Turvalise arendamise poliitika – VKE

Turvalise arendamise poliitika (P24S) on koostatud spetsiaalselt väikestele ja keskmise suurusega ettevõtetele (VKE-dele), eriti kohandatuna organisatsioonidele, kellel puuduvad eraldi IT- või turvameeskonnad. Arvestades VKE-de ressursipiiranguid, määrab poliitika tegevjuhi (GM) keskseks volitatud isikuks poliitika heakskiitmisel, rakendamisel, lepingute järelevalvel ja vastavusel, lihtsustades juhtimist keskkondades, kus CISO või turbeoperatsioonide keskus (SOC) rollid võivad puududa. Sellest lihtsustusest hoolimata on poliitika täielikult kooskõlas rahvusvaheliselt tunnustatud turvastandarditega, eeskätt ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, EL NIS2, EL DORA, COBIT 2019 ja EL GDPR, tagades, et vastavuskohustused on täidetud praktilist rakendatavust ohverdamata. Selle dokumendi eesmärk on kehtestada turvalise programmeerimise ja arendamise tavade baastase kogu tarkvara, skriptide ja veebipõhiste tööriistade jaoks, mida organisatsioon või tema partnerid loovad või muudavad. See rakendab terviklikke turvanõudeid kogu organisatsioonisiseselt arendatud, sisseostetud või kolmanda osapoole tarnitud koodi ulatuses, sh pistikprogrammid, komponendid ja automatiseerimistööriistad. Poliitika määratletud kohaldamisala hõlmab kõiki arendustegevustes kasutatavaid keskkondi – arendus-, staging-, eelproduktsioonikeskkond ja tootmiskeskkond – ning reguleerib konkreetselt, kuidas tundlikke või tootmisandmeid nendes seadetes käideldakse. Põhieesmärkide hulgas keskendub poliitika turvavigade ennetamisele tarkvara arendamise elutsükli igas etapis. See hõlmab turvalise programmeerimise standardite (nt OWASP Top 10) jõustatud kasutamist, formaliseeritud koodi läbivaatusprotsesse, kohustuslikku turbetestimist enne väljalaset ning kontrollitud juurdepääsu kõigile arendus- ja tootmissüsteemidele. Poliitika kehtestab selgesõnalised nõuded tarnija ja kolmandate osapoolte haldusele, sh lepingulised turbeklauslid, kolmanda osapoole komponentide valideerimine haavatavuste ja litsentsimise osas ning vastavuse regulaarne jälgimine või auditeerimine säilitatavate artefaktide ja dokumentatsiooni kaudu. Igapäevase aruandekohustuse tagamiseks on määratletud lihtsustatud rollid ja vastutused: tegevjuht juhib ja kinnitab kõik arendusturbe tegevused; sisemised arendajad ja rakenduste omanikud järgivad turvalisi tavasid ja teavitamist; välised tarnijad on lepinguliselt seotud turbekohustustega ja nõutava testimisega; ning IT-teenuseosutajad või IT-administraatorid haldavad turvalist juurdepääsu ja juurutamist, jõustades keskkondade lahususe. Selle VKE poliitika lahutamatu osa on struktureeritud riski käsitlemine ja erandite käsitlemine. Kõik kõrvalekalded turvalistest tavadest või riskid, mida ei saa kohe parandusmeetmetega maandada, tuleb ametlikult hinnata ja tegevjuhi poolt heaks kiita, koos perioodilise kordushindamisega, et hallata muutusi riskipositsioonis. Poliitika kehtestab ka tugevad jõustamise ja auditivalmiduse kontrollimeetmed, nõudes, et kõik kontrollnimekirjad, läbivaatuse kinnitused, testitulemused ja varade register oleksid turvaliselt säilitatud ning viivitamata kättesaadavad ISO auditite, regulatiivse läbivaatamise või kliendipäringute jaoks. Lõpuks tagavad läbivaatamise ja ajakohastamise nõuded, et poliitika püsib ajakohane arendustehnoloogiate, raamistikute ja regulatiivsete muudatuste arenguga, näidates VKE sektori jaoks ennetavat lähenemist organisatsiooni turvalisusele ja õigusnormidele vastavusele.