Политика за сигурна разработка - SME

Политиката за сигурна разработка (P24S) е специално разработена за малки и средни предприятия (SME), с конкретна адаптация за организации, които нямат специализирани ИТ или екипи по сигурност. Като отчита специфичните ресурсни ограничения на SME, политиката определя главния изпълнителен директор (GM) като централна власт за одобряване на политиката, внедряване, надзор върху договори и съответствие, като опростява управлението в среди, в които роли като CISO или SOC може да не съществуват. Въпреки това опростяване, политиката остава напълно съгласувана с международно признати стандарти за сигурност, по-специално ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, EU NIS2, EU DORA, COBIT 2019 и EU GDPR, като гарантира, че задълженията за съответствие са изпълнени без компромис с практическата приложимост. Целта на този документ е да наложи базово ниво на сигурно програмиране и практики за разработка за целия софтуер, скриптове и уеб-базирани инструменти, създавани или модифицирани от организацията или нейните партньори. Той прилага всеобхватни изисквания за сигурност върху пълния спектър от вътрешно разработен, външно възложен или предоставен от трети страни код, включително плъгини, компоненти и инструменти за автоматизация. Дефинираният обхват на политиката покрива всяка среда, участваща в дейности по разработка — разработка, staging, предпродукционна среда и продукционна среда — и конкретно управлява как се борави с чувствителни или продукционни данни в тези настройки. Сред основните си цели политиката се фокусира върху предотвратяването на пропуски в сигурността на всеки етап от жизнените цикли на разработка на системи. Това включва наложено използване на стандарти за сигурно програмиране (като OWASP Top 10), формализирани процеси за преглед на изходния код, задължително тестване на сигурността преди издаване и контролиран достъп до всички среди за разработка и продукционни системи. Политиката въвежда изрични изисквания за управление на доставчици и трети страни, включително договорни клаузи за сигурност, валидиране на компоненти от трети страни за уязвимости и лицензиране, както и редовно проследяване или одитиране на съответствието чрез съхранени артефакти и документация. За ежедневна отчетност са дефинирани опростени роли и отговорности: главният изпълнителен директор надзирава и подписва всички дейности по сигурността на разработката; вътрешните разработчици и собственици на приложения следват сигурни практики и докладване; външните доставчици са договорно обвързани с ангажименти по сигурността и изисквано тестване; а ИТ доставчици или ИТ администратори управляват сигурния достъп и разгръщането, като прилагат разделение на средите. Неотменима част от тази SME политика е структурираният процес за третиране на риска и управление на изключенията. Всяко отклонение от сигурните практики или рискове, които не могат да бъдат незабавно отстранени чрез действия за отстраняване, трябва да бъдат формално подложени на оценка на риска и одобрени от главния изпълнителен директор, с периодична повторна оценка за управление на промените в рисковата позиция. Политиката също така установява силни контроли за прилагане и съответствие и одитна готовност, като изисква всички контролни списъци, одобрения от прегледи, резултати от тестове и регистри да бъдат съхранявани сигурно и да са незабавно налични за ISO одити, регулаторен преглед или искания от клиенти. Накрая, изискванията за преглед и актуализация гарантират, че политиката остава актуална спрямо развиващите се технологии и рамки за разработка и регулаторни промени, демонстрирайки проактивен подход към организационната сигурност и регулаторното съответствие за SME сектора.