Политика за външно възложена разработка

Политиката за външно възложена разработка (P28) установява всеобхватна рамка за сигурно управление на проекти за разработка на софтуер или системи, изпълнявани от външни доставчици, изпълнители или агенции. Основната ѝ цел е да внедри технологични контролни мерки и механизми за предоставяне на управление през целия жизнен цикъл на разработката — от планиране и договаряне на договори до доставка, мониторинг и дейности след приключване на ангажимента. Чрез налагане на ясно дефиниран набор от задължения за сигурност — от надлежна проверка на доставчиците и оценка на риска до прилагани стандарти за кодиране и договорни изисквания — политиката цели да защити поверителността, цялостността и наличността на целия софтуер, разработван за организацията. Обхватът на политиката се простира до всяка инициатива на компанията, която включва разработка от трети страни, включително уеб и мобилни приложения, вградени системи, приложно-програмни интерфейси (API), вътрешни и търговски платформи и работни потоци за автоматизация. По-специално, тя управлява и всяка външна страна, която изисква достъп до изходния код на организацията, тестови среди или CI/CD пайплайни. Изискванията се прилагат независимо от това къде или как работи доставчикът, като гарантират, че географските или договорните различия не създават пропуски в сигурността. Целите на политиката са насочени към минимизиране на експозицията към заплахи по веригата на доставки, правно несъответствие (например с GDPR или DORA), кражба на интелектуална собственост и практики за несигурно програмиране, които могат да въведат уязвимости или регулаторен риск. За постигането им тя възлага изрични отговорности на висшето ръководство, директора по информационна сигурност (CISO), закупуване и правни въпроси и съответствие, собственици на проекти и продукти, екипа по информационна сигурност и външни доставчици. Централно за този подход е регистърът за разработка от трети страни — единен източник на истина за всички ангажименти с доставчици, констатации от надлежна проверка на доставчиците, журнали за изключения от политики и статуси на договори. Изискванията за управление включват надлежна проверка на доставчиците, оценка на риска за сигурността и набор от минимални договорни контроли, като придържане към практики за сигурно програмиране, тестване на сигурността, спецификации за собственост върху интелектуална собственост, изпълнение на споразумение за неразкриване на информация (NDA) и клаузи за право на одит. Изходният код се управлява изключително чрез платформи, контролирани от предприятието, със защита на клонове, преглед от равнопоставени и строги протоколи за извеждане, които предотвратяват изтичане на код или неоторизирано повторно използване. Всеки достъп на трети страни се предоставя при управление с времево ограничен достъп и принцип на най-малките привилегии, наблюдава се чрез одитни записи и се отнема бързо при приключване на ангажимента. Интеграция на хранилищата на доставчика с инструменти за сигурност на предприятието за анализ на код, прилагане на политики в CI/CD пайплайни и управление на отклоненията се изисква, когато е възможно. Заявките за изключения се обработват чрез формален процес за план за третиране на риска и одобрение, ръководен от директора по информационна сигурност (CISO), включително документиране на обосновка, мерки за смекчаване и срокове за действия за отстраняване. Екипът по информационна сигурност извършва текущ мониторинг и одити по сигурността/съответствие, като нарушенията могат да доведат до незабавно отнемане на достъп, спиране на проекта, правни действия или дисциплинарни мерки, според случая. Тази политика се преглежда най-малко ежегодно или след промени в регулаторната среда, констатации от реагиране при инциденти или резултати от вътрешен одит. Всички промени са под контрол на версиите, комуникирани и реферирани в процедурна документация. Чрез тези механизми и тясното ѝ съпоставяне с водещи международни стандарти и правни изисквания Политиката за външно възложена разработка гарантира, че доставката на софтуер от трети страни остава сигурна и съвместима, като защитава организацията от развиващите се рискове на външно възложената разработка.