Politika vanjskog razvoja

Politika vanjskog razvoja (P28) uspostavlja sveobuhvatan okvir za sigurno upravljanje projektima razvoja softvera ili sustava koje provode vanjski dobavljači, izvođači ili agencije. Njezina je primarna svrha ugraditi sigurnosne kontrole i mehanizme upravljanja kroz cijeli životni ciklus razvoja, od planiranja i pregovaranja ugovora do isporuke, praćenja i aktivnosti nakon angažmana. Nalažući jasno definiran skup sigurnosnih obveza, od provjera dubinske analize dobavljača i procjene rizika do provedbe standarda kodiranja i ugovornih zahtjeva, politika ima za cilj zaštititi povjerljivost, cjelovitost i dostupnost cjelokupnog softvera razvijenog u organizaciji. Opseg politike obuhvaća svaku inicijativu tvrtke koja uključuje razvoj trećih strana, uključujući web i mobilne aplikacije, ugrađene sustave, sučelja za programiranje aplikacija, interne i komercijalne platforme te tijekove rada automatizacije. Posebno, ona također upravlja svakim vanjskim subjektom koji zahtijeva pristup izvornom kodu organizacije, testnim okruženjima ili CI/CD cjevovodima. Zahtjevi se primjenjuju neovisno o tome gdje ili kako dobavljač posluje, osiguravajući da geografske ili ugovorne razlike ne stvaraju sigurnosne praznine. Ciljevi politike usmjereni su na minimiziranje izloženosti prijetnjama opskrbnog lanca, pravnoj nesukladnosti (npr. s GDPR-om ili DORA-om), krađi intelektualnog vlasništva i praksama nesigurnog kodiranja koje bi mogle uvesti ranjivosti ili regulatorni rizik. Kako bi se to postiglo, dodjeljuje se izričita odgovornost Izvršnom menadžmentu, glavnom službeniku za informacijsku sigurnost (CISO), Nabavi i Pravnim poslovima i usklađenosti, vlasnicima projekta i proizvoda, Timu za informacijsku sigurnost te vanjskim dobavljačima. Središnje mjesto u ovom pristupu ima Registar razvoja trećih strana, kao jedinstveni izvor istine za sve angažmane dobavljača, nalaze dubinske analize dobavljača, dnevnike iznimaka i statuse ugovora. Zahtjevi upravljanja uključuju dubinsku analizu dobavljača, procjenu rizika i skup minimalnih ugovornih kontrola, kao što su pridržavanje praksi sigurnog kodiranja, sigurnosno testiranje, specifikacije vlasništva nad intelektualnim vlasništvom, izvršenje Ugovora o povjerljivosti i odredbe o pravu na reviziju. Izvornim kodom upravlja se isključivo putem platformi pod kontrolom poduzeća, uz zaštitu grana, vršnjački pregled i stroge protokole izlaznog procesa koji sprječavaju curenje koda ili neovlaštenu ponovnu uporabu. Sav pristup trećih strana dodjeljuje se u okviru upravljanja vremenski ograničenim pristupom i načelom najmanjih privilegija, nadzire se putem revizijskih zapisa te se brzo opoziva po završetku angažmana. Integracija repozitorija dobavljača u alate za sigurnost krajnjih točaka i alate za analizu koda, provedba politika CI/CD cjevovoda i upravljanje odstupanjima zahtijeva se kad god je izvedivo. Zahtjevi za iznimkom obrađuju se kroz formalni proces obrade rizika i odobravanja koji vodi glavni službenik za informacijsku sigurnost (CISO), uključujući dokumentiranje opravdanja, mjera ublažavanja i rokova korektivnih radnji. Tim za informacijsku sigurnost provodi kontinuirano praćenje i revizije usklađenosti, pri čemu kršenja mogu rezultirati trenutačnim ukidanjem pristupa, obustavom projekta, pravnim postupcima ili disciplinskim mjerama, prema potrebi. Ova se politika preispituje najmanje godišnje ili nakon promjena u regulatornom okruženju, nalaza odgovora na incidente ili ishoda unutarnje revizije. Sve promjene su pod kontrolom verzija, komunicirane i referencirane u dokumentaciji postupaka. Kroz ove mehanizme i usko mapiranje na vodeće međunarodne standarde i pravne obveze, Politika vanjskog razvoja osigurava da isporuka softvera trećih strana ostane sigurna i usklađena, štiteći organizaciju od promjenjivih rizika vanjskog razvoja.