VAHTI SOVELLUSKEHITYKSEN TIETOTURVAOHJEEN VAATIMUKSET KETTERÄSSÄ OHJELMISTOKEHITYKSESSÄ

Abstract

Opinnäytteen toimeksiantajana toimi mm. alihankintaa liiketoimintanaan suorittava kansallinen ohjelmistoyritys, jolla on myös omia tuotteita. Heidän tarkoituksenaan on toteuttaa Valtiohallinnon tietoturvallisuuden johtoryhmän laatiman VAHTI 1/2103 Sovelluskehityksen tietoturvaohjeen vaatimukset ja tarjota tietoturvallista sovelluskehitystä asiakkailleen. Tutkimuksen tavoitteena oli tutustua ja laajentaa VAHTI 1/2103 vaatimuksia, analysoida toimeksiantajan prosessia ja tutkia tietoturvallisen sovelluskehityksen tilannetta organisaatiossa tällä hetkellä. Asiaongelma oli tietämättömyyden tila vaatimusten tuoman lisätyön määrästä ja siitä, mitä se tarkoittaa jokapäiväisessä työssä. Haastatteluissa pyrittiin myös kirjaamaan jo käytössä olevia hyviä käytänteitä projekteista, joissa näitä vaatimuksia jo toteutettiin.

Työn teoria on jaettu kolmeen osaan: organisaation tietoturvallisuuteen, projektin aikaiseen tietoturvallisuuteen ja kehitystiimin suorittamaan käytännön toteuttamiseen. Itse kvalitatiivinen tutkimus suoritettiin tutustumalla toimeksiantajan projektikäsikirjaan ja haastattelemalla työntekijöitä tietoturvallisuuteen ja VAHTIn vaatimuksiin liittyen. Toimeksiantaja on kuvattu mahdollisimman tarkkaan siirrettävyyden kannalta. Tutkimukseen osallistui työntekijöitä erilaisista tehtävistä.

Haastatteluiden tuloksista ja nykyisen prosessin analyysistä saatiin opinnäytetyön johtopäätöksiin parannuskohteita ja jo käytössä olevia hyviä käytänteitä. Tutkimuksessa havaittiin mm. koulutuksen tarpeellisuus ja kirjallisen sovelluskehitysprosessin puuttuminen. Kumpikin mainitaan VAHTIn vaatimuksissa. Teoriaosuus ja tutkimuksen tulokset auttavat pieniä ja keskisuuria yrityksiä heidän ponnisteluissaan kohti VAHTI 1/2013 vaatimusten täyttämistä. Toimeksiantaja sai tuloksista käytännön tietoa nykytilanteesta ja parannusehdotuksia. Jatkokehitysmahdollisuuksina voisi kehittää toimeksiantajalle kirjallinen sovelluskehitysprosessi ja tutkia tietoturvallisen sovelluskehityksen tilaa erilaisissa yrityksissä.

This thesis was assigned by a subcontracting software development company that also develops its own products. They aim to implement the requirements in the VAHTI 1/2013 Software Development Security Guide specified by the Finnish Government Information Security Management Board. They also wish to offer consultation and secure software development to their clients. The goal of the research was to review and expand the requirements of the VAHTI 1/2013 guide, analyze the current processes of the company, and study the state of secure software development in the company. The main problem was the lack of knowledge of the extra work required when implementing the requirements and what the implementation actually means in everyday work. The aim was also to document existing good practices in secure software development.

The study has been divided into three parts: security in organizations, security during a project, and secure software development in teams. The qualitative research was conducted by analyzing the current written project process manual of the company and interviewing employees of the company concerning questions related to security and the VAHTI requirements. Some background information about the company was also given to provide the context.

Based on the analyses of interviews and the company’s current processes, several improvements and good practices are outlined in the discussions. The conclusions of this study highlight the need for security training and the lack of written software development, both of which are mentioned in the VAHTI requirements. The theories and findings of the study help small and medium sized sub-contracting companies in their own efforts in implementing the requirements of the VAHTI 1/2013. The company received firsthand knowledge of the current situation and recommendations for improvements. The possibilities for further development could include the composing of a written software development process in addition to researching the state of secure development in various companies.