Sisäänrakennettu tietosuoja ja ohjelmistokehitys

Samankaltaiset tiedostot
Sisäänrakennettu tietosuoja ja ohjelmistokehitys

Järjestelmän kriittisimmille toiminnallisuuksille (listattu alla), toteutetaan 1

MY STANDARD -OHJE. mystandard.hansaworld.com. Standard ERP Pilvipalvelu Sivu 1/6

Ohjelmistotuotteen hallinnasta

Taltioni teknisen alustan arviointi

Määrittelyvaihe. Projektinhallinta

Sovellustietoturvallisuus Petteri Arola OWASP Chapter Leader Nixu Oy OWASP The OWASP Foundation

käyttötapaukset mod. testaus

Scrum is Not Enough. Scrum ei riitä. Ari Tanninen & Marko Taipale. Nääsvillen oliopäivä 2009 Tampereen teknillinen yliopisto 9.12.

Tietoturvakonsulttina työskentely KPMG:llä

Avoimen ja yhteisen rajapinnan hallintasuunnitelma v.1.4

Käyttövaltuushallinnan hyödyt tehokkaasti käyttöön. Johanna Lampikoski, RM5 Software Juha Arjonranta, TeliaSonera Finland

Avoimen ja jaetun tiedon hyödyntäminen. Juha Ala-Mursula BusinessOulu

Kansallisten määritysten, toiminnan ja ATJ:n yhteensovittaminen. SosKanta-hanke, webcast-info Jaana Taina ja Kati Utriainen

Turvallisen sovelluskehityksen käsikirja. Antti Vähä-Sipilä, F-Secure

Tietoturvan ja -etosuojan suhde sovelluskehityksessä. An6 Vähä- Sipilä Tietoturva ry SFS:n seminaari

Ohjelmistojen mallintaminen. Luento 11, 7.12.

Tietojärjestelmän osat

PIKAOHJE USEIDEN VASTAANOTTAJIEN LISÄÄMISEEN YHTIÖN JAKELULISTOILLE

Hyökkäysten havainnoinnin tulevaisuus?

BDD (behavior-driven development) suunnittelumenetelmän käyttö open source projektissa, case: SpecFlow/.NET.

Avoimen ja yhteisen rajapinnan hallintamalli

Facebook-opas tilitoimistoille

Tuunix Oy Jukka Hautakorpi

Siltatiedon tarkkuustason määrittäminen Taitorakennerekisterissä. Maria Vinter

Kehmet. Yleisesittely

Kaupunginkanslian avoin ohjelmistokehitys, rajapintatyö, syksy kevät Projektitarpeen ja tavoitteiden kuvaus

<raikasta digitaalista ajattelua>

Pilvee, pilvee, pilvee TERVETULOA! Toni Rantanen

Tietosuojariskienhallinnan palvelutuotteet. Marko Ruotsala M.Eng, CISA, CISM,CRISC,HCISPP Liiketoimintapäällikkö, turvallisuus ja riskienhallinta

Digikoulu Pilviteknologiat - Tunti 1001: Tiedon varastointi Amazon Simple Storage Service (Amazon S3) palveluun

TeliaSonera Identity and Access Management

Kyberturvallisuus kiinteistöautomaatiossa

Kaakkois-Suomen Ammattikorkeakoulu Oy Mikkelin Ammattikorkeakoulu Oy Kymenlaakson Ammattikorkeakoulu Oy

Ohjelmiston testaus ja laatu. Ohjelmistotekniikka elinkaarimallit

Laadukas vaatimustenhallinta. Pekka Mäkinen Copyright SoftQA Oy

PILVIPALVELUT. Käyttäjän- ja pääsynhallinnan näkökantoja itsmf.fi aamiasseminaari

Osaamiskartta pikaopas

BUILDINGSMART ON KANSAINVÄLINEN FINLAND

Onnistunut SAP-projekti laadunvarmistuksen keinoin

Digital by Default varautumisessa huomioitavaa

Avoin lähdekoodi hankinnoissa Juha Yrjölä

Automaatiojärjestelmän hankinnassa huomioitavat tietoturva-asiat

Contents AdsML ympäristö... 2 AdsML Testi ympäristö... 2 AdsML tuotantoympäristö... 2 AdsML käyttöliittymä... 3 Kirjautuminen...

