Tietoturvatestauksen liiketoiminnalliset tavoitteet

Compliance eli vaatimustenmukaisuus

Compliance eli vaatimustenmukaisuus liittyy ulkoisten vaatimusten tunnistamiseen ja täyttämiseen. Näitä ovat mm. lainsäädännön, regulaation, standardien ja asiakaskohtaisten vaatimusten toteuttaminen ja osoittaminen. Compliance voi ilmentyä myös siten, että tuotekohtaisen riskianalyysin sijaan valitaan jokin turvallisuusstandardi, jota pyritään noudattamaan. Esim. organisaatiotasolla ISO27001 tai verkkosovellusten osalta OWASP ASVS.

Tässä näkökulmassa tietoturvallisuus todetaan auditoimalla eli vaatimusten täyttyminen osoitetaan riippumattomalla tavalla. Jäännösriskinä ovat ne tietoturvaan liittyvät asiat, joihin vaatimukset eivät ulotu, mutta joita järjestelmässä tai sovelluksessa ominaisuuksiensa puolesta saattaa olla.

Riskienhallinta

Riskienhallinta liittyy järjestelmän tai sovelluksen ominaispiirteistä (teknologian, toiminnallisuuksien, tietosisällön, käyttöliittymän, integraatiorajapintojen jne.) emergoituvien tietoturvariskien hallintaan siltä osin kun compilance-vaatimukset eivät niihin ulotu.

Käytännössä iso osa tyypillisistä riskeistä voi hyvinkin tulla katetuiksi jo ulkoisten vaatimusten noudattamisella, mutta ne eivät lähtökohtaisesti voi huomioida kaikkia mahdollisia tietojärjestelmiä. Jäännösriskin osalta vaihdoehdot ovat riskien hyväksyminen tai pienentäminen. Pienentäminen tarkoittaa tässä tapauksessa esimerkiksi sitä, että tehdään ensin tekninen uhkamallinnus, joka pyrkii tunnistamaan järjestelmään todennäköisesti kohdistuvat hyökkäysvektorit ja sen jälkeen valitaan niihin sopivat hallintakeinot eli tietoturvakontrollit.

Tunnistettujen tietoturvauhkien hallintakeinojen eli kontrollien muodostamaa kokonaisuutta kutsutaan tietoturva-arkkitehtuuriksi. Kontrolleja on kolmea lajia: estävät tai suojaavat, tunnistavat ja palauttavat kontrollit. Kontrollit ovat tyypillisesti teknisiä (esim. tunnistusmekanismit) tai hallinnollisia (esim. luvituskäytännöt).

Laadunvarmistus

Laadunvarmistuksen näkökulma koskee sekä osaamista, prosesseja että järjestelmää tai sovellusta itseään. Tietoturvavaatimukset spesifioivat toiminnallisia tietoturvakontrolleja (esim. millainen tunnistusmekanismi valitaan, millaiset käyttöoikeustarkastukset tarvitaan), mutta niiden lisäksi tarvitaan ei-toiminnallista tietoturvallisuutta, joka koskee toimintojen laadukasta toteutusta, esimerkiksi varautumista häiriö- tai poikkeustilanteisiin ja perusteellista virheiden käsittelyä.

Tietoturvapuutteet

Tietoturvaa koskevat puutteet voidaan jakaa kolmeen osaan: suunnittelu-, ohjelmointi- ja konfigurointivirheisiin.

• Suunnitteluvirheet johtuvat vaatimusten puutteellisuudesta tai niiden virheellisestä tulkinnasta. Vaatimukset puuttuvat mm. siksi että riskejä tai uhkia ei ole asianmukaisesti tunnistettu.
• Ohjelmointivirheet ovat usein seurausta siitä, että poikkeukselliseen tai odottamattomaan järjestelmän käyttöön ei olla varauduttu. Nämä ovat virheitä jotka periaatteessa pitäisi pystyä havaitsemaan kehitystyön aikanakin esim. yksikkö- tai integraatiotesteillä.
• Kongifuraatiovirheet liittyvät puutteelliseen operatiiviseen tietoturvaan eli kun järjestelmä on jo tuotantokäytössä. Tällöin kehitys- tai ylläpitoprosesseissa ei varmisteta sovelluksesta näkyvän ulospäin vain välttämättömät asiat tai että kolmannen osapuolen komponenttien päivityksiä tai haavoittuvuuksia ei seurata.