TURVALLISUUDEN HUOMIOMINEN OHJELMISTON HANKINTAKETJUSSA Turvallinen ohjelmistokehitys seminaari 30.9.2008 1
Turvallisuusvaatimukset ohjelmiston hankinnassa Tehtävä/toiminta liittyvä toiminnot/prosessit tärkeät sidosryhmät välttämätön palvelu ja tieto jatkuvuusvaatimukset Uhka-arviot Vaikuttavuusanalyysi Riskianalyysi 2
OHJELMISTON KÄYTTÖYMPÄRISTÖ Tietoturva ry Palvelujenn tuottajat Sidosryhmät? Äkillisyys Ennakoimattomuus Eskaloituminen Järjestelmä A Järjestelmä B Tietovaranto Perusrekisteri Organisaatio x Palvelujen käyttäjät Normaaliolojen häiriöt Organisaatio y YETTS - erityistilanne 3
OHJELMISTON MERKITYS KÄYTTÄJÄLLE Vaikutus Henkilöstö Talous Imago Millaisiin häiriöihin ja erityistilanteisiin tulee varautua? Miten vaikuttaa liiketoimintaan Mikä on suurin hyväksyttävissä oleva toimintakatko 4
Ohjelmistot osana toimintaprosessia Lähde: http://www.huoltovarmuus.fi/documents/3/tys_2007-2_sopimuksiin_perustuva_varautuminen_osa-2.pdf 5
Tarpeita ja vaatimuksia ohjelmistolle Käyttötarpeet ohjelmiston tavoitteet * Vaikuttavuus, tehokkuus Tietoturva ry * Luottamuksellisuus, eheys, käytettävyys, kiistämättömyys * Määräysten mukaisuus, turvallisuus Järjestelmän tärkeysluokitus Ohjelmiston tärkeys liiketoiminnan toiminnan jatkuvuuden kannalta Max. Katkos erityistilanteissa Ohjelmiston toimimattomuudesta toiminnalle aiheutuvien vahinkojen arviointi: normaaliajan häiriöt <-> YETTS-erityistilanteet Turvallisuustason valinta, kustannukset, Toiminnan jatkuvuussuunnittelu toiminnan jatkuvuus vaatimukset käyttäjien vararutiinit 6
Palvelun (=ohjelmiston) jatkuvuusvaatimus Toiminnan edellyttämä palvelutaso Tarve Minimi Toipumisen nopeuttaminen Vaikutuksen pienentäminen aika 7
Turvallisuusvaatimukset ohjelmiston hankinnassa Tehtävä/toiminta liittyvä toiminnot/prosessit Tärkeät sidosryhmät Välttämätön palvelu ja tieto Jatkuvuusvaatimukset Toiminnan tarpeet ohjelmistolle Uhka-arviot Vaikuttavuusanalyysi Jatkuvuus - Tilannetietoisuus Häiriötilanteiden hallinta - Toipuminen Sovellus A Ohjelmiston (turvallisuus)vaatimukset Hankinta Sovellus B Sovellus C Käyttöjärjestelmä Tietokanta Rekisteri 8
TUNNETKO RIIPPUVUUSSUHTEET Ohjelmisto A Tietoturva ry Vastuut ja kompetenssi käyttäjä ostaja omistaja myyjä valmistaja ylläpitäjä 9
Ohjelmiston rakenne ja riippuvuudet tunnettava Minkälaisista komponenteista ohjelmisto muodostuu? Mikä komponenttien keskinäinen riippuvuus? Mihin haavoittuvuus vaikuttaa? Kuka voi/osaa korjata? Mihin muutos voi vaikuttaa? 10
Ohjelmiston hankintaketju Käyttäjä Hankkija Myyjä Integraattori Toteutus ja ylläpito Tarpeiden välittyminen?? Rajoitteiden/riskien välittyminen?? Yritys B Yritys A Yritys C Onko ohjelmisto toteutettu toiminnan tarpeita vastaavasti? Ovatko ohjelmiston ylläpitoon liittyvät palvelut ja resurssit käytettävissä myös erityistilanteissa ja poikkeusoloissa? Yritys E Yritys D Yritys F 11
HANKINTAKETJUSSA SOVITTAVA Ohjelmistorakenteen kuvaus Kriittisten osatekijöiden/komponenttien tunnistus/yhteensopivuus/riippuvuudet Eri toimijoiden välisen vastuiden koordinointi (erilaiset) toimintatavat, lainsäädännön erot perustuu sopimuksiin ja vasteaikavaatimuksiin Tarkastusvelvollisuudet, haavoittuvuuksista informointi Dokumentaation hallinta dokumentaation taso, säilytys, luottamuksellisuus turvallisuussopimukset, valvonta, tarkastukset etäylläpito/ pääsytarve laitetiloihin työntekijöiden taustat, vaitiolositoumukset Koodin säilytys/tarkastus Erityistilanteiden tarpeet huomioitu kaupallisin ehdoin tuki häiriötilanteissa; saatavuus, osaamistaso, tavoitettavuus, kielikysymykset,vap henkilöstön varausvastuut, varmennus, mitoitus 24/7 tarve, päivystysjärjestelyt (gsm+lanka) 12
Ohjelmiston kokonaisturvallisuuden hallinta Ennaltaehkäisy säädökset, ohjeet arkkitehtuuriratkaisut tuotevalinnat toimittajavalinnat sopimukset laatukäytännöt auditoinnit testaus Vika/ haavoittuvuus/ hyökkäys CERT-FI Palvelun tuottaja- Oma toiminta Tilannetietoisuus Paikallinen Kansallinen Globaali Ylläpito Suunnitelmat Sopimukset Vastuut Resurssit Määrä Laatu Osaaminen Saatavuus VAP Yhteistoiminta 13