Sisseostetud arenduse poliitika – SME

See sisseostetud arenduse poliitika (dokumendi number P28S) on spetsiaalselt loodud väikestele ja keskmise suurusega ettevõtetele (VKE-d), pakkudes pragmaatilist raamistikku turvaliseks, nõuetele vastavaks ja hästi juhitud sisseostetud tarkvaraarenduseks. See on täielikult kooskõlas standardiga ISO/IEC 27001:2022, tagades, et ka organisatsioonid, kellel puuduvad pühendunud IT- või turvameeskonnad, saavad väliste arendajate, vabakutseliste või kolmanda osapoole agentuuride kaasamisel järgida rahvusvahelisi parimaid tavasid ja õiguslikke kohustusi. Poliitika kehtestab selged rollid ja vastutused tegevjuhile (GM), kes tegutseb peamise volitusena tarnija heakskiidu, lepingulise järelevalve ja parandusmeetmete osas, ning projektiomanikule, kelle ülesandeks on igapäevane koordineerimine, funktsionaalne valideerimine ja turvaline üleandmine. Rõhutades jõustatavate lepingute, konfidentsiaalsuslepingu (NDA) ning dokumenteeritud kokkulepete vajadust vara omandiõiguse ja õiguste ülemineku kohta, kaitseb poliitika organisatsioone riskide eest, nagu ebaturvaline kood, omandiõigusega varade ebaõige taaskasutus, andmete kokkupuude, tarnijalukustus ja regulatsioonide mittevastavus (sh GDPR, NIS2 ja DORA). Kehtestatakse kohustuslikud juhtimiskontrollid, mis nõuavad, et lepingud määratleksid turvalise arendamise kohustused, GM-i poolt tehtavad regulaarsed riskihindamised ning kõigi süsteemi autentimistunnuste ja juurdepääsu nõuetekohase halduse. Turbeootused hõlmavad arendaja kohustusi kasutada turvalise programmeerimise tehnikaid (viidates standarditele nagu OWASP Top 10), koostada põhjalik dokumentatsioon, valida teeke hoolikalt ning kehtestada range keeld säilitada juurdepääsu või ettevõtte andmeid pärast projekti sulgemist. Põhjalikud protseduurid tagavad, et iga sisseostetud projektile eelneb tarnija hoolsuskontroll, see valideeritakse funktsionaalse ja turbetestimisega (eelistatult kellegi poolt, kes ei ole arendaja), ning see lõpetatakse alles pärast lähtekoodi, ehitusjuhiste ja kõigi autentimistunnuste täielikku üleandmist. Poliitika on VKE-spetsiifiline, kasutades lihtsustatud rolle, nagu tegevjuht ja projektiomanik, traditsiooniliste CISO või turbeoperatsioonide keskuse (SOC) rollide asemel. See tähendab, et see annab samm-sammult juhised, mida saavad täita äri- või operatsioonijuhid, ning sisaldab riskihindamise protseduure, erandite jälgimist ja intsidentidele reageerimise juhiseid, mis on kohandatud organisatsioonidele, kellel puuduvad ulatuslikud tehnilised ressursid. Iga kaasamine peab põhinema dokumenteeritud kokkulepetel ning auditeeritavad jäljed on kohustuslikud, toetades regulatiivset aruandlust ja sisemisi ülevaatusi. GM peab läbi viima iga-aastased ja vahepealsed poliitika ülevaatused, tagades, et kontrollimeetmed püsivad ajakohased VKE-de riskide ja arenevate vastavusstandardite suhtes. Sisseostetud arenduse poliitika on osa VKE-dele suunatud kontrollimeetmete komplektist ning see on mõeldud rakendamiseks koos seotud poliitikatega, nagu juhtimisrollid, juurdepääsukontroll, turvateadlikkuse koolitus, andmekaitse, turvaline arendamine ja intsidentidele reageerimine, et hallata sisseostetud arenduse riske terviklikult, järgides standardeid nagu ISO/IEC 27001:2022, ISO 27002:2022, GDPR ja teised.