Politik for applikationssikkerhedskrav

Politik for applikationssikkerhedskrav (P25) giver et omfattende organisatorisk mandat til at indlejre robuste sikkerhedskontroller i alle faser af applikationslivscyklussen. Dens primære formål er at håndhæve obligatoriske sikkerhedskrav på applikationslaget for al software, der udvikles, anskaffes, integreres eller udrulles af organisationen. Politikken gælder ikke kun for internt udviklede løsninger, men også for SaaS, specialbyggede og eksternt anskaffede værktøjer. Denne brede anvendelse sikrer, at alle teknologiske aktiver, der understøtter kritiske forretningsprocesser, kundeadgang eller behandling af regulerede data, beskyttes i overensstemmelse med principper for sikker udvikling, retlige krav og organisationens risikoprofil. Omfangsmæssigt dækker politikken applikationer på tværs af alle miljøer, herunder udvikling, test, staging, produktionsmiljø og katastrofegenopretningsmiljø, uanset om disse hostes lokalt, i private datacentre eller i cloud. Rækken af ansvarlige parter er også omfattende: fra informationssikkerhedschef (CISO), som ejer og tilpasser politikken til organisationens strategi, over applikationssikkerhedsansvarlige og DevSecOps-ansvarlige, der er ansvarlige for at definere og kontrolvalidere sikkerhedskontroller, til udviklere, ingeniører, produktejere, IT-driftsteams og tredjepartsleverandører eller softwareleverandører. Alle grupper skal overholde kravene og dermed sikre en kæde af ansvarlighed og overholdelse. Politikkens centrale målsætninger omfatter at definere et kontrolgrundlag af funktionelle og ikke-funktionelle sikkerhedskrav; at håndhæve sikre autentifikations-, autorisations- og adgangskontrolmekanismer; at integrere beskyttelser såsom inputvalidering, outputkodning samt robust fejl- og sessionsstyring; og at anvende særlig kontrol på API-sikkerhed, tredjepartskomponenter og eksterne integrationer. Databeskyttelse adresseres gennem obligatorisk kryptering, dataklassificering og definerede protokoller for dataopbevaring, med et strengt forbud mod ukrypterede legitimationsoplysninger eller følsomme data. Politikken foreskriver også regelmæssig sikkerhedstestning, herunder statisk og dynamisk analyse, kodegennemgang, penetrationstestning og løbende overvågning af overholdelse, for at sikre tidlig detektion og afbødning af sårbarheder. Der specificeres et stærkt styringsrammeværk, som kræver dokumenteret sikkerhedsvalidering i planlægnings- eller indkøbsfasen for alle nye applikationer, indarbejdelse af krav i kontrakter og serviceniveauaftaler (SLA'er) samt struktureret risikobaseret undtagelseshåndtering. Anvendelse af sikre teknologier (herunder SAST, DAST, IAST og SCA), årlig penetrationstestning for højrisikoapplikationer samt RASP eller WAF, når det er begrundet af risiko, er obligatorisk. Eventuelle undtagelser skal formelt anmodes med risikoanalyse, kompenserende kontroller, en afhjælpningsplan og fuld dokumentation. Manglende overholdelse eller omgåelse af kontroller kan medføre fjernelse af applikationer, suspension af adgang eller eskalering til HR, juridisk og compliance eller leverandørrisiko. Politikken gennemgås mindst årligt eller som reaktion på sikkerhedshændelser, regulatoriske ændringer eller større ændringer i udviklingspraksis, og alle revisioner er underlagt versionsstyring og distribution til relevante teams. Endelig er dokumentet nøje kortlagt til en række relaterede politikker, såsom informationssikkerhedspolitik, adgangskontrolpolitik, politik for ændringsstyring, databeskyttelsespolitikker, sikker udvikling og politik for hændelseshåndtering (P30), hvilket sikrer en lagdelt og konsistent tilgang til virksomhedsrisiko og overholdelse.