Kriteeristö - OWASP ASVS

1. Mihin kriteeristöön tarkastus perustuu?

Ohjelmisto- ja e-business ry:n sertifiointiohjelmassa sertifioitavan palvelun tietoturva varmennetaan OWASP ASVS –viitekehyksen vaatimusten mukaisesti.

OWASP ASVS on laajasti käytetty ja maailmalla tunnettu viitekehys, jota käytetään esimerkiksi tarjouspyynnöissä tietoturvavaatimusten esittämiseen. Sertifioinnin avulla organisaatiot pystyvät helposti osoittamaan toteuttavansa asiakkaan tietoturvavaatimukset.

OWASP – ASVS = Open Web Application Security Project – Application Security Verification Standard

2. Ovatko OWASP ASVS kriteeristöt julkiset?

Kriteeristöt ovat julkiset. OWASP ASVS:n pääasiallinen tarkoitus on normalisoida verkkopalveluiden tietoturvatestauksen vaatimukset globaalisti tunnetuksi ja ymmärrettäväksi

Käytännön toimet

3. Miten valitsen tuotteelle oikean tietoturvatason?

Sertifiointi koostuu kolmesta eri syvyystasosta, joista sopiva taso valitaan sovelluksen sisältämän tietosisällön sekä liiketoimintakriittisyyden mukaan.

Kriteerit tason valinnalle ovat seuraavat:

* Taso 1 – Kaikki internetistä saatavilla olevat sovellukset

* Taso 2 – Sovellukset, jotka sisältävät kohtalaisia määriä henkilötietoa tai henkilötietoa, joiden vuotaminen vaarantaa näiden henkilöiden yksityisyydensuojan tai oikeusturvan. Tasoa on myös suositeltavaa käyttää sovelluksiin, joissa tietoturvaloukkaukset aiheuttavat liiketoiminnalle merkittäviä tappioita

* Taso 3 – Sovellukset, jotka sisältävät suuria määriä henkilötietoa, jotka vaarantavat merkittävästi henkilöiden yksityisyydensuojan tai oikeusturvan. Taso on myös hyvä valita sovelluksille, joiden tietoturvaloukkaukset ovat liiketoiminnalle kriittisiä tai vaarantavat ihmisten terveyden (esim. lääketieteelliset sovellukset)

4. Kuka tarkastukset suorittaa ja mikä on tarkastajan osaaminen?

Tarkastuksen suorittaa kyberturvallisuusyhtiö 2NS (Second Nature Security Oy), joka on tehnyt yli 1 500 verkkopalvelun tietoturvatarkastusta sekä koti- että ulkomailla (Pohjoismaat, Keski-Eurooppa, Yhdysvallat). 2NS palvelee vuosittain yli 150 tyytyväistä asiakasta (Yritykset, finanssilaitokset, julkinen sektori, ohjelmistoyritykset)

2NS:n auditoijilla on useita kansainvälisesti tunnettuja tietoturvasertifikaatteja, kuten:

* CISSP (Certified Information Systems Security Professional)

* CISA (Certified Information Systems Auditor)

* CISM (Certified Information Systems Manager)

* CRISC (Certified in Risk and Information Systems Control)

2NS:n haavoittuvuustutkimustiimi on julkaissut useita haavoittuvuustiedotteita, muun muassa SAP:n, Oraclen, F-Securen, IBM:n ja HP:n järjestelmistä.

5. Mitä työkaluja testauksessa käytetään?

Suurin osa työstä on manuaalista testausta – eettistä hakkerointia. Testauksien apuna käytetään toki testaussovelluksia. 2NS evaluoi jatkuvasti eri tietoturvatestaustyökaluja ja hyödyntää kulloinkin parhaaksi näkemäänsä valikoimaa. Kaikissa testauksissa hyödynnetään useampaa soveltuvaa työkalua. Hyvä kuitenkin muistaa, että työkalut ovat testauksessa avustavassa roolissa ja liiketoimintaloogiset sekä merkittävimmät haavoittuvuudet havaitaan yleensä manuaalisella testauksella hakkerimaisella osaamisella sekä useita haavoittuvuuksia yhdistelemällä.

Tulokset

6. Mitä jos palvelussani on paljon haavoittuvuuksia?

Käytännössä kaikissa palveluissa on haavoittuvuuksia. Verkkopalveluiden tietoturvatarkastuksia tekevien yritysten tarkastuksista yleisesti 100 % johtaa siihen, että haavoittuvuuksia korjataan. Haavoittuvuudet ovat näin ollen erittäin yleisiä ja parhaimmissakin sovelluksissa niitä yleensä on. Tarkastuksen tarkoituksena on auttaa tunnistamaan haavoittuvuudet, jotta niille voidaan tehdä korjaus ja sitä kautta parantaa tuotteen laatua. Tietoturvatestaus on käytännössä testausta siinä missä muukin ohjelmistoon kohdistuva testaus.

7. Minkälainen on ohjelmistoyritykseen kohdistuva työmäärä?

Ohjelmistoyrityksen tulee järjestää pääsy tarkastettavaan sovellukseen sekä luoda tarvittavat tunnukset. Tarkastus viedään läpi selkeän mallin mukaisesti, johon kuuluu projektin määrittelypalaveri ja workshop. Lisäksi pidetään tulosten esittelytilaisuus, jossa keskustellaan haavoittuvuuksista, niiden käytännön merkityksestä sekä korjaussuosituksista.

8. Kuinka varmistutaan siitä, että tarkastuksen tulokset ovat vertailukelpoisia?

Tarkastus tehdään kansainvälisesti tunnetun ja arvostetun OWASP ASVS viitekehyksen mukaisesti.

9. Onko tuote täysin turvallinen OWASP ASVS auditoinnin jälkeen? Entä voiko tuotteesta löytyä haavoittuvuuksia vaikka se on läpäissyt tarkastuksen?

Tarkastuksella pyritään kattamaan kohdepalvelu riittävän laajasti pitäen työmäärän kohtuullisena.. Työ tehdään rajatun työmäärän puitteissa ja on olemassa mahdollisuus, että palvelusta saattaa löytää haavoittuvuuksia, joita tarkastuksessa ei ilmennyt, tai alueista, jotka eivät olleet tarkastuksen kohteena. Täydellistä tietoturvaa ei millään tarkistuksella voida valitettavasti taata.

Haavoittuvuuksien korjaukset

10. Tarkastetaanko mahdolliset korjaukset ennen sertifikaatin myöntämistä?

Kyllä korjaukset tarkastetaan soveltuvin osin.

11. Miten korjausten tarkastus tehdään ja mitä se maksaa?

Korjauksien tarkastuksessa tarkastetaan varsinaisessa tarkastuksessa ilmenneet haavoittuvuudet. Tarkastuksessa varmennetaan, että korjaukset on tehty asianmukaisesti ja että implementoidut korjaukset eivät ole ohitettavissa. Nämä raportoidaan ohjelmistoyritykselle. Korjausten tarkastuksen hinnat perustuvat tarkastukseen vaadittavaan työmäärään, joka riippuu korjattujen haavoittuvuuksien / puutteiden lukumäärästä ja niiden vaatimasta työmäärästä.  Yleisesti korjausten verifioinnin hinta on 2 – 4 k€.

Yleistä

12. Miten sertifikaatissa ilmoitetaan tarkastuksen ajankohta

Sertifikaatissa ilmoitetaan sen myöntämispäivä muodossa Annual Security Check was done 2018-05-30.

13. Jos työ tehdään vuosittain, miten uusintasertifikaatin hinta suhtautuu alkuperäisen hintaan?

Tarkastuksessa käydään aina samat tai päivitetyt kriteerit läpi. Tämän vuoksi jokaisen tarkastuksen hinta on sama

14. Miksi Ohjelmistoyrittäjät ry on lähtenyt tarjoamaan sertifikaattia tietoturvatarkastuksesta?

Ohjelmisto- ja e-business ry haluaa nostaa Suomen ohjelmistoalan tietoturvaa kokonaisuutena – niin tietoisuutta aiheesta kuin palveluiden ja ohjelmistojen tietoturvallisuutta. Tietoturva on kilpailuvaltti palvelun tai ohjelmiston tuottajan osalta, jota kannattaa aktiivisesti käyttää. Myöskin palveluiden ja ohjelmistojen ostajien tietoturvaymmärryksen ja –valveutumisen lisääminen edesauttaa toimialan kehitystä. Saadun palautteen perusteella sertifikaatit ovat toimineet leimana laadusta, ja edesauttaneet kauppojen syntymistä.

Ohjelmisto- ja e-business ry toimialan edistäjänä kävi läpi kymmenien eri elinkaaren vaiheessa olevien yritysten johdon kanssa, millaista sertifiointiohjelmaa toivottaisiin. Lopuksi yhdistys keskusteli usean FISC:in (Finnish Information Security Cluster) jäsenyrityksen kanssa ohjelman toteuttamisesta, ja päätyivät valitun kumppanin (2NS) kanssa tarjoamaan nykyistä ohjelmaa, sekä kehittämään sertifiointiohjelmaa edelleen.

15. Miten sertifiointiohjelmaan pääsee mukaan?

Sertifiointiohjelmaan voi ilmoittautua osoitteesta tietoturvasertifikaatti.fi tai ottamalla yhteyttä auditoinnin suorittajaan 2NS:ään ja siellä Antti Häikiöön: antti.haikio@2ns.fi, +358 45 217 5227.