1. Miten tarkastuksen kriteeristö on kehitetty?

Kriteeristö on kehitetty yhteistyössä ohjelmistoalan yrittäjien, Ohjelmistoyrittäjät ry ja tietoturvayritys 2NS (Second Nature Security Oy) kanssa. Lähtökohtana on ollut tarjota järkevä tapa parantaa ohjelmistoyritysten tuotteiden/palveluiden tietoturvaa, osoittaa tämän olevan kunnossa sekä tarjota tehokas kilpailuvaltti esim. kansainvälistymisessä.

Kriteeristön luomiseen on käytetty useita lähteitä ja huomioitu alan parhaita käytäntöjä, muun muassa ISO 27000, VAHTI, OWASP ja COBIT.

3. Miten tietoturvatarkastus käytännössä tehdään?

  • Prosessi: Sovelluskehitysprosessi tarkastetaan pohjautuen toimitettuihin aineistoihin / haastatteluihin. Tarkastus suoritetaan julkista kriteeristöä vasten.
  • Tuote: Tuotteelle suoritetaan tekninen tarkastus julkista kriteeristöä vasten

4. Miten valitsen tuotteelle oikean tietoturvatason?

Tietoturvataso (Security Level 1 - Level 3) tulee valita tuotteen ominaisuuksien, sen sisältämän tiedon, tietoturvakriittisyyden ja mahdollisten asiakasvaatimusten mukaan.

  • Security Level 1: Tällä tasolla saadaan alustava kuva yleisistä tietoturva-haavoittuvuuksista. Testaus on työkalupainotteinen. Mikäli palvelussa on esimerkiksi sisäänkirjautuminen, niin sille suositellaan korkeamman tietoturvatason tarkastusta.
  • Security Level 2: Tällä tasolla tarkastetaan muun muassa sisäänkirjautuminen ja luvitukset. Mikäli palvelussa käsitellään luottamuksellista tietoa, esimerkiksi henkilötietoja, niin sille suositellaan korkeamman tietoturvatason tarkastusta.
  • Security Level 3: Tällä tasolla tuotetta testataan monipuolisesti. Mikäli tuotteen tietoturva nähdään erittäin kriittiseksi, kannattaa tämän tarkastuksen lisäksi harkita vielä tarkemman räätälöidyn tarkastuksen tekemistä.

5. Kuka tarkastukset suorittaa ja mikä on tarkastajan osaaminen?

Tarkastuksen suorittaa tietoturvayritys 2NS (Second Nature Security Oy). Tarkastajat suorittavat tietoturvatarkastukset hyvän auditointitavan ja käytettävän julkisen kriteeristön mukaan. Pääauditoijalla on tietoturva-alan sertifikaatti, esimerkiksi CISA/CISSP, sekä useiden vuosien tietoturva-auditointikokemus.

6. Mitä työkaluja testauksessa käytetään?

2NS evaluoi jatkuvasti eri tietoturvatestaustyökaluja ja hyödyntää kulloinkin parhaaksi näkemäänsä valikoimaa. Kaikissa testauksissa hyödynnetään useampaa soveltuvaa työkalua, lisäksi asiantuntija todentaa työkalujen löydökset ja karsii pois työkalujen tekemiä virheitä. Tasoilla 2 ja 3 tehdään lisäksi vielä manuaalista testaustyötä, jota ei työkaluilla voida automatisoida.

7. Mitä jos tuotteessani on paljon haavoittuvuuksia, menetänkö kasvoni?

Et missään nimessä. Käytännössä kaikissa tuotteissa on haavoittuvuuksia. Web-sovellusten tietoturvatarkastuksia tekevien yritysten tarkastuksista yleisesti 100 % johtaa siihen, että haavoittuvuuksia korjataan. Haavoittuvuudet ovat näin ollen erittäin yleisiä ja parhaimmissakin sovelluksissa niitä yleensä on. Tarkastuksen tarkoituksena on auttaa tunnistamaan haavoittuvuudet, jotta niille voidaan tehdä korjaus ja sitä kautta parantaa tuotteen laatua. Tietoturvatestaus on käytännössä testausta siinä missä muukin ohjelmistoon kohdistuva testaus.

