Politika požadavků na zabezpečení aplikací

Politika požadavků na zabezpečení aplikací (P25) poskytuje komplexní organizační mandát pro začlenění robustních bezpečnostních kontrol do každé fáze životního cyklu aplikace. Jejím hlavním účelem je vynucovat povinné bezpečnostní požadavky na aplikační vrstvě pro veškerý software vyvíjený, pořizovaný, integrovaný nebo nasazovaný organizací. Politika se vztahuje nejen na interně vyvíjená řešení, ale také na SaaS, nástroje vyvíjené na zakázku a externě pořizované nástroje. Tato široká použitelnost zajišťuje, že každé technologické aktivum podporující kritické obchodní procesy, přístup zákazníků nebo zpracování regulovaných dat je chráněno v souladu se zásadami bezpečného vývoje, právními požadavky a postojem organizace k řízení rizik. Z hlediska rozsahu politika pokrývá aplikace napříč všemi prostředími, včetně vývoje, testování, stagingu, produkčního prostředí a prostředí pro obnovu po havárii, bez ohledu na to, zda jsou hostovány on-premise, v privátních datových centrech nebo v cloudu. Rozsah odpovědných stran je rovněž komplexní: od ředitele informační bezpečnosti (CISO), který politiku vlastní a slaďuje se strategií organizace, přes vedoucí zabezpečení aplikací a manažery DevSecOps odpovědné za definování a validaci kontrol, až po vývojáře, inženýry, vlastníky produktu, týmy provozu IT a dodavatele třetích stran nebo dodavatele softwaru. Každá skupina musí dodržovat požadavky, čímž je zajištěn řetězec odpovědnosti a soulad. Mezi klíčové cíle politiky patří definování základního souboru bezpečnostních opatření, funkčních i nefunkčních požadavků; vynucování bezpečné autentizace, autorizace a řízení přístupu; integrace ochran, jako je ověření vstupů, kódování výstupů a robustní správa chyb a relací; a uplatnění zvláštního dohledu nad zabezpečením API, komponentami třetích stran a externími integracemi. Ochrana údajů je řešena prostřednictvím povinného šifrování, klasifikace a definovaných protokolů uchovávání, se striktním zákazem nešifrovaných autentizačních údajů nebo citlivých dat. Politika rovněž předepisuje pravidelné bezpečnostní testování, včetně statické a dynamické analýzy, přezkumu kódu, penetračního testování a průběžného monitorování souladu, aby bylo zajištěno včasné odhalení a zmírnění zranitelností. Je specifikován silný rámec správy, který vyžaduje dokumentovanou validaci kontrol ve fázi plánování nebo pořizování pro všechny nové aplikace, zahrnutí požadavků do smluv a dohody o úrovni služeb (SLA) a strukturované řízení výjimek na základě rizik. Je povinné používání bezpečných technologií (včetně SAST, DAST, IAST a SCA), každoroční penetrační testování pro vysoce rizikové aplikace a RASP nebo WAF dle odůvodnění na základě rizik. Jakékoli výjimky musí být formálně požádány s analýzou rizik, kompenzačními opatřeními, plánem nápravných opatření a úplnou dokumentací. Nesoulad nebo obcházení kontrol může vést k odstranění aplikací, pozastavení přístupu nebo eskalaci na lidské zdroje (HR), právní a compliance nebo řízení dodavatelů. Politika je přezkoumávána nejméně jednou ročně nebo v reakci na incident informační bezpečnosti, regulační změny nebo zásadní posuny v postupech vývoje a všechny revize podléhají systémům správy verzí a distribuci relevantním týmům. Dokument je nakonec pečlivě mapován na sadu souvisejících politik, jako jsou Politika bezpečnosti informací, Politika řízení přístupu, Politika řízení změn, Politika ochrany údajů a soukromí, Politika bezpečného vývoje a Politika reakce na incidenty (P30), čímž je zajištěn vrstvený a konzistentní přístup k podnikovému riziku a souladu.