Pysyvän rakennustunnuksen käyttöönotto Jyväskylässä. Ismo Tulisalo Paikkatietoasiantuntija

VYPEdit verkkosivualusta SVY-toimijoille

Testauksen suunnittelu ja dokumentointi ketterässä testauksessa Tutkimustuloksia

DOORSin Spreadsheet export/import

Click to edit Master subtitle style. Click to edit Master subtitle style. Viro egovernment. Jukka Lehtonen

Ohjelmistojen mallintaminen, kurssikoe esimerkkivastauksia

Punomo Blogit BLOGIN LUOMINEN WORDPRESS-ALUSTALLA. Kirjaudu -palveluun osoitteessa tunnuksellasi.

PCI DSS 3.0. Merkittävimmät muutokset Seppo Heikkinen, QSA Nixu

Oppilaan pikaopas. Project 2013 käyttöliittymä ja näkymät

Hostingpalvelujen. oikeudelliset kysymykset. Viestintäviraston Abuse-seminaari Jaakko Lindgren

GroupDesk Toiminnallinen määrittely

Ohjelmistotuotanto vs. muut insinööritieteet. (Usein näennäinen) luotettavuus ja edullisuus

Riskienhallinta ja turvallisuus FORUM 2012

Turvakriittisen projektin menetelmät ja työkalut

Ohjelmistokehitys Skype-klinikka

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

Tekninen vuoropuhelu. Apotti-hanke. Tietopyyntö

Käytettävyyden huomiointi ohjelmisto prosessissa testausta lisäämällä

GLP-tukitoimintojen ulkoistaminen: QA, IT, Arkistointi. Fimean GLP-keskustelupäivä

DL SOFTWARE Uumajankatu 2 Umeågatan FIN VAASA/VASA FINLAND +358-(0) Fax +358-(0)

Tampereen yliopisto TTY-säätiö sr Tampereen ammattikorkeakoulu Oy. Hankinnan kohteen kuvaus 1 (5) D/968/240.20/2017 Liite

Webforum. Version 17.2 uudet ominaisuudet. Päivitetty:

Suomi.fi - Tietoturvallisuus sovelluskehityksessä. VAHTI sähköisen asioinnin tietoturvaseminaari

TUTKI OMAT TIETOTURVA-AUKKOSI. ENNEN KUIN JOKU MUU TEKEE SEN PUOLESTASI. F-Secure Radar Ville Korhonen

ITK130 Ohjelmistojen luonne

HAVAINTOJA PARHAISTA KÄYTÄNNÖISTÄ. Harri Vilander, Nixu Oy

Tutkittua tietoa. Tutkittua tietoa 1

Lyhyt ohje Ning-verkoston hallinnoimiseksi ja muokkaamiseksi

Kohti Kohaa avoimen lähdekoodin kirjastojärjestelmän käyttöönotto

Pilvipalvelut ja henkilötiedot

Vaatimusmääritelystä UML:n avulla

Visma Liikkuvan työn ratkaisut

Järjestelmäintegraatio

Mikä on avoimen tuotteen hallintamalli perustiedot ja taustoitus. Jukka Kääriäinen, Tapio Matinmikko, Raija Kuusela

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

ATI REMOTE WONDER Asennusopas

Alueelliset tietovarastot ja niiden käyttö. Terveydenhuollon ATK-päivät Janne Saarela

Lokalisointitestaus. Matti Vuori, 1(17)

Testauksen hallinta Testaustyökalut Luento 7 Antti-Pekka Tuovinen

ARVIOINTISUUNNITELMA Sivu 1/6

Projektin tilannekatsaus

ja Jyväskylän yliopisto

Työn ositusmalleista. Luennon tavoitteista. Motivointia. Walker Royce, Software Project Management, A Unified Framework

IT Service Desk palvelun käyttöönotto palvelukeskuksissa

Nokia Nseries PC Suite painos

Visma Nova. Visma Nova ASP käyttö ja ohjeet

Suoritusten seuranta ja opiskelijan edistyminen

TEEMME KYBERTURVASTA TOTTA

Tiedostojen toimittaminen FINASiin 1(7)

Verkottunut suunnittelu

Terveystasku- palveluun kirjautuminen

Maestro Lappeenranta Mannerheiminkatu Lappeenranta. Maestro Helsinki Huopalahdentie Helsinki

Käyttäjätarinat perinteisessä hankkeessa. Sisältö ja käytännöt

Vastuuhenkilön ohje. TIEKE

Kirjastojärjestelmä Voyagerin elinkaari & näkökulmia tulevasta ratkaisusta

OLENNAISET TOIMINNALLISET VAATIMUKSET - PÄIVITETTY LUOKITUS JA JÄRJESTELMÄLOMAKE Kela toimittajayhteistyökokous 26.4.

