Turvallisen sovelluskehityksen käsikirja. Antti Vähä-Sipilä, F-Secure

Samankaltaiset tiedostot
Suomi.fi - Tietoturvallisuus sovelluskehityksessä. VAHTI sähköisen asioinnin tietoturvaseminaari

Case VRK: tietosuojan työkirjat. JUDO Työpaja #2 - tietosuoja Noora Kallio

Sisäänrakennettu tietosuoja ja ohjelmistokehitys

TUTKI OMAT TIETOTURVA-AUKKOSI. ENNEN KUIN JOKU MUU TEKEE SEN PUOLESTASI. F-Secure Radar Ville Korhonen

Case VRK: tietosuojan työkirjat osa 2. JUDO Työpaja #4 - tietosuoja Noora Kallio

Tietosuojariskienhallinnan palvelutuotteet. Marko Ruotsala M.Eng, CISA, CISM,CRISC,HCISPP Liiketoimintapäällikkö, turvallisuus ja riskienhallinta

Testauksen hallinta Testaustyökalut Luento 7 Antti-Pekka Tuovinen

VERKKOPALVELUN TIETOTURVAN VARMENTAMINEN

Miten 333 organisaatiota voi kehittää yhtä yhteistä digitaalista palvelua ja vielä kuunnella kaikkien asiakkaita?

Tietoturvakonsulttina työskentely KPMG:llä

Sisäänrakennettu tietosuoja ja ohjelmistokehitys

Opas verkkopalvelun tietoturvan varmentamiseen

Ohjelmistoprojekteista. Datanomiopiskelijat 2.vuosi

Tietoturvan ja -etosuojan suhde sovelluskehityksessä. An6 Vähä- Sipilä Tietoturva ry SFS:n seminaari

Sovellustietoturvallisuus Petteri Arola OWASP Chapter Leader Nixu Oy OWASP The OWASP Foundation

Kehmet. Yleisesittely

Onnistunut ohjelmistoprojekti

Kaupunginkanslian avoin ohjelmistokehitys, rajapintatyö, syksy kevät Projektitarpeen ja tavoitteiden kuvaus

Onnistunut ohjelmistoprojekti

Tapahtuipa Testaajalle...

Kehmet. Suomidigi suunnannäyttäjät palkintojenjako

Tervetuloa ecraft Service Deskiin

Tik Tietojenkäsittelyopin ohjelmatyö Tietotekniikan osasto Teknillinen korkeakoulu. LiKe Liiketoiminnan kehityksen tukiprojekti

Omakannan Omatietovaranto palvelun asiakastestaus

Maanvuokrausjärjestelmä Mvj. Projektitarpeen ja tavoitteiden kuvaus

Maanmittauslaitos.fi ja saavutettavuus

Ohjelmistotekniikka - Luento 2 Jouni Lappalainen

HAVAINTOJA PARHAISTA KÄYTÄNNÖISTÄ. Harri Vilander, Nixu Oy

Ketterä vaatimustenhallinta

Digital by Default varautumisessa huomioitavaa

Scrum is Not Enough. Scrum ei riitä. Ari Tanninen & Marko Taipale. Nääsvillen oliopäivä 2009 Tampereen teknillinen yliopisto 9.12.

Ihmiset ja tiimit IPT-projekteissa Suomen ja USA:n erot Henri Jyrkkäranta, Helsingin Yliopisto Kari-Pekka Tampio, Pohjois-Pohjanmaan

Työn ositusmalleista. Luennon tavoitteista. Motivointia. Walker Royce, Software Project Management, A Unified Framework

Globaalisti Hajautettu Ohjelmistokehitys Mitä, Miksi & Miten? Maria Paasivaara

MAANMITTAUSLAITOS.FI JA SAAVUTETTAVUUS EMILIA HANNULA & KIRSI MÄKINEN

LAATURAPORTTI Iteraatio 1

TARKASTUSMENETTELYT JA NIIDEN APUVÄLINETUKI

Suunnitteluvaihe prosessissa

Testaus-tietoisku: Tärkeimpiä asioita testauksesta projektityökurssilaisille

Tietoturvapolitiikka

HAAVOITTUVUUKSIEN HALLINTA RAJOITA HYÖKKÄYSPINTA-ALAASI

Ohjelmistotekniikka - Luento 2

Ohjelmistojen suunnittelu

Scrum-käytännöt ja käyttäjäkokemustyö ohjelmistoalan yrityksessä. Marie-Elise Kontro

