Digiturvamalli
Digiturvamallin sisältökirjastoOhjelmistokehitysTurvallinen kehittäminen

Tilapäisten kirjautumistietojen turvallinen asettaminen

Tilapäisten tunnistautumistietojen olisi oltava yksilöllisiä, eivätkä ne saisi olla arvattavissa esimerkiksi käyttäjän tiedoista päättelemällä.

Tehtävään liittyvät Digiturvamallin ominaisuudet

Näytä vaatimustenmukaisuus raporttikirjaston avulla

Digiturvamalli sisältää raporttikirjaston, josta löytyvät omat raporttipohjat jokaiselle vaatimuskehikolle.

Olipa kuulijana oma johto, viranomainen, auditoija tai asiakas, saat tarvittavan raportin muodostettua yhdellä klikkauksella.

Lue lisää raportoinnista

Vastuuta tehtävät ja kuvaa oma toteutus

Tehtävälistat sisältävät digiturvan ydinasiat. Päätä, mitkä tehtävät teillä hoidetaan ja kuka vastaa. Näet vaaditut tehtävät suoraan valitun vaatimuskehikon perusteella, ja voit halutessasi täydentää listaa omilla.

Lue lisää tietoturvatehtävistä

Jakele ohjeet automaattisesti ja valvo lukemista

Kohdista ohjeet kaikilla tai vain relevanteille yksiköille. Saat ehdotuksia suoraan valitun vaatimuskehikon perusteella ja voit lisätä omat ohjeenne.

Työntekijöille ohjeet jaellaan Teams-botin kautta. Botti ei myöskään anna lukemisen unohtua.

Lue lisää tietoturvaohjeista

Dokumentoi esimerkkien ja älykkäiden pohjien avulla

Digiturvamalli sisältää älykkäät mallipohjat mm. järjestelmien, henkilötietojen ja riskien dokumentointiin. Et turhaan kirjoita tai piirrä, vaan klikkailet linkittäen tietoja, jolloin automaattinen raportointi mahdollistuu.

Lue lisää dokumentoinnista

Tehtävään liittyvät vaatimukset eri vaatimuskehikoista

Saman teeman muita tehtäviä

Klikkaa itsesi yksittäisen vaatimuksen näkymään nähdäksesi kaikki kohtaan liittyvät sisällöt.

Muodollinen, riskien ja vaikutusten arvioinnin sisältävä, muutostenhallintaprosessi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Riittämätön muutosten hallinta on yleinen syy järjestelmien toiminta- ja turvallisuushäiriöille.

Olemme dokumentoineet muutostenhallintaprosessin, jota on noudetettava aina tehtäessä merkittäviä tietoturvallisuuten vaikuttavia muutoksia kehitettyihin järjestelmiin. Prosessi sisältää vaatimukset mm. seuraaville asioille:

  • muutoksen määrittely ja dokumentointi
  • riskien arviointi ja tarvittavien hallintakeinojen määrittely
  • muutoksen muu vaikutusten arviointi
  • testaus ja laadunvarmistus
  • muutoksen julkaisun hallittu toteutus
  • muutoslokin päivittäminen

Testaukseen käytetyn tuotantotiedon erityiset suojauskeinot

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tuotantotiedon käyttöä olisi vältettävä testaustarkoituksissa. Mikäli luottamuksellisia tietoja käytetään testauksessa, seuraavia suojausmenettelyjä olisi käytettävä:

  • kaikki arkaluonteiset yksityiskohdat olisi joko poistettava tai muokattava turvalliseksi (esim. henkilötietojen anonymisointi) 
  • testattavissa järjestelmissä sovelletaan yhtä tiukkaa pääsynhallintaa, kuin tuotannossa 
  • tuotantotiedon kopioiminen testausympäristöön tehdään vain erillisellä valtuutuksella
  • tuotantotiedot poistetaan testausympäristöstä välittömästi testauksen valmistuttua

Testausaineiston suojaaminen ja tiedon minimointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Testaukseen käytettävät tieto- ja muut aineistot olisi valittava huolellisesti ja niitä olisi suojattava.

Tuotantotietoa, joka sisältää henkilötietoja tai muuta luottamuksellista tietoa, ei tulisi käyttää testaustarkoituksiin.

Kriittisen koodin tunnistaminen ja tarkastaminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Määrittelyä turvallisuuden kannalta kriittisestä koodista eri palvelujen suhteen pidetään yllä. Uusia kriittisen koodin osasia pyritään jatkuvasti tunnistamaan ja uudet päivitykset tarkistetaan erityisen tarkasti kriittistä koodia koskevien muutosten suhteen. Tavoitteena on pitää turvallisuusheikkouksien todennäköisyys mahdollisimman pienenä.

Käyttäjien salasanatietojen salaus

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Käytämme vahvaa salausta salasanojen siirron ja tallennuksen aikana kaikissa kehittämissämme palveluissa. 

Sovelluspalvelujen julkisen verkkoliikenteen salaus

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Julkisten verkkojen kautta siirrettävää sovelluspalveluihin kuuluvaa tietoa on suojattava vilpilliseltä ja sopimuksen vastaiselta toiminnalta ja luvattomalta paljastumiselta ja muuttamiselta.

Käytämme vahvoja salaus- ja turvallisuusprotokollia (esim. TLS, IPSEC, SSH) suojaamaan luottamuksellisia tietoja niitä siirrettäessä julkisia verkkoja pitkin kehittämiemme IT-palvelujen yhteydessä.