8. Jos meille tulee kysymyksiä raportin haavoittuvuuksista, voiko tähän saada apua?

Yleisesti raportti ja siinä esitetyt haavoittuvuudet ja puutteet on esitetty selkeällä tasolla, jotta ohjelmistokehittäjät osaavat haavoittuvuudet tämän perusteella korjata. Tarkastukseen kuuluu halutessa myös raportin läpikäynti puhelimitse 2NS:n asiantuntijan kanssa.

9. Pitääkö ohjelmassa tarkastaa aina sekä web-sovellus että kehitysprosessi?

Tarkastuksesta voi halutessa valita vain toisen.

10. Minkälainen on ohjelmistoyritykseen kohdistuva työmäärä?

  • Prosessi: Ohjelmistoyritykseltä tarvitaan kriteeristön edellyttämien materiaalien toimittamista sekä haastatteluiden järjestämistä. Tyypillisesti yritykselle tarkastuksesta syntyvä työmäärä on noin yksi henkilötyöpäivä. Yrityksen toimintatapojen tuominen tarkastuksen läpäisemisen vaatimalle tasolle riippuu yrityksen toimintatapojen kypsyydestä.
  • Tuote: Ohjelmistoyrityksen tulee järjestää pääsy tarkastettavaan sovellukseen sekä luoda tarvittavat tunnukset.

11. Tarvitseeko minun ostaa lisäpalveluita sertifikaatin saamiseksi?

Sertifikaatin saaminen onnistuneesta tietoturvatarkastuksesta ei edellytä lisäpalveluiden ostamista yhteistyökumppanilta.

12. Kuinka varmistutaan siitä, että tarkastuksen tulokset ovat vertailukelpoisia?

Jokainen tarkastus tehdään julkisesti saatavilla olevia kriteereitä vasten määrämuotoisesti.

13. Kuinka tarkastuksen tuloksien laatu varmennetaan?

Tarkastuksen löydökset verifioidaan ennen niiden raportointia. Käytössä on tarvittaessa vielä erillinen eskalointimekanismi Ohjelmistoyrittäjät ry:n suuntaan, mikäli tarkastuksen laadussa koetaan puutteita, joiden selvittäminen asiakkaan ja toimittajan kesken ei luonnistu.

14. Mikä on tarkastuksen laajuus, entä rajaukset?

Sertifiointi rajataan koskemaan vain kohteena olevan palvelun selainrajapintoja sekä organisaation sovelluskehitysprosessia. Tarkastus suoritetaan julkisesti saatavilla olevaa kriteeristöä vasten.

15. Onko tuote täysin turvallinen läpäistyn tarkastuksen jälkeen? Entä voiko tuotteesta löytyä haavoittuvuuksia vaikka se on läpäissyt tarkastuksen?

Tarkastuksella pyritään kattamaan sekä tuote että sovelluskehitysprosessi riittävän laajasti pitäen työmäärän kohtuullisena. Tarkastus on rajattu vain koskemaan kriteereitä eri tasoilla. Nämä käydään läpi rajatussa työmäärässä ja on olemassa mahdollisuus, että tuotteesta saattaa löytää haavoittuvuuksia, joita tarkastuksessa ei ilmennyt, tai alueista, jotka eivät olleet tarkastuksen kohteena. Täydellistä tietoturvaa ei millään tarkistuksella voida valitettavasti taata.

16. Tarkastetaanko mahdolliset korjaukset ennen sertifikaatin myöntämistä?

Kyllä. Sovelluksen tai prosessin tulee täyttää tason vaatimat kriteerit ilman poikkeuksia.

17. Miten mahdollisten korjausten tarkastus tehdään ja mitä se maksaa?

Korjauksien tarkastuksessa tarkastetaan varsinaisessa tarkastuksessa täyttämättä jääneet kriteerit. Tarkastuksessa varmennetaan, että korjaukset on tehty asianmukaisesti ja että implementoidut korjaukset eivät ole ohitettavissa sekä raportoidaan nämä ohjelmistoyritykselle. Korjausten tarkastuksen hinnat perustuvat tarkastukseen vaadittavaan työmäärään, joka riippuu korjattujen haavoittuvuuksien / puutteiden lukumäärästä. Hinnat ovat:

Prosessi

  • Level 1: Korjauksia ei tarkasteta
  • Level 2: Vähän korjauksia: 490 €; Paljon korjauksia: 990 € (vähän: alle 10% fail, paljon: 10% tai enemmän fail)
  • Level 3: Vähän korjauksia: 750 €; Paljon korjauksia: 1490 € (vähän: alle 10% fail, paljon: 10% tai enemmän fail)

