Hea tava turvalise tarkvara arendamisel

Meie tarkvara turvalisuse tagamise strateegia on:

juhitud – sisaldab eesmärgipõhiseid ning koordineeritud tegevusi,
integreeritud – on osa tarkvaraarenduse protsessidest ja metoodikatest,
arenev – lähtub kaasaegsetest teadmistest,
vastutustundlik – tagab, et riskid on klientidele regulaarselt tõstatatud.

Täpsemalt tähendab see arendusettevõtte seisukohast:

Arvestame, et tarkvara turvaliselt arendamine vajab eraldi juhtimist.
- Igas tarkvaraprojektis on turvalisusele keskenduv roll, kes tagab piisava tähelepanu heade turvapraktikate järgimisele projekti kestel ning loob eelduse rakendamise järjepidevusele pärast projekt lõppu.
- Meil on turvalisuse kui eraldi kompetentsi eest vastutaja, kes tagab organisatsiooni turvateadmiste piisava taseme.
Integreerime turvalisuse tagamise oma protsessidesse.
- Teadvustame, et ühekordne audit või läbistustestimine ei anna ajas püsivat tulemust, mistõttu on turvalisust taas vaja valideerida süsteemide muutuste korral ja regulaarselt tarneahela rünnete riski maandamiseks.
- Automatiseerime tarkvara turvalisuse tagamise, rakendades tarkvara ehitusprotsessides (CI) automaatteste, koodianalüsaatoreid ja muid levinud vahendeid.
- Teadvustame, et üks suurimaid turvariske on funktsionaalsus, mida tegelikult ei ole vaja. Väldime ebavajaliku keerukuse loomist, ülepingutatud tehnoloogia ja ebamõistlike töövahendite kasutamist.
Järgime kasutatavate programmeerimiskeelte, -raamistike, -keskkondade turvalise arendamise ja kasutamise juhendeid ning parimaid praktikaid, ning arendame oma oskuseid pidevalt edasi.
- Hoolitseme selle eest, et kõik meie töötajad läbivad regulaarselt turvalisuse tagamisega seotud koolitusi, mis vastavad nende rollile ja vastutusalale.
- Kasutame kaasaegseid tehnoloogiaid, mis arenevad ajas jätkuvalt edasi.
- Hoiame end kursis küberturvalisuse valdkonna trendide ja riskidega ning kohandame vastavalt oma süsteeme, protsesse ja metoodikaid.
Selgitame turvalisusega seotud aspekte kliendile ega eelda, et nad oskavad seda ise küsida.
- Soovitame kliendil loobuda riskantsest funktsionaalsusest, mis ohustab turvalisust ja aitame leida alternatiivsed lahendused.
- Kirjeldame kliendile selgelt ning üheselt tarkvaralise lahendusega kaasnevaid olulisi riske ning nende ilmnemise võimalikke tagajärgi.
- Oluliste intsidentide korral reageerime otsekohe. Teavitame nii klienti kui ka CERT-EE-d.

Ettevõtted, kes on liitunud turvalise tarkvara arendamise hea tavaga:

1.ADM Interactive OÜ -

2.Agileworks AS -

3.Baltic Computer Systems AS -

4.Cybernetica AS -

5.Datel AS -

6.Entigo OÜ -

7.FINEST AS -

8.FiscalAdmin OÜ -

9.Flowit Estonia OÜ -

10.Gofore Estonia OÜ -

11.Guardtime OÜ -

12.Helmes AS -

13.Inspirators! OÜ -

14.Lean OÜ -

15.Merada OÜ -

16.Net Group OÜ -

17.Nortal AS -

18.Proekspert AS -

19.SECNORA OÜ -

20.TalTech - Some description text

21.Tartu Ülikool -

22.Tieto Estonia AS -

23.Trinidad Wiseman OÜ -

24.Uptime OÜ -

25.Wisercat Estonia OÜ -

1.Net Group OÜ

2.Agileworks AS

3.Proekspert AS

4.Gofore Estonia OÜ

5.Inspirators! OÜ

6.Lean OÜ

7.Uptime OÜ

8.Nortal AS

9.Tartu Ülikool

10.Datel AS

11.Trinidad Wiseman OÜ

12.ADM Interactive OÜ

13.Merada OÜ

14.Guardtime OÜ

15.Cybernetica AS

16.Baltic Computer Systems AS

17.Flowit Estonia OÜ

18.Tieto Estonia AS

19.TalTech

20.FINEST AS

21.Helmes AS

22.Entigo OÜ

23.SECNORA OÜ

24.Wisercat Estonia OÜ

25.FiscalAdmin OÜ