VAHTI 1/2013 Sovelluskehityksen tietoturvaohje

Ministeriöille, virastoille ja laitoksille

Sovelluskehityksen tietoturvaohje

Valtionhallinnon tictoturvallisuusasetuksen (681/2010) mukaan valtionhal­linnon organisaatioiden tulee saavuttaa tietoturvallisuuden perustaso 30.9.2013 mennessa. Sovellusten tietoturvallisuudella on keskeinen merkitys tietojärjestelmissä käsiteltävien tietojen suojaamisessa ja kyberuhkiin varautumisessa. Kyberturvallisuuden yksi edellytys on turvallinen ICT­-infrastruktuuri. Tämä on otettava huomioon sovelluksia kehitettäessä.

Nyt julkaistava Sovelluskehityksen tietoturvaohje on tarkoitettu esimiehille, hankkeiden vetäjille, sovelluskehittäjille ja tietoturvallisuudesta vastaa­ville. Ohjeen tavoitteena on opastaa sovelluskehittäjiä ottamaan tietoturva­vaatimukset huomioon kaikissa vaiheissa. Tietoturvallisuuden ottaminen huomioon sovelluskehityksen alusta lähtien on olennaista niin turvallisuu­den toteuttamisen kuin kustannustehokkuudenkin näkökulmasta.

Sovelluskehitysohjeessa on otettu huomioon muun muassa tietoturvallisuusasetuksen ja siihen liittyvien toteutusohjeiden sovelluskehitykselle esitettyjä tietoturvavaatimuksia. Ohjeeseen on myös sisällytetty kansainvälisten tietoturvavelvoitteiden todentamiseen käytettävän kansallisen turvallisuusauditointikriteeristön sovelluskehitystä koskevat vaatimukset.

Hallinto- ja kuntaministeri

Henna Virkkunen

Yksikön päällikkö

Mikael Kiviniemi

VAHTIn puheenjohtaja

Tiivistelmä

Sovellusten tietoturvallisuudella on keskeinen merkitys tietojärjestelmissä käsiteltävien tietojen suojaamisessa. Yhteiskunnan toiminta on yhä verkottuneempaa ja palveluja tarjotaan yhä enemmän internetin kautta, missä sovellukset ovat lisääntyvässä määrin alttiita haavoittuvuuksille ja verkosta tuleville uhkille. Kyberturvallisuus rakentuu pitkälti turvallisen ICT-infrastruktuurin päälle. Tämä on otettava huomioon sovelluksia rakennettaessa.

Haittaohjelmat hyödyntävät verkossa käytettävien sovellusten tietoturva-aukkoja ja voivat levitä myös organisaation sisäverkon järjestelmiin, jolloin myös sisäiset palvelut ja salassa pidettävät tiedot voivat olla uhattuina.

Valtionhallinnon normit asettavat organisaatioille velvoitteita kehittää hallinnollista ja teknistä tietoturvallisuuttaan. Tietoturvallisuusasetuksen (681/2010) mukaan organisaatioiden tulee saavuttaa tietoturvallisuuden perustaso 30.9.2013 mennessä. Sovelluskehitysohjeessa on otettu huomioon muun muassa tietoturvallisuusasetuksen ja siihen liittyvän toteutusohjeen VAHTI (2/2010) vaatimuksia sekä tietohallintolaissa (634/2011), VAHTIn Keskeisten tietojärjestelmien tietoturvaohjeessa (5/2004) ja muissa VAHTI-ohjeissa sovelluskehitykselle annettuja tietoturvavaatimuksia. Ohjeeseen on myös sisällytetty kansallisen turvallisuusauditointikriteeristön (KATAKRI II) sovelluskehitystä koskevat vaatimukset. Ne tulee huomioida, jos kehitettävän sovelluksen avulla käsitellään kansainvälisiä turvallisuusluokiteltuja tietoaineistoja tai käyttö liittyy Suomen valtion turvallisuuteen.

Ohjeen tavoitteena on opastaa sovelluskehittäjiä ottamaan tietoturvavaatimukset huomioon kaikissa vaiheissa jo sovelluskehityksen alusta lähtien. Ohjeesta löytyvät sovelluskehityksen eri vaiheisiin liittyvät tietoturvavaatimukset, jotka suositellaan liitettäväksi organisaation käytössä olevaan systeemityömalliin, perustui tämä sitten lineaariseen tai iteratiiviseen toimintatapaan. Ohjeessa eri vaiheiden tietoturvavaatimukset on esitetty lineaarisen eli ”vesiputousmallin” mukaisesti, mutta samat vaatimukset tulee ottaa huomioon ja toteuttaa myös iteratiivisessa toimintamallissa. Ohjetta voidaan soveltaa myös tarjouspyyntöjen vaatimusmäärittelyihin kun toimittajilta tilataan räätälöityjä sovelluksia. Ohje perustuu vahvasti tietoturvatasoajatteluun ja tietoturvatasoissa esitettyihin vaatimuksiin.

Alkuosassa on esitetty myös sovelluskehitysympäristön yleisiä vaatimuksia ja suosituksia huomioiden kehityshankkeeseen osallistuvien henkilöiden roolit ja tehtävänjako.

Ohje on tarkoitettu esimiehille, hankkeiden vetäjille, sovelluskehittäjille sekä tietoturvallisuudesta vastaaville. Sovelluskehityksestä vastaavien esimiesten on hyvä lukea erityisesti alkukappaleet. Koko ohje on tarkoitettu sovelluskehityshankkeisiin osallistujille. Sovelluskehittäjiä varten ohjeeseen on otettu mukaan tarkennettuja teknisiä ohjeita ja linkkejä hyviin käytäntöihin. Esitetyt tietoturvavaatimukset on koottu ohjeen lopussa olevaan liitetiedostoon, jossa esitetään myös vaatimusten velvoittavuus.

Ohjeen tavoitteena on toimia sovelluskehitysprosessin tietoturvaohjeena ja edesauttaa tietoturvallisten, tietoturvatasojen vaatimukset täyttävien, sovellusten ja palveluiden kehittämistä. Ohje koskee uusia, kehitettäviä järjestelmiä, ei jo olemassa olevia järjestelmiä. Ohje on laadittu VAHTIn alaisessa hankeryhmässä, jonka jäseninä ovat toimineet Pirkko Kilpeläinen (pj), Tuomo Ahjokannas, Hellevi Huhanantti, Lauri Karppinen, Terja Ketola, Topi Laamanen ja Pasi Rouvinen. Ohjeen kirjoittajina ovat toimineet KPMG:n konsultit Antti Alestalo, Matti Järvinen ja Tuomo  Makkonen.

Päivitetty: 9.6.2020