Rakenduse turvanõuete poliitika

Rakenduse turvanõuete poliitika (P25) annab organisatsioonile tervikliku mandaadi lõimida tugevad turbekontrollid rakenduse elutsükli igasse etappi. Selle peamine eesmärk on jõustada kohustuslikud rakendusekihi turvanõuded kogu tarkvarale, mida organisatsioon arendab, hangib, integreerib või juurutab. Poliitika kehtib mitte ainult ettevõttesiseselt arendatud lahendustele, vaid ka SaaS-ile, eritellimusel loodud ja väljast hangitud tööriistadele. See lai kohaldamisala tagab, et iga tehnoloogiline vara, mis toetab kriitilisi äriprotsesse, kliendijuurdepääsu või reguleeritud andmete töötlemist, on kaitstud kooskõlas turvalise arendamise põhimõtete, õiguslike nõuete ja organisatsiooni riskipositsiooniga. Kohaldamisala mõttes hõlmab poliitika rakendusi kõigis keskkondades, sh arendus-, testimis-, eelproduktsioonikeskkonnas, tootmiskeskkonnas ja katastroofitaastekeskkonnas, sõltumata sellest, kas need on kohapeal, privaatses andmekeskuses või pilves. Vastutavate osapoolte ring on samuti terviklik: alates infoturbejuhist, kes omab poliitikat ja ühtlustab selle organisatsiooni strateegiaga, kuni rakenduse turbejuhtide ja DevSecOps-juhtideni, kes vastutavad turbekontrollide määratlemise ja kontrollide valideerimise eest, ning arendajate, inseneride, tooteomanike, IT-operatsioonide meeskondade ja kolmanda osapoole tarnijate või tarkvaratarnijateni. Iga rühm peab nõudeid järgima, tagades aruandekohustuse ja vastavuse ahela. Poliitika peamised eesmärgid hõlmavad baastaseme funktsionaalsete ja mittefunktsionaalsete turvanõuete määratlemist; turvaliste autentimis-, autoriseerimis- ja juurdepääsukontrolli mehhanismide jõustamist; kaitsete integreerimist, nagu sisendi valideerimine, väljundi kodeerimine ning tugev veahaldus ja sessioonihaldus; ning erilise tähelepanu pööramist API-turbele, kolmanda osapoole komponentidele ja välistele integratsioonidele. Andmekaitset käsitletakse kohustusliku krüpteerimise, andmete klassifitseerimise ja määratletud säilitamisprotokollide kaudu, koos range keeluga kasutada krüpteerimata autentimistunnuseid või tundlikke andmeid. Poliitika näeb ette ka regulaarse turbetestimise, sh staatilise ja dünaamilise analüüsi, koodi läbivaatuse, sissetungimistestimise ja seire, et tagada haavatavuste varajane tuvastamine ja maandamine. Määratletud on tugev juhtimisraamistik, mis nõuab dokumenteeritud turbevalideerimist planeerimise või hankimise etapis kõigi uute rakenduste puhul, nõuete lisamist lepingutesse ja teenustaseme lepingutesse (SLA-d) ning struktureeritud riskipõhist erandite käsitlemist. Nõutav on turvaliste tehnoloogiate kasutamine (sh SAST, DAST, IAST ja SCA), iga-aastane sissetungimistestimine kõrge riskiga rakenduste puhul ning RASP-i või WAF-i kasutamine, kui see on riskiga põhjendatud. Kõik erandid tuleb ametlikult taotleda koos riskianalüüsi, kompenseerivate kontrollimeetmete, parandusplaani ja täieliku dokumentatsiooniga. Nõuete eiramine või kontrollimeetmetest möödahiilimine võib kaasa tuua rakenduste eemaldamise, juurdepääsu peatamise või eskaleerimise personali (HR), õigus- ja vastavus- või tarnijariski juhtimise suunas. Poliitika vaadatakse läbi vähemalt kord aastas või vastusena turbeintsidentidele, regulatiivsetele muudatustele või olulistele muutustele arenduspraktikates ning kõik muudatused alluvad versioonihaldussüsteemile ja jaotamisele asjakohastele meeskondadele. Lõpuks on dokument kaardistatud seotud poliitikate komplektiga, nagu P01 infoturbepoliitika, juurdepääsukontrolli poliitika, P05 muudatuste halduse poliitika, andmekaitsepoliitikad, turvalise arendamise poliitika ja intsidentidele reageerimise poliitika (P30), tagades kihilise ja järjepideva lähenemise ettevõtte riskile ja vastavusele.