Sovelluskehityksen tietoturvallisuus -hanke
VM047:14/2007 Kehittäminen
Ministeriöt toteuttavat hallitusohjelmaa, valmistelevat lakeja ja muita säädöksiä sekä vievät eteenpäin uudistuksia erilaisissa hankkeissa, työryhmissä ja toimielimissä.
Kaikkien ministeriöiden hankkeet löydät valtioneuvoston verkkosivuilta
Hankeryhmän tehtävänä on laatia sovelluskehityksen tietoturvaohje. Ohjeessa tulee ottaa huomioon tietojärjestelmäkehityksen elinkaaren eri vaiheiden tietoturvavaatimukset soveltaen vaatimuksia organisaation omaan sovelluskehitysmalliin ja valmisohjelmistoperusteiseen kehitystyöhön.
Ohjeeseen tulee sisältyä hallinnollisia ja teknisiä linjauksia tietoturvallisuuden näkökulmasta sovelluskehityksen laadun varmistamiseksi sekä käsitellä systeemityömalleihin sisältyviä tietoturvatehtäviä ja tietoturvavaatimusten määrittelyä. Ohjeessa pitää ottaa huomioon kehitettävien tietojärjestelmien yhteydet arkkitehtuureihin sekä käsitellä sovelluksiin liittyviä tietoturvauhkia ja riskien ehkäisykeinoja.
Ohjeessa tulee ottaa huomioon VAHTI-ohjeet ja lainsäädäntö sekä erityisesti tietoturvallisuusasetus, tietoturvatasot, sovelluskehitykseen liittyvät JHS-suositukset ja kansallinen turvallisuusauditointikriteeristö KATAKRI sekä uusi julkishallinnon tietohallintolaki.
Hankeryhmä voi laatia ehdotuksen ...
Hankkeen perustiedot Päättynyt
Hankenumero VM047:14/2007
Asianumerot 632/00.01.00.01/2011
Asettaja valtiovarainministeriö
Toimikausi/aikataulu 31.5.2012 – 31.12.2012
Asettamispäivä 23.2.2011
Tiivistelmä
Hankeryhmän tehtävänä on laatia sovelluskehityksen tietoturvaohje. Ohjeessa tulee ottaa huomioon tietojärjestelmäkehityksen elinkaaren eri vaiheiden tietoturvavaatimukset soveltaen vaatimuksia organisaation omaan sovelluskehitysmalliin ja valmisohjelmistoperusteiseen kehitystyöhön.
Ohjeeseen tulee sisältyä hallinnollisia ja teknisiä linjauksia tietoturvallisuuden näkökulmasta sovelluskehityksen laadun varmistamiseksi sekä käsitellä systeemityömalleihin sisältyviä tietoturvatehtäviä ja tietoturvavaatimusten määrittelyä. Ohjeessa pitää ottaa huomioon kehitettävien tietojärjestelmien yhteydet arkkitehtuureihin sekä käsitellä sovelluksiin liittyviä tietoturvauhkia ja riskien ehkäisykeinoja.
Ohjeessa tulee ottaa huomioon VAHTI-ohjeet ja lainsäädäntö sekä erityisesti tietoturvallisuusasetus, tietoturvatasot, sovelluskehitykseen liittyvät JHS-suositukset ja kansallinen turvallisuusauditointikriteeristö KATAKRI sekä uusi julkishallinnon tietohallintolaki.
Hankeryhmä voi laatia ehdotuksen sovelluskehityksen valtiontason ohjeistamistarpeista.
Lähtökohdat
Vuoden 2010 aikana valtionhallinnossa on tullut voimaan uusi tietoturvallisuusasetus ja sen myötä valtionhallinnon organisaatioille velvoitteita tietoturvatasojen toimeenpanosta. Tietoturvallisuusasetusta täydentävä Valtionhallinnon tietoturvallisuuden johtoryhmän VAHTI-ohje 2/2010 tarkentaa ja ohjeistaa tietoaineistojen käsittelyä sekä esittää yleiset linjaukset tietoturvatasoista. VAHTI-ohje 3/2010 sisältää tietoturvatasojen linjaukset sisäverkoille.
Vuoden 2011 aikana tullee myös voimaan uusi julkishallintoa koskeva tietohallintolaki. Tietoturvallisuusasetuksesta ja uudesta tietohallintolaista tulee vaatimuksia organisaatioiden sovelluskehitystyölle ja järjestelmien yhteentoimivuudelle, joiden vaikutukset tulee arvioida myös sovelluskehityksen tietoturvatehtäville ja määritellä tarvittavat linjaukset. Valtion tietohallinnon, tietoturvallisuuden ja sovelluskehitysympäristön muutosten vaikutukset tulee näkyä VAHTI-ohjeistuksessa.