Project-TOP QUALITY GATE

EXAM Perehdytys. Marjut Anderson

TILINPÄÄTÖS 2015 JA NÄKYMÄT

Kun scrum ei riitä - skaalaa ketterä tuotekehitys SAFe lla Nestori Syynimaa Sovelto Oyj

Ketterä ja asiakaslähtöinen palvelukehitys tietoliikenneteollisuudessa

Käytettävyyden arviointi ja käytettävyystestauksen soveltaminen terveydenhuollon tietojärjestelmien valinnassa

Lyhyt johdatus ketterään testaukseen

JULKISTEN PALVELUJEN ELINKAARI; HYVÄ PALVELU EILEN, TÄNÄÄN, HUOMENNA MIHIN PALVELUT OVAT MENOSSA? Lauri Helenius, Solita Oy

ITK130 Ohjelmistojen luonne

Kansallinen palveluväylä - Rolling Up the Sleeves Paasitorni

PM Club Jyväskylä Jatkuva uudistuminen osaamista ja kokemusta jakamalla

TkK-tutkielmat

Suomi.fi-palvelut ja saavutettavuustyö käytännössä

Sähköiseen säilytykseen liittyvät organisaation auditoinnit

Onnistunut Vaatimuspohjainen Testaus

IT2015 EKT ERITYISEHTOJA OHJELMISTOJEN TOIMITUKSISTA KETTERIEN MENETELMIEN PROJEKTEILLA LUONNOS

Big Room suunnittelussa

Koulutuksen suhdannevaihtelut. Zeppeliinistä suihkukoneaikaan

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Visma sovellustuki Tukipyyntöjen lähettäminen

Testausoppeja toimialavaihdoksesta

Ohjelmistojen mallintaminen. Luento 11, 7.12.

Turvakriittisen projektin menetelmät ja työkalut

Esityksen sisältö Määrittelyjen mukaisuudesta varmistuminen - PlugIT-leima

TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI

2. päivä. Etätehtävien purku Poikkeamat. Poikkeamat Auditoinnin raportointi Hyvän auditoijan ominaisuudet Harjoituksia

Ohjelmistotuotteen hallinnasta

Visma asiakaspalvelu Tukipyyntöjen lähettäminen

Ketterä ohjelmistokehitys unohtuiko tietoturva?

Dynaaminen analyysi IV

JulkICT Lab ja Dataportaali Avoin data ja palvelukokeilut

Laatu syntyy tekemällä

Onnistunut SAP-projekti laadunvarmistuksen keinoin

2. Ohjelmistotuotantoprosessi

Dynaaminen analyysi IV Luento 6 Antti-Pekka Tuovinen

DLP ratkaisut vs. työelämän tietosuoja

Miten varmennan ICT:n kriittisessä toimintaympäristössä?

Mihin kaikkeen voit törmätä testauspäällikön saappaissa?

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

Käyttäjäkeskeisyys verkkopalveluissa

Kokonaiskuva tietosuoja-asetuksesta General Data Protection Regulation,GDPR

Testauksen suunnittelu ja dokumentointi ketterässä testauksessa Tutkimustuloksia

Ohjelmiston testaus ja laatu. Ohjelmistotekniikka elinkaarimallit

Standardit tietoturvan arviointimenetelmät

Harjoituskoe Vastaukset. ISTQB Ketterä testaaja 2015 Perustason sertifikaattisisällön laajennus

Yli 25 vuotta energiatekniikan suunnittelua ja tiedonhallintaa

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

Valtioneuvoston kanslia VAIN VIRKAKÄYTTÖÖN Hallinto- ja palveluosasto/hallintoyksikkö Terja Ketola PTJ2008-työsuunnitelma 1 (5)

OHJELMISTOTUOTANNON TIETOTURVA

Sopisiko testiautomaatio yritykseesi juuri nyt? Testiautomaation soveltuvuuden arviointiopas

Menetelmäraportti Ohjelmakoodin tarkastaminen

Tietoturvapolitiikka Porvoon Kaupunki

Luvat ja valvonta KA-kuvaukset, Ver. 1.0 HYVÄKSYTTY Jari Kokko & Vesa Mettovaara LUVAT JA VALVONTA -KÄRKIHANKE

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet. Lausunto

Käytännön haasteita ja ratkaisuja integraation toteutuksessa. Jukka Jääheimo Teknologiajohtaja Solita Oy

Opetushallitus pyytää tarjoustanne tämän tarjouspyynnön ja sen liitteiden mukaisesti.

