Hea tava turvalise tarkvara arendamisel

Meie tarkvara turvalisuse tagamise strateegia on:

juhitud – sisaldab eesmärgipõhiseid ning koordineeritud tegevusi,
integreeritud – on osa tarkvaraarenduse protsessidest ja metoodikatest,
arenev – lähtub kaasaegsetest teadmistest,
vastutustundlik – tagab, et riskid on klientidele regulaarselt tõstatatud.

Täpsemalt tähendab see arendusettevõtte seisukohast:

Arvestame, et tarkvara turvaliselt arendamine vajab eraldi juhtimist.
- Igas tarkvaraprojektis on turvalisusele keskenduv roll, kes tagab piisava tähelepanu heade turvapraktikate järgimisele projekti kestel ning loob eelduse rakendamise järjepidevusele pärast projekt lõppu.
- Meil on turvalisuse kui eraldi kompetentsi eest vastutaja, kes tagab organisatsiooni turvateadmiste piisava taseme.
Integreerime turvalisuse tagamise oma protsessidesse.
- Teadvustame, et ühekordne audit või läbistustestimine ei anna ajas püsivat tulemust, mistõttu on turvalisust taas vaja valideerida süsteemide muutuste korral ja regulaarselt tarneahela rünnete riski maandamiseks.
- Automatiseerime tarkvara turvalisuse tagamise, rakendades tarkvara ehitusprotsessides (CI) automaatteste, koodianalüsaatoreid ja muid levinud vahendeid.
- Teadvustame, et üks suurimaid turvariske on funktsionaalsus, mida tegelikult ei ole vaja. Väldime ebavajaliku keerukuse loomist, ülepingutatud tehnoloogia ja ebamõistlike töövahendite kasutamist.
Järgime kasutatavate programmeerimiskeelte, -raamistike, -keskkondade turvalise arendamise ja kasutamise juhendeid ning parimaid praktikaid, ning arendame oma oskuseid pidevalt edasi.
- Hoolitseme selle eest, et kõik meie töötajad läbivad regulaarselt turvalisuse tagamisega seotud koolitusi, mis vastavad nende rollile ja vastutusalale.
- Kasutame kaasaegseid tehnoloogiaid, mis arenevad ajas jätkuvalt edasi.
- Hoiame end kursis küberturvalisuse valdkonna trendide ja riskidega ning kohandame vastavalt oma süsteeme, protsesse ja metoodikaid.
Selgitame turvalisusega seotud aspekte kliendile ega eelda, et nad oskavad seda ise küsida.
- Soovitame kliendil loobuda riskantsest funktsionaalsusest, mis ohustab turvalisust ja aitame leida alternatiivsed lahendused.
- Kirjeldame kliendile selgelt ning üheselt tarkvaralise lahendusega kaasnevaid olulisi riske ning nende ilmnemise võimalikke tagajärgi.
- Oluliste intsidentide korral reageerime otsekohe. Teavitame nii klienti kui ka CERT-EE-d.

Ettevõtted, kes on liitunud turvalise tarkvara arendamise hea tavaga:

1.ADM Interactive OÜ -

2.Agileworks AS -

3.Baltic Computer Systems AS -

4.Cyberarch Consulting -

5.Cybernetica AS -

8.Finestmedia AS -

9.FiscalAdmin OÜ -

10.Flowit Estonia OÜ -

11.Gofore Estonia OÜ -

12.Guardtime OÜ -

14.Inspirators! OÜ -

16.Merada OÜ -

17.Net Group OÜ -

19.outl1ne OÜ -

20.Proekspert AS -

21.TalTech - Some description text

22.Tartu Ülikool -

23.Tieto Estonia AS -

24.Trinidad Wiseman OÜ -

25.Uptime OÜ -

26.Wisercat Estonia OÜ -

2.Cybernetica AS

3.Baltic Computer Systems AS

5.Guardtime OÜ

7.Tartu Ülikool

8.Gofore Estonia OÜ

10.Tieto Estonia AS

11.Inspirators! OÜ

12.Cyberarch Consulting

14.Finestmedia AS

15.Wisercat Estonia OÜ

16.Proekspert AS

18.ADM Interactive OÜ

19.Net Group OÜ

23.Agileworks AS

24.Flowit Estonia OÜ

25.Trinidad Wiseman OÜ

26.FiscalAdmin OÜ