Ads 468x60px

maanantai 11. helmikuuta 2013

Sovelluskehityksen VAHTI-ohje julkaistu

Kirjoittaessamme sovelluskehitykset VAHTI-ohjetta (VAHTI 1/2013) meiltä kyseltiin kovin usein, milloin se oikein julkaistaan. Lisäksi ennen julkaisua pidimme siihen liittyen jo muutaman asiakaskohtaisen koulutuksenkin. Tuntuu siis siltä, että ohjeelle on kova kysyntä niin kuin asiallista onkin, sillä mielestäni sovellusten turvallisuus on tietoturvan keskeisimpiä asioita.

Ohjeen keskiössä on tehtävät, joita sovelluskehityksen aikana tulisi suorittaa turvallisuuden varmistamiseksi. Ohjeessa on lueteltu tehtäviä, kuten ’tunnistautumismenetelmän valinta’ sekä ’toimintaympäristön kuvaus’ ja kuvattu tehtävän sisältöä. Tehtävät on listattu vesiputousmallin mukaisesti luettavuuden helpottamiseksi, mutta ohjetta tehtäessä olemme pitäneet vahvasti mielessä sen käyttöä nykyaikaisissa iteratiivisissa menetelmissä. Organisaatioiden ensimmäinen tehtävä onkin soveltaa ohjeen tehtävät omaan sovelluskehitysmalliin (eli poimia tehtävät ja laittaa ne oikeisiin kohtiin omaa prosessia).

Valtionhallinnon tietoturvaa ohjaa nykyään vahvasti tietoturvatasot ja ohjeessa eri tehtävät onkin listattu perustason, korotetun tason ja korkean tason tehtäviin ja määritelty, miten pakollisia tehtävät milläkin tasolla ovat. Tämä antaa myös muille kuin valtionhallinnon organisaatioille viestiä siitä, minkä tasoisille sovelluksille kukin tehtävä tulisi asettaa vaatimukseksi.

Sovelluskehityksen tehtävien lisäksi ohjeessa on käsitelty lyhyesti nykyaikaista sovellusten toimintaympäristöä muun muassa moniasiakkuuden, monitoimittajuuden ja pilvipalveluiden näkökulmasta.  Ohjeessa on myös eritelty vaatimukset, joita järjestelmätoimittajille kannattaa esittää.

Kiitokset omasta puolestani kaikille ryhmän jäsenille sekä lukuisille organisaatioille, jotka antoivat ohjeen tekovaiheessa arvokasta palautetta. Mielestäni nyt meillä on valtionhallinnossa hyvä sovelluskehitysohje, joka varmasti parantaa sitä käyttävien organisaatioiden tietoturvan tasoa.

Ohje löytyy osoitteesta http://www.vm.fi/vm/fi/04_julkaisut_ja_asiakirjat/01_julkaisut/05_valtionhallinnon_tietoturvallisuus/20130207Sovell/name.jsp

Terveisin
Matti

Ei kommentteja:

Lähetä kommentti