Hea tava turvalise tarkvara arendamisel

Meie tarkvara turvalisuse tagamise strateegia on:

juhitud – sisaldab eesmärgipõhiseid ning koordineeritud tegevusi,
integreeritud – on osa tarkvaraarenduse protsessidest ja metoodikatest,
arenev – lähtub kaasaegsetest teadmistest,
vastutustundlik – tagab, et riskid on klientidele regulaarselt tõstatatud.

Täpsemalt tähendab see arendusettevõtte seisukohast:

Arvestame, et tarkvara turvaliselt arendamine vajab eraldi juhtimist.
- Igas tarkvaraprojektis on turvalisusele keskenduv roll, kes tagab piisava tähelepanu heade turvapraktikate järgimisele projekti kestel ning loob eelduse rakendamise järjepidevusele pärast projekt lõppu.
- Meil on turvalisuse kui eraldi kompetentsi eest vastutaja, kes tagab organisatsiooni turvateadmiste piisava taseme.
Integreerime turvalisuse tagamise oma protsessidesse.
- Teadvustame, et ühekordne audit või läbistustestimine ei anna ajas püsivat tulemust, mistõttu on turvalisust taas vaja valideerida süsteemide muutuste korral ja regulaarselt tarneahela rünnete riski maandamiseks.
- Automatiseerime tarkvara turvalisuse tagamise, rakendades tarkvara ehitusprotsessides (CI) automaatteste, koodianalüsaatoreid ja muid levinud vahendeid.
- Teadvustame, et üks suurimaid turvariske on funktsionaalsus, mida tegelikult ei ole vaja. Väldime ebavajaliku keerukuse loomist, ülepingutatud tehnoloogia ja ebamõistlike töövahendite kasutamist.
Järgime kasutatavate programmeerimiskeelte, -raamistike, -keskkondade turvalise arendamise ja kasutamise juhendeid ning parimaid praktikaid, ning arendame oma oskuseid pidevalt edasi.
- Hoolitseme selle eest, et kõik meie töötajad läbivad regulaarselt turvalisuse tagamisega seotud koolitusi, mis vastavad nende rollile ja vastutusalale.
- Kasutame kaasaegseid tehnoloogiaid, mis arenevad ajas jätkuvalt edasi.
- Hoiame end kursis küberturvalisuse valdkonna trendide ja riskidega ning kohandame vastavalt oma süsteeme, protsesse ja metoodikaid.
Selgitame turvalisusega seotud aspekte kliendile ega eelda, et nad oskavad seda ise küsida.
- Soovitame kliendil loobuda riskantsest funktsionaalsusest, mis ohustab turvalisust ja aitame leida alternatiivsed lahendused.
- Kirjeldame kliendile selgelt ning üheselt tarkvaralise lahendusega kaasnevaid olulisi riske ning nende ilmnemise võimalikke tagajärgi.
- Oluliste intsidentide korral reageerime otsekohe. Teavitame nii klienti kui ka CERT-EE-d.

Ettevõtted, kes on liitunud turvalise tarkvara arendamise hea tavaga:

1.ADM Interactive OÜ -

2.Agileworks AS -

3.Baltic Computer Systems AS -

4.Cybernetica AS -

5.Datel AS -

6.Entigo OÜ -

7.FINEST AS -

8.FiscalAdmin OÜ -

9.Flowit Estonia OÜ -

10.Gofore Estonia OÜ -

11.Guardtime OÜ -

12.Helmes AS -

13.Inspirators! OÜ -

14.Lean OÜ -

15.Merada OÜ -

16.Net Group OÜ -

17.Nortal AS -

18.Proekspert AS -

19.SECNORA OÜ -

20.TalTech - Some description text

21.Tartu Ülikool -

22.Tieto Estonia AS -

23.Trinidad Wiseman OÜ -

24.Uptime OÜ -

25.Wisercat Estonia OÜ -

1.Nortal AS

2.Entigo OÜ

3.TalTech

4.Cybernetica AS

5.Proekspert AS

6.ADM Interactive OÜ

7.Baltic Computer Systems AS

8.Datel AS

9.Net Group OÜ

10.SECNORA OÜ

11.Tartu Ülikool

12.FINEST AS

13.Merada OÜ

14.FiscalAdmin OÜ

15.Lean OÜ

16.Flowit Estonia OÜ

17.Tieto Estonia AS

18.Uptime OÜ

19.Helmes AS

20.Wisercat Estonia OÜ

21.Trinidad Wiseman OÜ

22.Agileworks AS

23.Inspirators! OÜ

24.Gofore Estonia OÜ

25.Guardtime OÜ