Tavoitteena on valtioneuvoston valtion tietoturvallisuutta koskevan periaatepäätöksen 26.11.2009 mukaisesti tietoturvavaatimusten ja -käytäntöjen integrointi sovelluskehityksen elinkaaren kaikkiin vaiheisiin, missä sovelluskehityksen alkuvaiheessa tunnistetaan tieto-turvatasoista ja säädöksistä tulevat vaatimukset. Tiedostetaan sovelluskehityksen ja tietojär-jestelmäarkkitehtuurien liittymät toisiinsa. Tavoitteena on saada käyttöön tietoturvallisia ja hyvälaatuisia sovelluksia. Näitä tavoitteita tukemaan tarvitaan uusi VAHTI-ohje sovellus-kehityksestä.
Uuden sovelluskehityksen tietoturvaohjeen on tarkoitus tukea ja edistää sovelluskehityksen tietoturvakäytäntöjä sovelluskehityksen elinkaaren tietoturvatehtävien huomioimista sys-teemityömalleissa ja tietoturvaratkaisuja arkkitehtuureissa. Uuden ohjeen on tarkoitus myös korvata vuonna 2000 annettu VAHTI-ohje tietojärjestelmäkehityksestä.
Julkaisut ja raportit
-
Sovelluskehityksen tietoturvaohje, VAHTI 1/2013 PDF
Valtiovarainministeriö
Julkaisuvuosi: 2013; WWW-osoite: http://hare.vn.fi/upload/Julkiset/Asiakirjat/17488/2340301154879792.PDF;
-
Sovelluskehityksen tietoturvaohje, VAHTI 1/2013 PDF
31.1.2013 Valtiovarainministeriö
Asettaminen ja organisointi
-
12.7.2012 Valtiovarainministeriö
-
Sovelluskehityksen tietoturvallisuus -hankkeen asettamispäätös PDF
23.2.2011 Valtiovarainministeriö
Lausuntokierrokset ja kuuleminen
-
31.5.2012 Aluehallintovirastojen tietohallintoyksikkö
-
Sisäasiainministeriön lausunto luonnoksesta Sovelluskehityksen tietoturvaohjeeksi PDF
31.5.2012 Sisäasiainministeriö
-
28.5.2012 Elinkeino-, liikenne- ja ympäristökeskus
-
Säteilyturvakeskuksen lausunto luonnoksesta Sovelluskehityksen tietoturvaohjeeksi PDF
25.5.2012 Säteilyturvakeskus
-
Opetus- ja kulttuuriministeriön lausunto luonnoksesta Sovelluskehityksen tietoturvaohjeeksi PDF
24.5.2012 Opetus- ja kulttuuriministeriö
-
Terveyden ja hyvinvoinnin laitoksen lausunto luonnoksesta Sovelluskehityksen tietoturvaohjeeksi PDF
24.5.2012 Terveyden ja hyvinvoinnin laitos
-
24.5.2012 Itä-Suomen aluehallintoviraston maistraattien ohjaus- ja kehittämisyksikkö
-
Tullihallituksen lausunto luonnoksesta Sovelluskehityksen tietoturvaohjeeksi PDF
23.5.2012 Tullihallitus
-
Verohallinnon lausunto luonnoksesta Sovelluskehityksen tietoturvaohjeeksi, 23.5.2012 PDF
23.5.2012 Verohallinto
-
Oikeusministeriön lausunto luonnoksesta Sovelluskehityksen tietoturvaohjeeksi, 23.5.2012 PDF
23.5.2012 Oikeusministeriö
-
23.5.2012 Antti Vähä-Sipilä ja Tuuli Siiskonen
-
23.5.2012 Valtion taloudellinen tutkimuskeskus VATT
-
Tilastokeskuksen lausunto luonnoksesta Sovelluskehityksen tietoturvaohjeeksi, 23.5.2012 PDF
23.5.2012 Tilastokeskus
-
Nixu Oy:n lausunto luonnoksesta Sovelluskehityksen tietoturvaohjeeksi, 23.5.2012 PDF
23.5.2012 Nixu Oy
-
Sosiaali- ja terveysministeriön lausunto luonnoksesta Sovelluskehityksen tietoturvaohjeeksi PDF
23.5.2012 Sosiaali- ja terveysministeriö
-
Pääesikunnan lausunto luonnoksesta Sovelluskehityksen tietoturvaohjeeksi PDF
22.5.2012 Puolustusvoimat / Pääesikunta
-
21.5.2012 Lääkealan turvallisuus- ja kehittämiskeskus Fimea
-
Työ- ja elinkeinoministeriön lausunto luonnoksesta Sovelluskehityksen tietoturvaohjeeksi, 21.5.2012 PDF
21.5.2012 Työ- ja elinkeinoministeriö
-
Viestintäviraston lausunto luonnoksesta Sovelluskehityksen tietoturvaohjeeksi, 21.5.2012 PDF
21.5.2012 Viestintävirasto
-
Valtiokonttorin lausunto luonnoksesta Sovelluskehityksen tietoturvaohjeeksi PDF
21.5.2012 Valtiokonttori
-
16.5.2012 Valtiontalouden tarkastusvirasto VTV
-
Valtioneuvoston kanslian lausunto luonnoksesta Sovelluskehityksen tietoturvaohjeeksi PDF
11.5.2012 Valtioneuvoston kanslia
-
Lausuntopyyntö luonnoksesta sovelluskehityksen tietoturvaohjeeksi
26.4.2012 Valtiovarainministeriö