Tuote

  • Level 1: Vähän korjauksia: 490 €, Paljon korjauksia: 990 € (vähän: 1-2 kohtaa fail, paljon: 3 tai enemmän kohtaa fail)
  • Level 2: Vähän korjauksia: 750 €; Paljon korjauksia: 1490 € (vähän: 1-3 kohtaa fail, paljon: 4 tai enemmän kohtaa fail)
  • Level 3: Vähän korjauksia: 990 €; Paljon korjauksia: 2490 € (vähän: 1-4 kohtaa fail, paljon: 5 tai enemmän kohtaa fail)

18. Voiko Level 1:ltä nousta portaittain esim. Level 3:lle ja maksu sen mukaisesti?

Tämä ei ole mahdollista, vaan tarkastus suoritetaan tasoittain samojen kriteerien perusteella. Tällä varmennetaan, että jokainen kohde on yhteismitallisesti tarkastettu ja että ne ovat vertailukelpoisia. Eli jokainen taso suoritetaan itsenäisenä kokonaisuutena, ja jokaisesta tasosta on erillinen maksu sekä sertifikaatti läpäistystä tarkastuksesta. Level 3 tarkastuksen voi suorittaa vaikka ei ole suorittanut alempia tasoja.

19. Miten sertifikaatissa ilmoitetaan tarkastuksen ajankohta

Sertifikaatissa ilmoitetaan sen myöntämispäivä muodossa esim. Annual Security Check was done 2014-05-30.

20. Miten uusintasertifikaatin hinta suhtautuu alkuperäisen hintaan?

Tarkastuksessa käydään aina samat tai päivitetyt kriteerit läpi. Tämän vuoksi jokaisen tarkastuksen hinta on sama.

21. Mitä menetelmiä tuotteen tarkastuksessa käytetään?

Käytettävät menetelmät riippuvat valitusta tasosta. Kaikilla tasoilla käytetään koneellisia menetelmiä tarkistuksen suorittamiseen. Tämän lisäksi tasoilla 2 ja 3 käytetään manuaalisia tarkastusmenetelmiä haavoittuvuuksien löytämiseen. Valitusta tietoturvatasosta riippuen, tarkastuksessa katsotaan seuraavia osa-alueita: Input handling, Configuration, Session management, Autentication, Authorization, Business Logic sekä Client-side testing.

22. Miksi Ohjelmistoyrittäjät ry on lähtenyt tarjoamaan sertifikaattia tietoturvatarkastuksesta?

Ohjelmistoyrittäjät ry haluaa nostaa Suomen ohjelmistoalan tietoturvaa kokonaisuutena – niin tietoisuutta aiheesta kun palveluiden ja ohjelmistojen tietoturvallisuutta. Tietoturva on nykymaailmassa kilpailuvaltti palvelun tai ohjelmiston tuottajan osalta, jota kannattaa aktiivisesti käyttää. Myöskin palveluiden ja ohjelmistojen ostajien tietoturvaymmärryksen ja –valveutumisen lisääminen edesauttaa toimialan kehitystä. Saadun palautteen perusteella sertifikaatit ovat toimineet leimana laadusta, ja edesauttaneet kauppojen syntymistä.

Alalla ei ollut valmista, helposti käyttöönotettavaa ja ymmärrettävää sertifiointiohjelmaa, joka olisi palvellut pieniä ja keskikokoisia ohjelmistoalan yrityksiä. Näin olleen Ohjelmistoyrittäjät toimialan edistäjänä kävi läpi kymmenien eri elinkaaren vaiheessa olevien yritysten johdon kanssa, millaista sertifiointiohjelmaa toivottaisiin. Lopuksi Ohjelmistoyrittäjät keskustelivat usean FISC:in (Finnish Information Security Cluster) jäsenyrityksen kanssa ohjelman toteuttamisesta, ja päätyivät valitun kumppanin (2NS) kanssa tarjoamaan nykyistä ohjelmaa, sekä kehittämään sertifiointiohjelmaa edelleen.

23. Miten sertifiointiohjelmaan pääsee mukaan?

Sertifiointiohjelmaan voi ilmoittautua osoitteesta http://www.ohjelmistoyrittajat.fi/tietoturva tai ottamalla yhteyttä auditoinnin suorittajaan 2NS:n Mika Holmbergiin: mika.holmberg@2ns.fi, +358 40 843 9412.