Transkriptio:

Turvallisen sovelluskehityksen käsikirja Antti Vähä-Sipilä, F-Secure antti.vaha-sipila@f-secure.com, Twitter @anttivs

Tavoitteet Käsikirjan tavoitteena on tukea nykyaikaista, DevOps-henkistä ketterää ohjelmistotuotantoa rikkomatta sitä

Tavoitteet Tehokas sekä käytetyn ajan että reagointinopeuden suhteen Mahdollisimman vähän pakottavaa lisätyötä Ei saa rikkoa ketteryyden tai leanin periaatteita On oltava riskipohjainen ja oikeasuhtainen On mahdollistettava seuranta ja auditointi

Vikapotentiaali (vikoja komponenttia kohden): Capers Jones, A Comparison of Commercial and Defense Software, Crosstalk Nov/Dec 2016, vol. 29, no. 6. Korjausten hinta (vaatimukset = 1; avaruusalusten järjestelmämuutoksista; monet muut lähteet antavat korkeampia arvioita ohjelmistoille): NASA, Error cost escalation through the project life cycle. 2010. Tehokkuus 1/2 35 30 25 20 15 10 5 0 1,6 1,4 1,2 1 0,8 0,6 0,4 0,2 0 Cost of fix Defect potential

Tehokkuus 2/2 Tärkein tarkastelukohta on teknisten vaatimusten sisäänottovaiheessa Edellisen kuvan mukaan näin hoidettaisiin 40 % ongelmista 0,4- kertaisella kustannuksella testausaikaiseen havaintoon nähden Ei kuitenkaan poista tietoturvatestauksen tarvetta, mutta pidemmällä aikavälillä muuttaisi sen luonnetta testauksesta varmistamiseen

Lisätyö ja ketteryys Ylimääräinen prosessityö on perinteisesti vahva allergeeni Lisätyö, joka aiheuttaa työjonon (esim. hyväksyntäportti) aiheuttaa ongelmia jatkuvalle tuotantoonviennille Kehitystiimin ulkopuolinen lisätyö on pyritty pitämään mahdollisimman mekanistisena

Riskipohjaisuus ja oikeasuhtaisuus Kehitystiimiin tuleva turvallisuustyö pyritään tekemään näkyväksi, jotta siihen varataan aikaa (eikä vain oleteta sitä tehtäväksi) Kun tarvittava turvallisuustyö on erikseen näkyvissä tehtävälistalla, investointi siihen tehdään suhteessa kaikkeen muuhun arvontuottoon Turvallisuustyö liitetään vain siihen tehtävälistan työhön, joka sitä tarvitsee Tukeutuu merkittävässä määrin uhkamallinnukseen, joka on riskiarviointimenetelmä

Seurattavuus ja auditoitavuus Erillisten raporttien ja riskilistojen sijaan riskit, työ, löydökset ja niiden tilanne kirjataan tiketointijärjestelmään Sama järjestelmä, jota tuotehallinta ja kehittäjät käyttävät Kattava jälkikäteinen auditoitavuus riskipäätöksille ja ensi käden todiste riskiarviointien suorittamisesta Mahdollistaa reaaliaikaisen seurannan yli kaikkien projektien

Yleisnäkymä Tietoturva- ja tietosuoja-aktiviteetit eivät rajoitu vain koodaukseen tai testaukseen

Konseptista koodiksi Portfoliovaihe (~palvelumuotoilu): Tehtävälistan hallintavaihe: Toteutus: Tutkiva testaus: Lakien vaatimukset Formaalin tietosuojavaikutusten arvioinnin suoritus (DPIA) (Tulevaisuudessa palvelumuotoilu voisi tehdä myös omankaltaista uhkamallinnustaan) Uhkamallinnus- ja muiden tietoturvatarpeiden mekaaninen löytäminen Tekninen tietosuojavaikutusten arviointi (PIA) Uhkamallinnuksen suorittaminen Design-katselmointi Koodikatselmointi Automaattisten testien kehittäminen Tietoturvatarkastus tutkivan testauksen menetelmin Sis. myös haavoittuvuuspalkkio-ohjelman

Konseptista koodiksi Portfoliovaihe (~palvelumuotoilu): Tehtävälistan hallintavaihe: Toteutus: Tutkiva testaus: Lakien vaatimukset Formaalin tietosuojavaikutusten arvioinnin suoritus (DPIA) (Tulevaisuudessa palvelumuotoilu voisi tehdä myös omankaltaista uhkamallinnustaan) Uhkamallinnus- ja muiden tietoturvatarpeiden mekaaninen löytäminen Tekninen tietosuojavaikutusten arviointi (PIA) Uhkamallinnuksen suorittaminen Design-katselmointi Koodikatselmointi Automaattisten testien kehittäminen Palaute (juurisyyanalyysi) Tietoturvatarkastus tutkivan testauksen menetelmin Sis. myös haavoittuvuuspalkkio-ohjelman

Työkalut ja vaatimustasot Tietoturva- ja tietosuojavaatimusten tasot ja ohjeistus on määritelty niin, että niiden pakottavuus on selkeää

Vaatimukset Pakolliset vaatimukset lainsäädännöstä Sovellusaluekohtaisia, portfoliovaiheessa Tuotantoonvientivaatimukset käsikirjan liitteessä 1 Voidaan laittaa tehtävälistalle suunnitteluvaiheessa, jolloin tulevat huomioon otetuiksi (ehkä vain kerran per hanke) Yleiset suunnitteluperiaatteet käsikirjan liitteessä 2 Tiedostettavia asioita, joista tulee kantaa huolta oman roolin perusteella

Työkalut ja ohjeet Triage-tarkastuslista käsikirjan liitteessä 3 ohjaa tuoteomistajaa Tekninen liite tietoturvakäsikirjaan kattaa erityisesti web-sovellusten teknisiä nyansseja Joillekin alueille on olemassa ulkoisia ohjeita, joita noudatetaan, jos tarve niille on tunnistettu esimerkiksi uhkamallinnuksessa Esimerkiksi Center for Internet Securityn (CIS) kovennusohjeet; Euroopan tietosuojaneuvoston ohjeet; VAHTI-ohjeet; OWASPin dokumentit (mm. ASVS)

Seuranta ja auditoitavuus Seuranta perustuu tiketöintiin

Seuranta Tiketöinnissä (esim. JIRA) käytetään linkkejä ja leimoja Leimat standardoidaan organisaation laajuisesti, esim. uhkamallinnus Jokainen hanke tuottaa uusia leimattuja tikettejä tietyllä taajuudella Jos näitä ei synny, tietoturva/suojafunktio voi olla yhteydessä Erityisen tärkeää seurata esimerkiksi tietosuojavastaavan roolissa

Kehitystiimin tehtävälista Toiminne Seuranta Tietoturva/ suojahlöstö Uhkamallinnus Tietot. tehtävä Seurantanäkymä Tehtävä Done Tehtävä Tehtävä Tehtävä Open Open Rej d

Auditoitavuus Toiminnallisuus linkittyy tiketöinnissä tietoturvatyöhönsä Tietoturvatyö (esim. uhkamallinnus) linkittyy löydöksiinsä Auditoija voi todeta työn tehdyksi ja löydösten tilan Riskien hyväksyntä on dokumentoitu tikettien kommentteihin

Tuki Merkittävin tuen tarve on uhkamallinnukseen ja tietoturvatarkastukseen

Tiedostettu tuen tarve Uhkamallinnus (kehittäjille Microsoft STRIDEn pohjalta, palvelukehitykselle hyökkääjätarinoita hyödyntämällä) on usein uusi asia Tavoitteena on työn ohessa oppiminen

Tukimalli Tukimallina toimii tuen työjono Kehitystiimeillä on valta ja vastuu pyytää apua avaamalla tiketti Tukiresurssien omistaja priorisoi hankkeiden tukipyynnöt Tukiresurssi toimittaa avun tiketin perusteella Tietoturvatehtävä on edelleen kehitystiimin työlistalla, ainoastaan tukitarve on tiimin ulkoisella tehtävälistalla

Tietoturvan tuotehallinta priorisoi Työn kuvaus Tiimi Tietoturvatukipyynnöt Tukipyyntö Tietoturvahenkilöstö

Kiitos! Lisätietoja VRK:n toteutuksesta: pekka.ristimaki@vrk.fi Yleisesti mallista: antti.vaha-sipila@f-secure.com