Hea tava turvalise tarkvara arendamisel

Meie tarkvara turvalisuse tagamise strateegia on:

juhitud – sisaldab eesmärgipõhiseid ning koordineeritud tegevusi,
integreeritud – on osa tarkvaraarenduse protsessidest ja metoodikatest,
arenev – lähtub kaasaegsetest teadmistest,
vastutustundlik – tagab, et riskid on klientidele regulaarselt tõstatatud.

Täpsemalt tähendab see arendusettevõtte seisukohast:

Arvestame, et tarkvara turvaliselt arendamine vajab eraldi juhtimist.
- Igas tarkvaraprojektis on turvalisusele keskenduv roll, kes tagab piisava tähelepanu heade turvapraktikate järgimisele projekti kestel ning loob eelduse rakendamise järjepidevusele pärast projekt lõppu.
- Meil on turvalisuse kui eraldi kompetentsi eest vastutaja, kes tagab organisatsiooni turvateadmiste piisava taseme.
Integreerime turvalisuse tagamise oma protsessidesse.
- Teadvustame, et ühekordne audit või läbistustestimine ei anna ajas püsivat tulemust, mistõttu on turvalisust taas vaja valideerida süsteemide muutuste korral ja regulaarselt tarneahela rünnete riski maandamiseks.
- Automatiseerime tarkvara turvalisuse tagamise, rakendades tarkvara ehitusprotsessides (CI) automaatteste, koodianalüsaatoreid ja muid levinud vahendeid.
- Teadvustame, et üks suurimaid turvariske on funktsionaalsus, mida tegelikult ei ole vaja. Väldime ebavajaliku keerukuse loomist, ülepingutatud tehnoloogia ja ebamõistlike töövahendite kasutamist.
Järgime kasutatavate programmeerimiskeelte, -raamistike, -keskkondade turvalise arendamise ja kasutamise juhendeid ning parimaid praktikaid, ning arendame oma oskuseid pidevalt edasi.
- Hoolitseme selle eest, et kõik meie töötajad läbivad regulaarselt turvalisuse tagamisega seotud koolitusi, mis vastavad nende rollile ja vastutusalale.
- Kasutame kaasaegseid tehnoloogiaid, mis arenevad ajas jätkuvalt edasi.
- Hoiame end kursis küberturvalisuse valdkonna trendide ja riskidega ning kohandame vastavalt oma süsteeme, protsesse ja metoodikaid.
Selgitame turvalisusega seotud aspekte kliendile ega eelda, et nad oskavad seda ise küsida.
- Soovitame kliendil loobuda riskantsest funktsionaalsusest, mis ohustab turvalisust ja aitame leida alternatiivsed lahendused.
- Kirjeldame kliendile selgelt ning üheselt tarkvaralise lahendusega kaasnevaid olulisi riske ning nende ilmnemise võimalikke tagajärgi.
- Oluliste intsidentide korral reageerime otsekohe. Teavitame nii klienti kui ka CERT-EE-d.

Ettevõtted, kes on liitunud turvalise tarkvara arendamise hea tavaga:

1.ADM Interactive OÜ -

2.Agileworks AS -

3.Baltic Computer Systems AS -

4.Cybernetica AS -

5.Datel AS -

6.Entigo OÜ -

7.FINEST AS -

8.FiscalAdmin OÜ -

9.Flowit Estonia OÜ -

10.Gofore Estonia OÜ -

11.Guardtime OÜ -

12.Helmes AS -

13.Inspirators! OÜ -

14.Lean OÜ -

15.Merada OÜ -

16.Net Group OÜ -

17.Nortal AS -

18.Proekspert AS -

19.SECNORA OÜ -

20.TalTech - Some description text

21.Tartu Ülikool -

22.Tieto Estonia AS -

23.Trinidad Wiseman OÜ -

24.Uptime OÜ -

25.Wisercat Estonia OÜ -

1.Agileworks AS

2.Baltic Computer Systems AS

3.Trinidad Wiseman OÜ

4.Helmes AS

5.Guardtime OÜ

6.Net Group OÜ

7.Cybernetica AS

8.Proekspert AS

9.Entigo OÜ

10.Lean OÜ

11.Datel AS

12.Tieto Estonia AS

13.Merada OÜ

14.FiscalAdmin OÜ

15.TalTech

16.SECNORA OÜ

17.Tartu Ülikool

18.Wisercat Estonia OÜ

19.Gofore Estonia OÜ

20.FINEST AS

21.ADM Interactive OÜ

22.Inspirators! OÜ

23.Nortal AS

24.Uptime OÜ

25.Flowit Estonia OÜ