The organisation should establish and maintain a documented web application security testing program covering all internet-accessible web applications, portals, APIs, authentication endpoints, and administrative interfaces under its control. The program must maintain an inventory of in-scope systems, including owners, external URLs/domains, data classification, and criticality, to ensure complete coverage and accountability.

Periodic security testing should be performed to verify protection against major network-based attacks and OWASP Top 10 vulnerabilities. Testing can include automated vulnerability scanning and risk-based manual validation, with coverage of access control, authentication and session management, injection, cryptographic protections, security configuration, vulnerable components, integrity controls, logging and monitoring, and SSRF where applicable. It should verify externally exposed configuration controls, including TLS settings, security headers, and the absence of exposed debug or administrative functions.

The program should define and document:

• Minimum testing frequency and triggers, including at least annual testing for all in-scope systems, additional testing following significant changes (e.g., major releases, infrastructure changes, authentication changes), and more frequent testing for high-risk systems
• Test results and evidence retention requirements
• Remediation owners and severity-based remediation timeframes
• Central vulnerability tracking to closure, including evidence of retesting to confirm effective remediation
• Management escalation for overdue items or accepted residual risks

Kyberrikolliset voivat hyödyntää konfigurointivirheitä tai teknisiä haavoittuvuuksia sovelluksissa, palomuureissa tai verkoissa päästäkseen käsiksi tietoihimme.

Organisaation on käytettävä defense-in-depth -tekniikoita verkkohyökkäyksiltä suojautumiseen, niiden havaitsemiseen sekä niihin vastaamiseen. Tekniikoiden pitäisi soveltua niin fyysisten, loogisten kuin hallinnollisten kontrollien valvontaan.

Organisaatio tarkastelee säännöllisesti (esim. vuosittain) tietoturvallisuuden hallintajärjestelmiin liittyviä alan parhaita käytäntöjä (esim. ISO 27001, NIST Cyber Security Framework) ja muita asiaan liittyviä tietoturvallisuuden hallinnan parhaita käytäntöjä (esim. OWASP, SANS) arvioidakseen niiden merkitystä organisaatiolle ja varmistaakseen vahvistettujen tietoturvapolitiikoiden jatkuvan asianmukaisuuden.

Organisaation olisi otettava huomioon toimiala, jolla se toimii, valitessaan parasta käytäntöä.

Tietojenkäsittely-ympäristön turvallisuus testataan. Testaamisessa huomioidaan asianmukainen turvaamistaso ja toteutuksen, integroinning ja konfiguroinnin taso. Turvallisuudesta on huolehdittava ympäristön koko elinkaaren ajan.

Tässä olisi huomioitava ainakin:

• Ohjelmistojen (sovellukset, palvelut, järjestelmät) käyttötarkoitukset ja ohjelmistojen turvallisuutta mahdollisesti toteuttavat roolit on tunnistettu.
• Ohjelmistojen (sovellukset, palvelut, järjestelmät) turvallisuustarpeet on arvioitu, huomioiden erityisesti ohjelmiston käyttötarkoituksen ja sen turvallisuutta mahdollisesti toteuttavan roolin, hyökkäyspinta-alan, sekä käsiteltävien tietojen luonteen ja turvallisuusluokan.
• Ohjelmistojen (sovellukset, palvelut, järjestelmät) riippuvuudet ja rajapinnat on tunnistettu. Riippuvuuksiin ja rajapintoihin on kohdistettu ohjelmistoa vastaavat vaatimukset, huomioiden esimerkiksi käytetyt kirjastot, rajapinnat (API:t) ja laitteistosidonnaisuudet. Vaatimuksissa on huomioitu sekä palvelin- että asiakaspuolen osuudet.
• Kriittiset ohjelmistot (sovellukset, palvelut, järjestelmät) toteutetaan tai toteutus tarkastetaan mahdollisuuksien mukaan luotettavaa standardia vasten tai/ja turvallisen ohjelmoinnin ohjetta hyödyntäen.
• On varmistettu, että ohjelmistojen (sovellukset, palvelut, järjestelmät) ohjelmakoodin laadun ylläpito, kehitys ja muutoshallinta vastaavat tarpeita koko elinkaaren ajan.
• On varmistettu, että ohjelmistot (sovellukset, palvelut, järjestelmät) täyttävät lainsäädännöstä johdetut vaatimukset.

Kehitystyötä koskevat yleiset pelisäännöt on laadittu ja ne on hyväksytty kehitystyön johtohenkilöiden toimesta. Sääntöjen toteutumista valvotaan kaikessa organisaatiossa tehtävässä kehityksessä ja ne katselmoidaan vähintään vuosittain.

Turvallisen kehittämisen politiikka voi sisältää mm. seuraavia asioita:

• kehitysympäristön turvallisuusvaatimukset
• käytettyjen ohjelmointikielien turvallisen koodaamisen ohjeet
• turvallisuusvaatimukset ominaisuuksien tai projektien suunnitteluvaiheessa
• turvalliset ohjelmistovarastot
• versionhallinnan turvallisuusvaatimukset
• kehittäjältä vaaditut kyvyt välttää, löytää ja korjata haavoittuvuuksia
• turvallisten koodausstandardien noudattaminen

Turvallisen kehittämisen sääntöjen noudattamista voidaan vaatia myös avainkumppaneilta.