Tietoturvatarkastus
Tietoturvatarkastuksen raporttipohja (MS Word)
Tarkoitus
Tietoturvatarkastuksella varmistutaan siitä, että kehityksen kohde täyttää sille asetetut tietoturvavaatimukset. Tietoturvan varmistaminen on osa määräystenmukaisuuden noudattamista kehittämistyössä.
Jos vaatimuksia ei ole alussa asetettu riittävän tarkasti, voidaan myös yrittää selvittää kohteen tietoturvallisuustaso jotakin yleisesti hyväksyttyä vaatimuskokoelmaa vasten. Tarkastus voidaan kohdistaa
- toimintaan (esimerkiksi hakemusten käsittelyprosessi)
- tietojärjestelmään (palvelualusta, rajapinnat ja sovellus)
- pelkkään sovellukseen tai
- näiden yhdistelmään.
Tietoturvatarkastus on osa järjestelmän laadun valvontaa. Erillinen tietoturvatarkastus on tarpeellinen, koska järjestelmän tekijät ovat keskittyneet toteuttamaan ne turvapiirteet, jotka vaatimusmäärittelyssä on mainittu. On kuitenkin mahdollista että vaatimusmäärittelystä on unohtunut jotain oleellista, tai toteutetussa toiminnallisuudessa voi olla tietoturvahaavoittuvuuksiin johtavia virheitä. Nämä saadaan selville riippumattoman henkilön tekemällä tietoturvatarkastuksella.
Tämän alueen erityisosaamista voidaan hankkia osaamispalvelukeskuksen kautta tai omalla kilpailutuksella.
Tarvittavat ennakkotiedot
- Tarkastuksen kohteen määrittely tarkalla tasolla. Mitä osia kohteesta otetaan tarkastukseen, mitä ei (esim. sovellus, palvelimet, toimintaprosessit).
- Tarkastuksen näkökulma (tekninen vai hallinnollinen)
- Tarkastuksessa käytettävä vaatimuskokoelma
- Tarkastuksen ajankohta ja rajoitteet, erityisesti jos kyse on tietojärjestelmien teknisestä tarkastuksesta. Tekniset tarkastukset voivat aiheuttaa järjestelmien hidastumista ja jopa kaatumisen.
Tehtävät
Ohjausryhmä
- Käsittelee raportin ja päättää mitä havaituja riskejä korjataan ja mitkä ovat hyväksyttäviä.
- Päätös järjestetäänkö uudelleentarkastus. Usein on järkevää järjestää lyhyt uudelleentarkastus kun korjattaviksi määrätyt ongelmat on korjattu, jotta selvitetään onko korjaus onnistunut. Uudelleentarkastus kohdistetaan vain korjattuihin ongelmiin.
Toteutustiimi
- vastaa tarkastajan tarkastuksen aikaisiin kysymyksiin
- tekee ohjausryhmän päättämät korjaukset
Hankepäällikkö (joka voi delegoida osan tehtävistä tietoturva-asiantuntijalle)
- hankkii tarkastajan osaamispalvelukeskuksen sopimustoimittajilta, omalla kilpailutuksella tai toisesta kaupungin yksiköstä
- järjestää alku- ja loppupalaverin
- tiedottaa tarkastuksesta mahdollisille kolmansille osapuolille (esim. alihankkijat).
- mahdollistaa tarkastuksen järjestämällä pääsyn kohteeseen (tunnukset, tilat, dokumentit)
Tarkastaja
- tarkastaa kohteen sovitusti
- kirjoittaa raportin
- esittelee tulokset loppukokouksessa
- tarvittaessa tekee uudelleentarkastuksen kun löydetyt ongelmat on korjattu
Tarkastusmenetelmät
Tarkastuksen näkökulmasta riippuen menetelmät vaihtelevat. Hallinnollisiin tarkastuksiin liittyy tyypillisesti haastatteluja, tapausotantoja sekä dokumenttien, lokien ja muun prosessista kertyvän aineiston läpikäyntiä.
Teknisiin tarkastuksiin on erilaisia menetelmiä ja automaattisia työkaluja. Jotkin työkalut sisältävät itsessään jo jonkin vaatimuskokoelman. Esimerkiksi tietoverkkojen haavoittuvuusanalysaattorit sisältävät listan sillä hetkellä tunnetuista järjestelmähaavoittuvuuksista. Tällaista käytettäessä on syytä varmistaa, että lista on päivitetty uusimpaan aina ennen tehtävää tarkastusta.
WWW-tekniikalla toteutettujen ohjelmistojen tarkastukseen on Open Web Application Security Project-yhteisö kehittänyt Application Security Verification Standard -vaatimuskokoelman. Suuri osa kokoelman testeistä on mahdollista tehdä automaattityökaluin, mutta ei kaikki.
Laatukriteerit
- Tarkastajan tulisi olla tarkastettavasta kohteesta täysin riippumaton. Erityisesti tarkastaja ei saa olla henkilö, joka on ollut kohteen kehittämistyössä aktiivisesti mukana. Mieluummin ei edes samasta organisaatiosta kuin kehittäjät.
- Tarkastajalla tulee olla kokemusta valitun tarkastusmenetelmän käytöstä.
- Raportissa on lueteltu tarkastuksessa havaitut puutteet ja ongelmat vaatimuksiin nähden.