Transkriptio:

Sisäänrakennettu tietosuoja ja ohjelmistokehitys Petri Strandén 14. kesäkuuta, 2018

Petri Strandén Manager Cyber Security Services Application Technologies Petri.stranden@kpmg.fi Petri vastaa KPMG:n Technology Advisoryn ohjelmistokehityksestä.

Agenda Johdanto Ohjelmistokehitys Ohjelmistokehitys vs. konsultointi Vaatimukset Käyttötapaukset Toiminnalliset vaatimukset Ei-toiminnalliset vaatimukset Tietosuoja ohjelmistokehityksessä Tietosuoja ohjelmistokehityksessä kiteytettynä Hankinnan haasteita

Johdanto Esitys käsittelee ohjelmistokehitystä ns. kehittäjän näkökulmasta Kehittäjän tuntemus tilaajan toimialasta sekä toimintaympäristöstä ei useinkaan ole syvällistä Tilaajalle on olennaista kyetä kertomaan ja kuvaamaan tarpeensa mahdollisimman hyvin Ohjelmistokehityksen näkökulmasta ei oteta kantaa onko tietyn ohjelmiston kehittäminen järkevää vai ei Olemassa olevien ohjelmistojen sopivuutta tulee arvioida omia tarpeita ja vaatimuksia vasten

Ohjelmistokehitys Ohjelmistoja kehitetään tarvelähtöisesti ja tarve voi tulla esimerkiksi: Lainsäädännöstä Yksittäiseltä asiakastaholta Kokonaisen markkinasegmentistä Asian tekemisestä tietyllä tavalla Erilaisista tarvelähtökohdista kehitetyt ohjelmistot eroavat toisistaan yleisesti sopivuudessa tiettyyn tehtävään muokattavuudessa ylläpidettävyydessä

Ohjelmistokehitys vs. konsultointi Jos omiin tarpeisiin sopivaa ohjelmistoa ei löydy, joudutaan tilanteeseen jossa: Muokataan omia prosesseja ja toimintatapoja, jotta voidaan käyttää valmista ohjelmistoa Tilataan ohjelmiston kehitys omien prosessien ja toimintatapojen tueksi Hankintaa valmistellessa on tärkeää hahmottaa omien prosessien vaikutus ohjelmistolle asetettaviin vaatimuksiin Riippumatta siitä onko hankittava ohjelmisto valmis vai räätälöity Ohjelmistokehityksentarjoajan on haastavaa ottaa kantaa asiakkaan prosesseihin ja toimintatapoihin Kaikki tilaajat eivät halua tai voi muuttaa prosessejaan Kaikki ohjelmistokehitystarjoajat eivät välttämättä osaa tai edes halua ehdottaa kokonaisratkaisua (mikä voi olla esimerkiksi prosessimuutos ilman ohjelmistokehitystä) tulonmenetyksen pelossa

Ohjelmiston hankinta Ennen hankintaa on olennaista huomioida kuinka aiottu ohjelmisto sopii olemassa olevaan arkkitehtuuriin Hankintaprosessia itseään on hyvä arvioida jo etukäteen Kehitettävän ohjelmiston hankintaa tulee arvioida kirjattuja vaatimuksia vasten. Olemassa olevien ohjelmistojen sopivuutta tulee arvioida omia tarpeita ja vaatimuksia vasten. Jo etukäteen on hyvä miettiä eri vaatimusten välisiä painoarvoja arvioinnin helpottamiseksi

Vaatimukset 1/3 Käyttötapaukset Käyttötapaukset Hankintaa varten tulee määritellä prosessit, joissa ohjelmistoa käytetään Käyttötapauksen tiedot Käyttötapauksen nimi Käyttötapauksen numero 1 Tekijä Aloita esimerkki-ilmoitus Matti Meikäläinen Päivämäärä 13.6.2018 Versio 1 Viimeksi muokattu Lyhyt kuvaus Aktori Toissijainen aktori Esiehdot 13.6.2018 Matti Meikäläinen Järjestelmä näyttää aloitusnäytön, josta käyttäjä valitsee organisaation, jonka ilmoituksen haluaa tehdä. Ilmoittaja Tarkastaja Käyttäjällä on toimivat tunnukset järjestelmään Käyttäjällä on pääsy järjestelmään Käyttäjä on kirjautunut järjestelmään ja näkee etusivun, organisaatiovalinnan sekä painikkeet.

