Sisseostetud arenduse poliitika

Sisseostetud arenduse poliitika (P28) kehtestab tervikliku raamistiku tarkvara või süsteemiarendusprojektide turvaliseks haldamiseks, mida teostavad välised tarnijad, töövõtjad või agentuurid. Selle peamine eesmärk on lõimida turvakontrollid ja juhtimismehhanismid kogu arenduse elutsükli vältel, alates planeerimisest ja lepinguläbirääkimistest kuni tarnimise, seire ja kaasamisjärgsete tegevusteni. Nõudes selgelt määratletud turbekohustuste kogumit — alates tarnija hoolsuskontrollist ja riskihindamisest kuni jõustatud turvalise programmeerimise standardite ja lepinguliste nõueteni — on poliitika eesmärk kaitsta konfidentsiaalsust, terviklust ja käideldavust kõigi organisatsiooni arendatud tarkvarade puhul. Poliitika kohaldamisala hõlmab kõiki ettevõtte algatusi, mis sisaldavad kolmanda osapoole arendust, sh veebi- ja mobiilirakendused, manustatud süsteemid, rakendusliidesed, sisemised ja kommertsplatvormid ning automatiseerimistöövood. Oluline on, et see reguleerib ka kõiki väliseid üksusi, kes vajavad juurdepääsu organisatsiooni lähtekoodile, testkeskkondadele või CI/CD torustikele. Nõuded kehtivad sõltumata sellest, kus või kuidas tarnija tegutseb, tagades, et geograafilised või lepingulised erisused ei tekitaks turvalünki. Poliitika eesmärgid lähtuvad tarneahela ohtude, õigusnormidele vastavuse rikkumiste (nt GDPR või DORA), intellektuaalomandi varguse ning ebaturvalise programmeerimise praktikate, mis võivad tuua kaasa haavatavusi või regulatiivset riski, kokkupuute minimeerimisest. Selle saavutamiseks määrab poliitika selged vastutused juhtkonnale, infoturbejuhile, hanke- ja õigusosakonnale, projekti- ja tooteomanikele, infoturbemeeskonnale ning välistele tarnijatele. Lähenemise keskmes on kolmanda osapoole arenduse register kui üks tõeallikas kõigi tarnijakaasamiste, tarnija hoolsuskontrolli leidude, erandite logide ja lepingustaatuste jaoks. Juhtimisnõuded hõlmavad tarnija hoolsuskontrolli, turberiskihindamist ja minimaalsete lepinguliste kontrollide kogumit, sh turvalise programmeerimise raamistike järgimine, turbetestimine, IP omandiõiguse spetsifikatsioonid, konfidentsiaalsuslepingu (NDA) sõlmimine ning auditeerimisõiguse tingimused. Lähtekoodi hallatakse eranditult ettevõtte kontrollitavate platvormide kaudu, kus harukaitse, vastastikune hindamine ja ranged lahkumisprotsessi protokollid ennetavad koodi lekkimist või volitamata taaskasutust. Kogu kolmanda osapoole juurdepääs antakse ajaliselt piiratud juurdepääsuna ja vähimate privileegide põhimõtte alusel, seda jälgitakse auditilogimise kaudu ning see tühistatakse kiiresti kaasamise lõppemisel. Tarnija repositooriumide integreerimine ettevõtte turbetööriistadesse koodianalüüsiks, CI/CD poliitika jõustamiseks ja kõrvalekallete halduseks on nõutav alati, kui see on teostatav. Eranditaotlused käsitletakse ametliku riski käsitlemise ja heakskiitmise protsessi kaudu, mida juhib infoturbejuht, sh põhjenduse, riskide maandamise ja parandusmeetmete tähtaegade dokumenteerimine. Infoturbemeeskond viib läbi pidevat seiret ja turvaauditeid, kus rikkumised võivad kaasa tuua viivitamatu ligipääsuõiguste tühistamise, projekti peatamise, õiguslikud meetmed või distsiplinaarmeetmed vastavalt olukorrale. Seda poliitikat vaadatakse läbi vähemalt kord aastas või pärast regulatiivse keskkonna muutusi, intsidentidele reageerimise leide või siseauditi väljundeid. Kõik muudatused on versioonihaldussüsteemide abil kontrollitud, kommunikeeritud ja viidatud protseduurilises dokumentatsioonis. Nende mehhanismide ning juhtivate rahvusvaheliste standardite ja õiguslike nõuete tiheda kaardistuse kaudu tagab sisseostetud arenduse poliitika, et kolmanda osapoole tarkvaratarned püsivad turvalised ja nõuetele vastavad, kaitstes organisatsiooni sisseostetud arenduse arenevate riskide eest.