Suomi.fi - Tietoturvallisuus sovelluskehityksessä. VAHTI sähköisen asioinnin tietoturvaseminaari

Samankaltaiset tiedostot
Turvallisen sovelluskehityksen käsikirja. Antti Vähä-Sipilä, F-Secure

Sähköi sen pal l tietototurvatason arviointi

Virtu tietoturvallisuus. Virtu seminaari

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

Digital by Default varautumisessa huomioitavaa

Lausunto. Pilvipalveluiden hankinnasta voisi olla erillinen opas, joka kertoo, mihin asioihin tulisi kiinnittää huomiota hankittaessa pilvipalveluita.

Tietoturvaa verkkotunnusvälittäjille

Auditoinnit ja sertifioinnit

Kansallinen palveluväylä. Tilannekatsaus

Laatua ja tehoa toimintaan

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Tietoturvan ja -etosuojan suhde sovelluskehityksessä. An6 Vähä- Sipilä Tietoturva ry SFS:n seminaari

Sähköiseen säilytykseen liittyvät organisaation auditoinnit

Lintulahdenkuja 4, Helsinki / Teknologiakatu 7, Kokkola. Puhelin (vaihde) , sähköposti kirjaamo(a)vrk.fi

Julkisen hallinnon digitaalisen turvallisuuden teemaviikko tiistai Sähköisen asioinnin tietoturvaseminaari

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Tulorekisterin sidosryhmätestaus

Tietoturvapolitiikka NAANTALIN KAUPUNKI

OLENNAISET TOIMINNALLISET VAATIMUKSET - PÄIVITETTY LUOKITUS JA JÄRJESTELMÄLOMAKE Kela toimittajayhteistyökokous 26.4.

VAHTI Sähköisen asioinnin tietoturvaohjeen esittely (VM 25/2017)

TIETOTILINPÄÄTÖS OSANA ORGANISAATIOIDEN TIETOPÄÄOMAN HALLINTAA

Pilvipalveluiden arvioinnin haasteet

Standardit tietoturvan arviointimenetelmät

Suomi.fi-palveluväylä. Palvelulupaus ja tiekartta

VRK yhteisenä tiedonhallintaa ja digitalisaatiota edistävänä toimijana. Juhta, Sami Kivivasara

Sisäänrakennettu tietosuoja ja ohjelmistokehitys

Onnistunut Vaatimuspohjainen Testaus

Pilvipalvelut ja henkilötiedot

Neljännen sukupolven mobiiliverkon tietoturvakartoitus Operaattorin näkökulma

VERKKOPALVELUN TIETOTURVAN VARMENTAMINEN

EU-tietosuoja-asetuksen toimeenpanon tukeminen Verkkokoulutus ja työpajat JUHTA Tuula Seppo erityisasiantuntija

Tietoturva ja tietosuoja. Millaisia ovat tietoyhteiskunnan vaarat?

Muutos ja tietoturvallisuus, alueellistamisesta ulkoistamiseen -hallittu prosessi

Suomi.fi-palveluväylä. Palvelulupaus ja tiekartta

Tietoturva tulevassa tiedonhallintalaissa ja VAHTI Kirsi Janhunen, Väestörekisterikeskus

Opas verkkopalvelun tietoturvan varmentamiseen

Palvelukuvaus v Alkujaan digitaalisen aineiston vastaanoton ja säilyttämisen palvelu

Espoon kaupunki Tietoturvapolitiikka

ISO 9001:2015 JÄRJESTELMÄ- JA PROSESSIAUDITOIN- NIN KYSYMYKSIÄ

4 1 mom. Digitaalisten palveluiden suunnittelu ja ylläpito 2 luvun 4 1 mom.

Tietoturvallinen ohjelmistojen kehitys. Käytäntöjä tietoturvallisuuden huomioimiseen ohjelmistokehitysprosessin eri vaiheissa

Kansallinen palveluväylä: Vyöhykemalli ja Julkinen palveluväylä (X-Road) Tuukka Salminen / VRK KPA-yksikkö Kuntamarkkinat

Tietoturvapolitiikka

Tietoturvakoulutus Turun ammattikorkeakoulun Tietojenkäsittelyn koulutusohjelmassa (AMK) ja DP in Business Information Systems issä (YAMK)

Miten varmennan ICT:n kriittisessä toimintaympäristössä?

Seuraavaksi: VAHTI-pääsihteeri Kimmo Rousku, VM: Tietoturvallisuuden ja varautumisen roolit valtionhallinnossa

Case VRK: tietosuojan työkirjat osa 2. JUDO Työpaja #4 - tietosuoja Noora Kallio

Testaus-tietoisku: Tärkeimpiä asioita testauksesta projektityökurssilaisille

Korkeakoulujen valtakunnallinen tietovaranto. Ilmari Hyvönen

työssäoppimispaikan työtehtävissä toimiminen ammattiosaamisen näytön suorittaminen näyttösuunnitelman mukaan Ammattitaidon osoittamistavat

Suorituskyky- ja tietoturvatestaus Kelassa

Tietosuojariskienhallinnan palvelutuotteet. Marko Ruotsala M.Eng, CISA, CISM,CRISC,HCISPP Liiketoimintapäällikkö, turvallisuus ja riskienhallinta

Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana

Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

Tietoturvallisuuden johtaminen

Suomi.fi-palvelut. Kokonaisuuden ja palveluiden esittely lyhyesti Versio 1.0

KONEAUTOMAATION LAATU JA TURVALLISUUS Marko Varpunen

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

AEO-Toimijapäivä. Toimitusketjujen uhkien analysointi ja riskienhallinta yhteistyössä sopimuskumppanien kanssa

VIRTU ja tietoturvatasot

Case-esimerkki: Miten Valtori hallitsee riskejä? Tommi Simula Riskienhallintapäällikkö

HAAVOITTUVUUSPALKINTO- OHJELMAN SÄÄNNÖT JA EHDOT

Suomi.fi-palveluväylä. Palvelulupaus ja tiekartta

Lapin yliopiston tietoturvapolitiikka

Tietoturvapolitiikka

TUTKI OMAT TIETOTURVA-AUKKOSI. ENNEN KUIN JOKU MUU TEKEE SEN PUOLESTASI. F-Secure Radar Ville Korhonen

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Testauksen tuki nopealle tuotekehitykselle. Antti Jääskeläinen Matti Vuori

Tietoturvavastuut Tampereen yliopistossa

PEFC-metsäsertifioinnin toteutustavat

Liite 2B. Tilannekatsaus. Oodi 2017, päivitetty, vko 44. CSC Suomalainen tutkimuksen, koulutuksen, kulttuurin ja julkishallinnon ICT-osaamiskeskus

[yksilöitynä käsiteltävät henkilötiedot ja käsittelyn kesto] [yksilöitynä henkilötietojen tyyppi ja rekisteröityjen ryhmät]

SÄHKÖISEN LÄÄKEMÄÄRÄYKSEN TOIMINNALLISUUKSIA TOTEUTTAVIEN TIETO- JÄRJESTELMIEN VAATIMUSTENMUKAISUUS SIIRTYMÄVAIHEESSA

Julkisen hallinnon linjaukset tiedon sijainnista hallinnasta Pauli Kartano

Viestintäviraston tietoturvapolitiikka

<raikasta digitaalista ajattelua>

turku.fi:stä kunta.fi:ksi Kuntamarkkinat

Tietoyhteiskunnan haavoittuvuus kuinka voimme hallita sitä?

Espoon kaupunkikonsernin tietoturvapolitiikka

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

Ajankohtaista JulkICT:stä Kirsi Janhunen VAHTI-päivä

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Tietoturvapalvelut valtionhallinnolle

Omavalvontasuunnitelma ja EU-tietosuojadirektiivi

Valtion IT-palvelukeskuksen tietoturvapalvelujen ajankohtaiset kuulumiset

Suomi.fi palveluiden hyödyntäminen valinnanvapaus ja palvelutietovaranto

Ohjelmistojen mallintaminen. Luento 11, 7.12.