Vaatimukset 2/3 Toiminnalliset vaatimukset Toiminnalliset vaatimukset Mitä ohjelmiston tulee pystyä tekemään? Vaatimukset koskien ohjelman ominaisuuksia Liiketoimintavaatimukset Yleensä tehdään määrämuotoisesti esim. käyttäjätarinoina: Esimerkki As preparer I want to be able to upload my accounts information in Microsoft Excel format so that I can use my available software to fill the file. As <person>, I can <what?> so that <why?>

Vaatimukset 3/3 Ei-toiminnalliset vaatimukset Ei-toiminnalliset vaatimukset Miten ohjelmiston tulee toimia? Vaatimukset koskien ohjelman suoriutumista, esimerkiksi: Suorituskyky Saatavuus Käytettävyys Esimerkkejä Järjestelmän tulee olla käytettävissä 99% ajasta Järjestelmän tulee olla STIII luokituksen mukaisesti sertifioitu Järjestelmästä tulee ottaa varmuuskopio päivittäin Yms

Tietosuoja ohjelmistokehityksessä Tietosuoja määrittelee kuinka prosesseissa käsitellään tietoja ja asettaa vaatimuksia prosesseissa käytettäville ohjelmistoille ja niiden käyttötavoille. Ohjelmiston toimintaympäristö ja prosessit tulee avata toiminnallisten ja ei-toiminnallisten vaatimusten kautta Asiakas tietää oman toimintaympäristönsä tietosuojaan kohdistuvat vaatimukset ja säädökset parhaiten Vaatimusten kirjaamisen lisäksi suora vuorovaikutus kehityksen aikana edesauttaa vaatimusten täyttymistä Tietosuoja vaikuttaa ohjelmiston elinkaaressa etenkin palvelun käytön aikana, mutta vähemmän itse kehityksen aikana Tietosuojaa tuleekin arvioida koko ohjelmiston elinkaarta ajatellen Kehitys: käyttäjien tunnistaminen, todentaminen ja käyttövaltuudet, lokitietojen sisältöjen määrittäminen, kehitys ja testaus tekaistulla tiedolla Käyttö: ylläpitäjien vs. käyttäjien oikeudet, ylläpito-oikeuksien hallinnointi, lokitietojen lukeminen, virhetilanteiden selvittäminen, oikeassa käytössä on oikeaa tietoa

Tietosuoja ohjelmistokehityksessä kiteytettynä Ohjelmistokehityksessä on tietoturvan osalta valmiita ohjelmistokehitysviitekehyksiä esimerkiksi OWASP:n ASVS* Määrittävät ja asettavat vaatimuksia kuinka toiminnallisuus toteutetaan Tietosuojan osalta vastaavia viitekehyksiä ei oikein ole Yleisillä käytänteillä päästään jo pitkälle (ei oikeaa tietoa testeihin, käyttäjät pääsevät vain omiin tietoihin) Tietosuojasta johdetut vaatimukset määrittävät mitä toiminnallisuuksia toteutetaan ja kuinka niitä käytetään Esimerkiksi tekstinkäsittelyohjelma: On vaikea edes tehdä vaatimuksia ohjelmalle tietosuojan osalta, mutta on helppo määritellä prosessit ja toimenpiteet kuinka tekstinkäsittelyohjelmalla tuotettuja tiedostoja voidaan ja saadaan käsitellä, kenen toimesta jne. * OWASP = Open Web Application Security Project ASVS = OWASP Application Security Verification Standard

Hankinnan haasteita Keskitetty hankinta: Hankinnassa ei välttämättä ole tarkkoja vaatimuksia ja tietoa lopullisista prosesseista kuinka työkalua käytetään Kyky vuoropuheluun tarpeista ja vaatimuksista ensisijaisen tärkeää Kehitysprosessin kolminaisuus: aika, resurssit ja toteutuksen laajuus jos yksi lukitaan niin muiden täytyy joustaa Hankintaprosessin joustamattomuus etenkin ohjelmiston kehityksen aikana voi pahimmassa tapauksessa johtaa kehitysprojektin epäonnistumiseen Aika Resurssit Laatu Laajuus

Kysymyksiä?

KIITOS

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute