Политика за изисквания за сигурност на приложенията

Политика за изисквания за сигурност на приложенията (P25) предоставя всеобхватен организационен мандат за внедряване на надеждни технологични контролни мерки във всеки етап от жизнения цикъл на приложенията. Основната ѝ цел е да наложи задължителни изисквания за сигурност на ниво приложение за целия софтуер, който организацията разработва, придобива, интегрира или внедрява. Политиката се прилага не само за вътрешно разработени решения, но и за SaaS, инструменти, изградени по поръчка, и външно придобити инструменти. Тази широка приложимост гарантира, че всеки технологичен актив, който подпомага основни бизнес операции, достъп на клиенти или обработване на регулирани данни, е защитен в съответствие с принципите на Сигурна разработка, правните изисквания и рисковата позиция на организацията. По обхват политиката покрива Приложения във всички среди, включително разработка, тестване, staging, продукционна среда и Среда за аварийно възстановяване, независимо дали са локални, в частни центрове за данни или в облак. Обхватът на отговорните страни също е всеобхватен: от директор по информационна сигурност (CISO), който притежава и съгласува политиката със стратегията на организацията, през ръководители по сигурността на приложенията и DevSecOps мениджъри, отговорни за дефиниране и валидиране на технологични контролни мерки, до разработчици, инженери, собственици на продукт, екипи по ИТ операции и доставчици от трети страни или доставчици на софтуер. Всяка група трябва да спазва изискванията, като се осигурява верига на отчетност и Съответствие. Ключовите цели на политиката включват дефиниране на базови функционални и нефункционални изисквания за сигурност; налагане на механизми за Автентикация, оторизация и Контрол на достъпа; интегриране на защити като валидиране на входа, кодиране на изхода и надеждно управление на грешки и сесии; и прилагане на специален контрол върху сигурността на приложно-програмни интерфейси (API), компоненти на трети страни и външни интеграции. Защитата на данните се адресира чрез задължително шифроване, Класификация на данни и дефинирани протоколи за съхранение, със строга забрана за нешифровани удостоверителни данни за автентикация или чувствителни данни. Политиката предписва и редовно тестване на сигурността, включително статичен и динамичен анализ, преглед на изходния код, тестване за проникване и Непрекъснат мониторинг на съответствието, за ранно откриване и смекчаване на уязвимости. Определена е силна рамка за Управление, която изисква документирано валидиране на сигурността на етап планиране или набавяне за всички нови Приложения, включване на изискванията в договори и Споразумения за ниво на обслужване (SLA), както и структурирана обработка на изключения, базирана на риска. Налага се използването на сигурни технологии (включително SAST, DAST, IAST и SCA), ежегодно тестване за проникване за приложения с висок риск и RASP или WAF, когато е обосновано от риска. Всички изключения трябва да бъдат формално заявени с Анализ на риска, компенсиращи контролни мерки, план за ремедиация и пълна Документация. Несъответствие или заобикаляне на контролите може да доведе до премахване на Приложения, спиране на достъп или ескалация към Човешки ресурси (ЧР), Правни въпроси и съответствие или Управление на доставчици. Политиката се преглежда най-малко ежегодно или в отговор на инциденти по сигурността, регулаторни промени или значими промени в практиките за разработка, като всички ревизии подлежат на системи за контрол на версиите и разпространение към релевантните екипи. Накрая документът е картографиран към набор от свързани политики, като Политика по информационна сигурност, Политика за контрол на достъпа, Политика за управление на промените, Политики за защита на данните, Сигурна разработка и Политика за реагиране при инциденти, като се осигурява слоест и последователен подход към корпоративния риск и Съответствие.