Политика за външно възложена разработка - SME

Тази политика за външно възложена разработка (документ номер P28S) е специално разработена за малки и средни предприятия (МСП), като предоставя прагматична рамка за сигурна, съответстваща и добре управлявана външно възложена софтуерна разработка. Тя е напълно съгласувана с ISO/IEC 27001:2022, като гарантира, че дори организации без специализирани екипи по ИТ или сигурност могат да спазват международните най-добри практики и правни задължения при ангажиране на външни разработчици, фрийлансъри или агенции от трети страни. Политиката установява ясни роли и отговорности за главния мениджър (GM), който е основният орган за одобрение на доставчици, договорен надзор и действия за отстраняване, и за собственика на проекта, който отговаря за ежедневната координация, функционалното валидиране и сигурното предаване. Чрез акцент върху необходимостта от приложими договори, споразумение за неразкриване на информация (NDA) и документирани споразумения за собственост върху активи и прехвърляне на права, политиката защитава организациите от рискове като несигурен код, неправомерно повторно използване на собственически активи, излагане на данни, зависимост от доставчик и несъответствие с регулации (включително GDPR, NIS2 и DORA). Определени са задължителни управленски контроли, които изискват договорите да посочват задължения за сигурна разработка, регулярна оценка на риска от GM и правилно управление на всички удостоверителни данни и достъп. Очакванията за сигурност обхващат задълженията на разработчика да използва техники за сигурно програмиране (с препратки към стандарти като OWASP Top 10), изчерпателна документация, внимателен избор на библиотеки и строга забрана за запазване на достъп или корпоративни данни след закриване на проекта. Всеобхватни процедури гарантират, че всеки външно възложен проект е предшестван от надлежна проверка на доставчиците, валидиран чрез функционално и тестване на сигурността (за предпочитане от лице, различно от разработчика), и приключва само след пълна доставка на изходен код, инструкции за билд и прехвърляне на всички удостоверителни данни. Политиката е специфична за МСП, като използва опростени роли като главен мениджър и ИТ доставчик вместо традиционни позиции като CISO или център за операции по сигурността (SOC). Това означава, че предоставя инструкции стъпка по стъпка, изпълними от бизнес или оперативни мениджъри, и включва процедури за оценка на риска, проследяване на изключения и насоки за реагиране при инциденти, съобразени с организации без значителни технически ресурси. Всеки ангажимент трябва да бъде подкрепен с документирани споразумения, а одитируемите следи са задължителни, подпомагайки регулаторното докладване и вътрешните прегледи. Годишни и междинни прегледи на политиката трябва да се провеждат от GM, като се гарантира, че контролите остават актуални спрямо рисковете за МСП и развиващите се стандарти за съответствие. Политиката за външно възложена разработка е част от пакет от контроли, ориентирани към МСП, предназначени да се прилагат съвместно със свързани политики, като роли по управление, контрол на достъпа, обучение за повишаване на осведомеността по информационна сигурност, защита на данните, сигурна разработка и реагиране при инциденти, за да се управляват рисковете от външно възложена разработка цялостно, в съответствие със стандарти като ISO/IEC 27001:2022, ISO 27002:2022, GDPR и други.