Hea tava turvalise tarkvara arendamisel

Meie tarkvara turvalisuse tagamise strateegia on:

  • juhitud – sisaldab eesmärgipõhiseid ning koordineeritud tegevusi,
  • integreeritud – on osa tarkvaraarenduse protsessidest ja metoodikatest,
  • arenev – lähtub kaasaegsetest teadmistest,
  • vastutustundlik – tagab, et riskid on klientidele regulaarselt tõstatatud.

Täpsemalt tähendab see arendusettevõtte seisukohast:

  • Arvestame, et tarkvara turvaliselt arendamine vajab eraldi juhtimist.
    • Igas tarkvaraprojektis on turvalisusele keskenduv roll, kes tagab  piisava tähelepanu heade turvapraktikate järgimisele projekti kestel ning loob eelduse rakendamise järjepidevusele pärast projekt lõppu.
    • Meil on turvalisuse kui eraldi kompetentsi eest vastutaja, kes tagab organisatsiooni turvateadmiste piisava taseme.
  • Integreerime turvalisuse tagamise oma protsessidesse.
    • Teadvustame, et ühekordne audit või läbistustestimine ei anna ajas püsivat tulemust, mistõttu on turvalisust taas vaja valideerida süsteemide muutuste korral ja regulaarselt tarneahela rünnete riski maandamiseks.
    • Automatiseerime tarkvara turvalisuse tagamise, rakendades tarkvara ehitusprotsessides (CI) automaatteste, koodianalüsaatoreid ja muid levinud vahendeid.
    • Teadvustame, et üks suurimaid turvariske on funktsionaalsus, mida tegelikult ei ole vaja. Väldime ebavajaliku keerukuse loomist, ülepingutatud tehnoloogia ja ebamõistlike töövahendite kasutamist.
  • Järgime kasutatavate programmeerimiskeelte, -raamistike, -keskkondade turvalise arendamise ja kasutamise juhendeid ning parimaid praktikaid, ning arendame oma oskuseid pidevalt edasi.
    • Hoolitseme selle eest, et kõik meie töötajad läbivad regulaarselt turvalisuse tagamisega seotud koolitusi, mis vastavad nende rollile ja vastutusalale.
    • Kasutame kaasaegseid tehnoloogiaid, mis arenevad ajas jätkuvalt edasi.
    • Hoiame end kursis küberturvalisuse valdkonna trendide ja riskidega ning kohandame vastavalt oma süsteeme, protsesse ja metoodikaid.
  • Selgitame turvalisusega seotud aspekte kliendile ega eelda, et nad oskavad seda ise küsida.
    • Soovitame kliendil loobuda riskantsest funktsionaalsusest, mis ohustab turvalisust ja aitame leida alternatiivsed lahendused.
    • Kirjeldame kliendile selgelt ning üheselt  tarkvaralise lahendusega kaasnevaid olulisi riske ning nende ilmnemise võimalikke tagajärgi.
    • Oluliste intsidentide korral reageerime otsekohe. Teavitame nii klienti kui ka CERT-EE-d.

Ettevõtted, kes on liitunud turvalise tarkvara arendamise hea tavaga:

Küpsiste ülevaade
ITL

Siin saad teha valiku mis küpsistega soovid nõustuda.

Vajalikud küpsised

Kodulehe tööks vajalikud küpsised.

Kolmandate osapoole küpsised

See veebisait kasutab Google Analyticsit, et koguda anonüümset teavet, nagu näiteks külastajate arv ja populaarseimad leheküljed.

Selle küpsise lubamine aitab meil oma veebisaiti parandada.