaaren kaikissa vaiheissa suunnittelusta luopumiseen.
  • Sovelluksien riski- ja uhkataso määritellään ja tietoturvasta huolehditaan riski- ja uhkatason edellyttämällä tasolla.
  • Tietoturva- ja testiautomaatio on kriittinen osa sovelluskehityksen- ja ylläpidon prosesseja. Sovelluskehittäjien tulee varmistaa, että sovellus testataan kattavasti.
  • IT-projekteissa sovitaan tietoturvan vastuuroolit.
  • Lue myös HY:n tietoturvaperiaatteet (Flamma työryhmät, vaatii kirjautumisen). 

Ohjeiden tarkoitus

  • Edistää hyviä käytäntöjä tietoturvan huomioimisessa sovelluskehityksen eri vaiheissa.
  • Antaa tiivistetty yleiskuva minkälaisia tietoturva-asioita sovelluskehityksessä tulee huomioida ja kuinka ne voidaan ottaa huomioon.
  • Auttaa eri rooleissa toimivia henkilöitä hahmottamaan heidän oma roolinsa tietoturvan edistämisessä ja varaamaan heille riittävästi aikaa erityisroolissa toimimiseen.

Tietoturvan rooli sovelluskehityksessä

  • Tietoturva ja tietosuoja ovat toisistaan erottamattomia.
    • Tietoturvan päätarkoitus on suojata tietoa, esimerkiksi tietoon pääsyä ja tiedon oikeellisuutta.
    • Tietosuoja puolestaan suojaa tiedon kohteena olevan henkilön perusoikeutta yksityisyyteen ja henkilötietojen suojaan sekä vahvistaa hallintaa hänestä kerätyistä tiedoista.
  • Hyvin toteutettu tietoturva mahdollistaa sovelluksen häiriöttömän ja tarkoituksenmukaisen käytön.
  • Sovelluksen tietoturvaongelmat voivat johtaa myös muiden järjestelmien vaarantumiseen.

Tietoa aiheesta muualla

DVV Turvallisen sovelluskehityksen käsikirja

Digi- ja väestötietoviraston turvallisen sovelluskehityksen käsikirja on kattava opas tietoturvan huomioimisesta julkishallinnon sovelluskehityksessä.

Käsikirja kuvaa erityisesti tietoturvan kannalta tärkeitä prosesseja. 

https://wiki.dvv.fi/pages/viewpage.action?pageId=230470940

Trendejä tietoturvassa

OWASPin projektit

The Open Worldwide Application Security Project (OWASP) on voittoa tavoittelematon säätiö, jonka tehtävänä on kehittää sovellusten tietoturvaa. Eri projekteissaan he luovat malleja ja työkaluja sovellusten tietoturvan kehittämiseen ja varmistamiseen.

OWASP on suurimpia avoimia tietoturvamäärityksiä ja ohjeita kehittäviä organisaatioita, ja monia sen projekteja pidetään käytännön standardeina alla.

Alla on kuvattu muutamia sovelluskehityksen kannalta merkittäviä projekteja. 

OWASP Application Security Verification Standard

OWASP Cheat Sheet Series

Muita lähteitä

CIS Benchmarks

Kattavia ohjeita eri sovellusten koventamiseen. Ei-kaupalliseen käyttöön ilmaisia CC BY-NC-SA 4.0-lisenssillä.

https://www.cisecurity.org/cis-benchmarks

MITRE ATT&CK

Tietomurroissa käytettyjen tekniikoiden ja taktiikoiden luokittelua tosielämän havaintoihin perustuen.

https://attack.mitre.org/