Politika bezpečného vývoje - SME

Politika bezpečného vývoje (P24S) je vytvořena specificky pro malé a střední podniky (SME) a je zvláště přizpůsobena organizacím, které nemají vyhrazené týmy IT nebo bezpečnosti. S ohledem na specifická omezení zdrojů u SME politika určuje generálního ředitele (GM) jako centrální autoritu pro schvalování politiky, implementaci, dohled nad smlouvami a soulad, čímž zjednodušuje správu v prostředích, kde role CISO nebo SOC nemusí existovat. Navzdory tomuto zjednodušení zůstává politika plně sladěna s mezinárodně uznávanými bezpečnostními standardy, zejména ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, EU NIS2, EU DORA, COBIT 2019 a EU GDPR, a zajišťuje, že povinnosti v oblasti souladu jsou plněny bez ztráty praktické použitelnosti. Účelem tohoto dokumentu je nařídit základní úroveň bezpečného kódování a vývojových postupů pro veškerý software, skripty a webové nástroje vytvořené nebo upravené organizací či jejími partnery. Uplatňuje komplexní bezpečnostní požadavky napříč celým spektrem interně vyvíjeného, outsourcovaného nebo kódu dodaného třetí stranou, včetně pluginů, komponent a automatizačních nástrojů. Definovaný rozsah politiky pokrývá každé prostředí zapojené do vývojových aktivit – vývojové, stagingové, předprodukční prostředí a produkční prostředí – a konkrétně upravuje, jak je v těchto nastaveních nakládáno s citlivými nebo produkčními daty. Mezi hlavní cíle politiky patří prevence bezpečnostních chyb v každé fázi životního cyklu vývoje softwaru. To zahrnuje vynucované používání standardů bezpečného kódování (např. OWASP Top 10), formalizované procesy přezkumu kódu, povinné bezpečnostní testování před vydáním a řízený přístup ke všem vývojovým a produkčním systémům. Politika zavádí explicitní požadavky pro řízení dodavatelů a třetích stran, včetně smluvních bezpečnostních doložek, validace komponent třetích stran z hlediska zranitelností a licencování a pravidelného sledování nebo auditování souladu prostřednictvím uchovávaných artefaktů a dokumentace. Pro zajištění každodenní odpovědnosti jsou definovány zjednodušené role a odpovědnosti: generální ředitel dohlíží a schvaluje všechny činnosti bezpečnosti vývoje; interní vývojáři a vlastníci aplikací dodržují bezpečné postupy a hlášení; externí dodavatelé jsou smluvně vázáni bezpečnostními závazky a povinným testováním; a poskytovatelé IT nebo správci zajišťují bezpečný přístup a nasazení a vynucují oddělení prostředí. Nedílnou součástí této politiky pro SME je strukturované ošetření rizik a proces správy výjimek. Jakékoli odchylky od bezpečných postupů nebo rizika, která nelze okamžitě odstranit nápravnými opatřeními, musí být formálně posouzena a schválena generálním ředitelem, s pravidelným opětovným vyhodnocením pro řízení změn v postoji k riziku. Politika rovněž stanovuje silné kontroly vynucování a připravenosti na audit a vyžaduje, aby všechny kontrolní seznamy, schválení přezkumů, výsledky testů a inventáře byly bezpečně uchovávány a byly neprodleně k dispozici pro audity ISO, regulační přezkum nebo požadavky zákazníků. Požadavky na přezkoumávání a aktualizaci nakonec zajišťují, že politika zůstává aktuální s vývojem vývojových technologií, frameworků a regulačních změn, a prokazuje proaktivní přístup k bezpečnosti organizace a regulačnímu souladu v sektoru SME.