Määrittelydokumentti: Kansallinen palveluväylä - integraatio

Mobiilin ekosysteemin muutos - kuoleeko tietoturva pilveen?

Tietoturvapolitiikka

Tietoturvan nykytila tietoturvaloukkausten näkökulmasta. Jussi Eronen Erityisasiantuntija CERT-FI

HYVÄKSYMISTESTAUS- RAPORTTI - HAKEUTUJAN PALVELUT JA TODENNETUN OSAAMISEN REKISTERI

Lausunto Julkisen hallinnon linjauksiin tiedon sijainnista ja hallinnasta pyydämme yleisesti huomioimaan seuraavaa:

KYBERTURVAPALVELUT. VTT auttaa turvaamaan toiminnan jatkuvuuden ja suojautumaan kyberuhilta. VTT Kyberturvapalvelut

Valtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka

Kansainvälisen ISO/IEC sertifioinnin toteuttaminen CSC:llä

TIETOTURVAA TOTEUTTAMASSA

KÄYTETTÄVYYSTESTAUS OSANA KETTERÄÄ KEHITYSTÄ

Ohje arviointikriteeristöjen tulkinnasta

Transkriptio:

Suomi.fi - Tietoturvallisuus sovelluskehityksessä VAHTI sähköisen asioinnin tietoturvaseminaari 3.10.2017

YLEISTÄ

Suomi.fi-palvelut esuomi.fi

Tietoturvallisuus sovelluskehityksessä

Yleisiä periaatteita Kehittäjien tietoturvatietämys hyvällä tasolla (kehitystiimien kilpailutus, osaamisvaatimukset) Parikoodaus, neljä silmää näkee enemmän KaPa-ohjelman aikana kehitetyt sovelluskehityksen tietoturvaohjeet (agile) => päivitetty VAHTI 3/2017-ohjeen ja EU-tietosuoja-asetuksen velvoitteiden pohjalta. Tietoturva build-in kehittämisessä, osana muuta kehittämistä. Suomi.fipalveluiden kehitystiimeillä yhteiset tietoturvatestausresurssit. Testaus osana sprinttejä Uhkamallinnus osana kehittämistä, hyökkääjän näkökulma (STRIDE)

Uhkamallinnuksesta (threat modeling) Menetelmä, jossa kartoitetaan arkkitehtuurin ja tietovuokaavion avulla mahdollisia sovellusturvallisuuden ja tietosuojan riskejä sekä riskien hallintamekanismeja. Uhkamallinnuksen tuloksena syntyy lista mahdollisista tietoturvaheikkouksista tai - haavoittuvuuksista ja yleensä myös suoraan ehdotuksia asioista, mitä näille voisi tehdä. Tulokset viedään projektin tehtävälistalle (Jira) => tarve priorisoidaan oikein muuhun työhön nähden. Turvallisuusaktiviteetit kilpailevat usein resursseista toiminnallisten ja muiden laadullisten vaatimusten kanssa. Kun tietoturva on näkyvissä tehtävälistalla, siihen käytettävät resurssit tulevat priorisoiduksi suhteessa kaikkiin muihin vaatimuksiin

Hyökkääjän näkökulma (STRIDE) Uhkamallinnuksesta (threat modeling) Spoofing eli todennukseen liittyvät asiat (esim. komponenttien välisen liikenteen päätepisteiden todennus) Tampering eli eheyteen liittyvät asiat (esim. hyökkääjän mahdollisuus muuttaa tietoa) Repudiation eli kiistettävyyteen liittyvät asiat (esim. auditointilokin luonti ja mitä sinne tallennetaan) Information disclosure eli luottamuksellisuuteen liittyvät asiat (esim. pääseekö hyökkääjä käsiksi tietoon, tai vuotaako tietoa sivukanavia pitkin) Denial of Service eli saatavuus ja palvelunestohyökkäykset (esim. jos tietty komponentti ei vastaa, mitä se aiheuttaa, tai onko jonkin komponentin kautta mahdollisuus generoida liikaa kuormaa jollekin toiselle komponentille) Elevation of Privilege eli käyttövaltuuksien ylittäminen (esim. koodi-injektiohyökkäykset) Mikäli järjestelmä käsittelee henkilötietoja, analyysiä voidaan jatkaa nk. TRIM-lisäyksellä