Koodin katselmoinnin ja julkaisemisen yleiset säännöt

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Koodin katselmointia, hyväksymistä ja julkaisua varten on määritelty yleiset säännöt ja niiden noudattamista valvotaan.

Säännöt voivat sisältää mm. seuraavia asioita:

  • luotu koodi on tarkistettu vasten OWASP-frameworkin yleisiä turvallisen kehittämisen ohjeita
  • koodi on katselmoitu vähintään kahden henkilön silmin
  • nimetty, valtuutettu käyttäjä on hyväksynyt muutokset ennen julkaisua
  • järjestelmän dokumentointi on päivitetty ennen julkaisua
  • muutosten julkaisuajankohta on valittu annettujen ohjeiden mukaisesti, jotta häiriötä liiketoimintaprosesseille syntyy mahdollisimman vähän
  • käyttäjien tarvitsemat ohjeistukset on päivitetty ennen koodin julkaisua

Säännöillä pyritään hallitsemaan uuden ohjelmakoodin julkaisemiseen liittyviä riskejä. 

Valtuutettujen, koodimuutoksia julkaisevien käyttäjien listaus

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Vain ennalta määritellyt, valtuutetut käyttäjät saavat julkaista muutoksia koodiin.

Tuotanto-, testaus- ja kehitysympäristöjen erottaminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Kehitettävänä, testauksessa ja tuotannossa olevia ohjelmistoja ajetaan eriytetyissä teknisissä ympäristöissä, jotta kehitystyön laatu voidaan varmistaa tuotantoympäristöä mukailevassa ympäristössä ja toisaalta tuotantoympäristöä ei häiritä keskeneräisellä kehityksellä. 

Käyttäjien arkaluonteisia tai henkilökohtaisia tietoja ei kopioida ja käytetä kehitysympäristössä. 

Lähdekoodin pääsynhallinta

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Pääsyä lähdekoodeihin ja niihin liittyviin muihin suunnitelmiin valvotaan, jotta estetään mm. luvattoman koodin lisääminen sekä vältetään tahattomat muutokset. Pääsyoikeuksia jaetaan tarve tietää -periaatteella, eikä esimerkiksi tukihenkilöstölle myönnetä rajattomia pääsyoikeuksia.

Lähdekoodin valvonta voidaan toteuttaa esimerkiksi tallentamalla kaikki koodi keskitetysti asiaan dedikoituun lähdekoodin hallintajärjestelmään. 

Valmiin määritelmä (engl. definition of done) ja testaussäännöt

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Kehitysyksikkö ylläpitää itse kriteeristöä asioille, joiden täyttyessä tietty työtehtävä voidaan todeta valmiiksi. Kriteerit voivat sisältää mm. katselmointivaatimuksia, dokumentointivaatimuksia ja testausvaatimuksia.

Uutta koodia otetaan käyttöön vasta laajan ja ennalta määritellyt kriteerit täyttävän testauksen jälkeen. Testien olisi katettava käytettävyys, turvallisuus, vaikutukset muihin järjestelmiin ja käyttäjäystävällisyys.

Julkaisulokin ylläpitäminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Kaikista tuotanto- tai asiakaskäytössä oleviin ohjelmistoihin tai omiin IT-palveluihin tehdyistä päivityksistä olisi pidettävä tapahtumalokia.

Turvallisen kehittämisen säännöt

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Kehitystyötä koskevat yleiset pelisäännöt on laadittu ja ne on hyväksytty kehitystyön johtohenkilöiden toimesta. Sääntöjen toteutumista valvotaan kaikessa organisaatiossa tehtävässä kehityksessä.

Turvallisen kehittämisen politiikka voi sisältää mm. seuraavia asioita:

  • kehitysympäristön turvallisuusvaatimukset
  • käytettyjen ohjelmointikielien turvallisen koodaamisen ohjeet
  • turvallisuusvaatimukset ominaisuuksien tai projektien suunnitteluvaiheessa
  • turvalliset ohjelmistovarastot
  • versionhallinnan turvallisuusvaatimukset
  • kehittäjältä vaaditut kyvyt välttää, löytää ja korjata haavoittuvuuksia
  • turvallisten koodausstandardien noudattaminen

Turvallisen kehittämisen sääntöjen noudattamista voidaan vaatia myös avainkumppaneilta.

Ulkoistetun kehitystoiminnan seuraamisen ja valvonnan käytännöt

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Vaikka kehitystä ulkoistetaan, meillä säilyy vastuu asianmukaisten lakien noudattamisesta ja hallintakeinojen vaikuttavuuden todentamisesta.

Olemme määritelleet toimintatavat, joiden valvomista seuraamme ja noudattamista edellytämme koko ulkoistusketjussa. Käytännöt voivat sisältää mm. seuraavia asioita:

  • tuotetun koodin katselmointi- ja hyväksymiskäytännöt
  • todistusaineisto kumppanin suorittamista testaustoimista
  • viestintäkäytännöt
  • sopimukselliset oikeudet auditoida kehitysprosessia ja hallintakeinoja
  • dokumentointivaatimukset koodin tuottamisesta

Palautusstrategia

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Olemme sopineet ja kirjanneet käytännöt, joiden avulla aiempi versio ohjelmistosta voidaan palauttaa, ennen julkaisujen toteuttamista.

Oletko valmis aloittamaan?

Aloita kokeilu tai varaa demo.