Teknisen tietoturvatestauksen kulku Kehitystiimiltä tarve tietoturvatestaukseen Testaajat, tuoteomistaja ja scrum-master käyvät läpi testaukseen liittyviä kysymyksiä (rajaus): mitä testataan, missä ympäristössä, mitä uhkia vastaan? Järjestelmä saavuttaa riittävän maturiteetin (riittävästi testattavaa) Itse tietoturvatestaus Rajauksen mukainen testaus käyttäen mm koodikatselmointia, satunnaisia/vääriä syötteitä (fuzzing), penetraatiotestausta. Kaikki löydökset kirjataan suoraan Jira-tiketeiksi kehittäjätiimille, palveluomistajalle lyhyt tiivistelmä havainnoista. Kehitystiimi arvioi mitkä havainnoista ovat todellisia ongelmia ja menevät korjaukseen Prosessi voidaan toistaa kevyempänä myöhemmin uusien ominaisuuksien osalta.

Testauksesta Pyritään tarkastelemaan järjestelmää sen tarjoamien ja käyttämien rajapintojen kautta. Selvitetään mm: Käyttöoikeuksien validointi kaikissa eri käyttäjän lähettämissä pyynnöissä Kaikenlaisen informaation vuotaminen eri tyyppisillä kyselyillä Miten sovellus/kohde reagoi jos se saa väärää dataa?

Tuotantokelpoisuusvaatimuksista Tavoitteita: Suomi.fi toimii itsenäisesti ja keskeytyksettä myös versiopäivitysten aikana. Häiriön tapahtuessa valvonta, automatiikka ja häiriönhallinta laadukkaine ohjeineen minimoi asiakkaille aiheutuvan häiriön.

Kattavuus Tuotantokelpoisuusvaatimuksista 19 vaatimusta koskien mm arkkitehtuuria, toimintavarmuutta, julkaisunhallintaa, palvelutuotantoa ja viestintää

Jatkuvat palvelut - Keskeisiä kontrolleja

Keskeisiä kontrolleja Haavoittuvuusskannaukset internetiin näkyvien palvelujen osalta Muutoksia tapahtuu koko ajan Palvelunestohyökkäyksien havainnointi ja torjunta Auditoinnit (isojen muutosten yhteydessä tai vaatimustenmukaisuuden tarkastamista) Harjoittelu ja yhteistyön kehittäminen Valtorin kanssa (erityisesti MiMprosessi) Keskitetty lokienhallinta KaPa Log

Vaatimustenmukaisuudesta

KaPa (Suomi.fi) Katakri STIV auditointi loppusuoralla Tarkastuksen lähtökohtana oli arvioida täyttääkö KaPa-ympäristö kokonaisuutena suojaustason IV (ST IV) vaatimukset. Tarkastuksen kohteina mm: Julkaisunhallintaprosessi, mm. koodin eheyden säilyminen, koodin siirtoon ja tuotantoon ottoon liittyvät menettelytavat KAPA:an liittyvät käyttöpalvelut ja tuotanto Salausratkaisuiden arviointi KAPA:n varautumistason / käytettävyyden arviointi Palveluun kuuluvat web-palveluportaalit Status: Lopputarkastukset havaittujen poikkeamien osalta meneillään.

ISO27001 sertifikaatti Väestörekisterikeskuksen tietoturvallisuuden hallintajärjestelmä on sertifioitu (ISO27001). Sertifioinnin kattavuus laajennetaan vuoden 2018 alusta kattamaan myös Suomi.fi-palvelut (ylläpitäminen ja kehittäminen)

LISÄTIETOA SUOMI.FI-PALVELUISTA Pekka Ristimäki Tietoturvapäällikkö Väestörekisterikeskus pekka.ristimaki@vrk.fi

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute