policy Enterprise

Alkalmazásbiztonsági követelmények szabályzat

Robusztus alkalmazásbiztonsági követelmények meghatározása, amelyek lefedik a biztonságos fejlesztést, az adatvédelmet és a megfelelést valamennyi szervezeti alkalmazásra.

Áttekintés

Ez a szabályzat kötelező biztonsági követelményeket határoz meg valamennyi szervezeti alkalmazásra, biztosítva a biztonságos tervezést, fejlesztést és üzemeltetést a globális szabványokkal összhangban.

Átfogó lefedettség

Valamennyi házon belüli, harmadik féltől származó és SaaS-alkalmazásra vonatkozik, minden környezetben és csapatnál.

Életciklus-biztonság integrációja

Kontrollokat, tesztelést és validálást érvényesít a tervezéstől a bevezetés utáni szakaszig a sérülékenységek mérséklése érdekében.

Irányítás és megfelelés

Összhangban van a globális szabványokkal, például az ISO 27001, a GDPR, a NIS2 és a DORA követelményeivel a kontrollbizonyosság és az auditfelkészültség érdekében.

Egyértelmű szerepkörök és elszámoltathatóság

Meghatározza a biztonsági felelősségeket a fejlesztés, az informatikai üzemeltetés, a termék és a harmadik fél érdekelt felek számára.

Teljes áttekintés olvasása
Az Alkalmazásbiztonsági követelmények szabályzat (P25) átfogó szervezeti felhatalmazást ad arra, hogy robusztus biztonsági kontrollok beépüljenek az alkalmazás-életciklus minden szakaszába. Elsődleges célja, hogy kötelező alkalmazásréteg-biztonsági követelményeket érvényesítsen minden olyan szoftverre, amelyet a szervezet fejleszt, beszerez, integrál vagy telepít. A szabályzat nemcsak a belső fejlesztésű megoldásokra, hanem a SaaS-, az egyedileg fejlesztett és a külső forrásból származó eszközökre is vonatkozik. Ez a széles körű alkalmazhatóság biztosítja, hogy minden olyan technológiai eszköz, amely kritikus üzleti folyamatokat, ügyfél-hozzáférést vagy szabályozott adat feldolgozását támogatja, védett legyen a biztonságos fejlesztés elvei, a jogi követelmények és a szervezet kockázati pozíciója szerint. A hatókör az alkalmazásokat minden környezetben lefedi, beleértve a fejlesztési, tesztelési, staging-, éles környezetet és vészhelyzeti helyreállítási környezet területeit, függetlenül attól, hogy ezek helyszíni, privát adatközpontokban vagy a felhőben üzemelnek. A felelős szereplők köre szintén átfogó: az információbiztonsági vezető (CISO) szerepétől, aki a szabályzat gazdája és a szervezeti stratégiához igazítja, az alkalmazásbiztonsági vezetőkön és DevSecOps-menedzsereken át, akik a biztonsági kontrollok meghatározásáért és kontrollvalidálásáért felelnek, egészen a fejlesztőkig, mérnökökig, terméktulajdonosokig, informatikai üzemeltetési csapatokig, valamint a harmadik fél beszállítókig vagy szoftverszállítókig. Minden csoportnak be kell tartania a követelményeket, biztosítva az elszámoltathatóság és a megfelelés láncolatát. A szabályzat fő célkitűzései közé tartozik az alapvonal funkcionális és nem funkcionális biztonsági követelmények meghatározása; a biztonságos hitelesítés, jogosultságkezelés és hozzáférés-ellenőrzési mechanizmusok érvényesítése; olyan védelmek integrálása, mint a bemeneti validálás, kimeneti kódolás, valamint a robusztus hibakezelés és munkamenet-kezelés; továbbá az API-biztonság, a harmadik féltől származó komponensek és a külső integrációk fokozott vizsgálata. Az adatvédelem kötelező titkosítással, adatosztályozással és meghatározott adatmegőrzési protokollokkal kerül kezelésre, szigorú tiltással a titkosítatlan hitelesítő adatok vagy érzékeny adatok használatára. A szabályzat rendszeres biztonsági tesztelést is előír, beleértve a statikus és dinamikus elemzést, kód-felülvizsgálatot, penetrációs tesztelést és folyamatos megfelelés-monitorozást, a sérülékenységek korai észlelése és mérséklése érdekében. Erős irányítási keretrendszert határoz meg, amely dokumentált biztonsági validálást követel meg a tervezési vagy beszerzési szakaszban minden új alkalmazás esetében, a követelmények szerződésekbe és szolgáltatási szintű megállapodásokba (SLA-k) való beépítését, valamint strukturált, kockázatalapú kivételkezelést. Kötelező a biztonságos technológiák használata (beleértve a SAST, DAST, IAST és SCA megoldásokat), a magas kockázatú alkalmazások éves penetrációs tesztelése, valamint kockázat alapján indokolt RASP vagy WAF alkalmazása. Bármely kivételt formálisan kell kérelmezni kockázatelemzéssel, kompenzáló kontrollokkal, korrekciós intézkedési tervvel és teljes dokumentációval. A meg nem felelés vagy a kontrollok megkerülése az alkalmazások eltávolítását, a hozzáférés felfüggesztését, vagy eszkalációt eredményezhet az emberi erőforrások, a jogi és megfelelőségi, vagy a beszállítói kockázatkezelés felé. A szabályzatot legalább évente, illetve információbiztonsági incidens, szabályozási változások vagy a fejlesztési gyakorlatok jelentős módosulása esetén felül kell vizsgálni, és minden módosítás verziókezelés alá esik, valamint terjesztésre kerül az érintett csapatok számára. Végül a dokumentum gondosan össze van rendelve a kapcsolódó szabályzatokkal, például a P01 Információbiztonsági szabályzattal, a hozzáférés-vezérlési szabályzattal, a P05 Változáskezelési szabályzattal, az adatvédelmi szabályzatokkal, a biztonságos fejlesztéssel és az incidenskezelési szabályzat területeivel, biztosítva a rétegzett és következetes megközelítést a vállalati kockázat és megfelelés kezelésében.

Irányelv-diagram

Ábra, amely a szabályzatvezérelt alkalmazásbiztonsági folyamatokat szemlélteti a követelmények meghatározásától, a biztonságos megvalósításon és tesztelésen át, a kivételkezelésen, a telepítési validáláson és a folyamatos megfelelés-monitorozáson keresztül.

Kattintson a diagramra a teljes méret megtekintéséhez

Tartalom

Hatókör és együttműködési szabályok

Kötelező biztonsági funkciók és kontrollok

Biztonságos API- és integrációs követelmények

Hitelesítés és hozzáférés-ellenőrzés összehangolása

Kódbiztonsági tesztelési módszertan

Kivételkezelési és kockázatkezelési folyamat

Keretrendszer-megfelelőség

🛡️ Támogatott szabványok és keretrendszerek

Ez a termék a következő megfelelőségi keretrendszerekhez igazodik, részletes záradék- és vezérlőleképezésekkel.

Keretrendszer Lefedett záradékok / Vezérlők
ISO/IEC 27001:2022
8.1
ISO/IEC 27002:2022
8.258.26
NIST SP 800-53 Rev.5
SA-11SA-15SI-10
EU GDPR
2532
EU NIS2
21(2)(f)23
EU DORA
911
COBIT 2019
BAI03BAI09DSS05
ISO/IEC 27001:2022
8.1
ISO/IEC 27002:2022
8.258.26
NIST SP 800-53 Rev.5
SA-11SA-15SI-10
EU GDPR
2532
EU NIS2
21(2)(f)23
EU DORA
911
COBIT 2019
BAI03BAI09DSS05

Kapcsolódó irányelvek

Információbiztonsági politika

Megteremti a rendszerek és adatok védelmének alapját, amely alatt az alkalmazásszintű kontrollok szükségesek a jogosulatlan hozzáférés, az adatvesztés és a kihasználás megelőzéséhez.

Hozzáférés-vezérlési szabályzat

Meghatározza az identitás- és munkamenet-kezelési szabványokat, amelyeket minden alkalmazásnak érvényesítenie kell, beleértve az erős hitelesítést, a legkisebb jogosultság elve követelményét és a hozzáférés-felülvizsgálatok követelményeit.

Változáskezelési szabályzat

Szabályozza az alkalmazáskód és konfigurációk éles környezetbe történő előléptetését, biztosítva, hogy a jogosulatlan vagy nem tesztelt változtatások blokkolásra kerüljenek.

Adatvédelem és adatvédelmi szabályzat

Megköveteli, hogy az alkalmazások beépített adatvédelem elveket valósítsanak meg, és biztosítsák a személyes és érzékeny adatok jogszerű információkezelését, titkosítását és megőrzését minden környezetben.

Biztonságos fejlesztés

Tágabb keretrendszert ad a biztonság SDLC-be történő beépítéséhez, amelyen belül ez a szabályzat meghatározza az alkalmazásrétegben megvalósítandó konkrét követelményeket és technikai kontrollokat.

Incidenskezelési szabályzat

Kötelezővé teszi az alkalmazásbiztonsági incidensek strukturált kezelését, beleértve a bevezetés után vagy penetrációs tesztelés során azonosított sérülékenységeket, és meghatározza az eszkaláció, elszigetelés és helyreállítás eljárásait.

A Clarysec irányelveiről - Alkalmazásbiztonsági követelmények szabályzat

A hatékony biztonsági irányítás több mint megfogalmazások összessége; egyértelműséget, elszámoltathatóságot és a szervezettel együtt skálázódó struktúrát igényel. Az általános sablonok gyakran nem működnek, mert hosszú bekezdésekkel és nem definiált szerepkörökkel kétértelműséget teremtenek. Ez a szabályzat úgy készült, hogy a biztonsági program operatív gerincét adja. A felelősségeket a modern vállalatokban ténylegesen meglévő szerepkörökhöz rendeljük, beleértve az információbiztonsági vezető (CISO) szerepét, az IT- és információbiztonsági csapatok feladatait, valamint a releváns bizottságokat, biztosítva az egyértelmű elszámoltathatóságot. Minden követelmény egyedi sorszámozású záradék (pl. 5.1.1, 5.1.2). Ez az atomi struktúra megkönnyíti a bevezetést, az auditálást konkrét kontrollok mentén, és a biztonságos testreszabást a dokumentum integritásának sérülése nélkül, így a szabályzat statikus dokumentumból dinamikus, végrehajtható keretrendszerré válik.

Beépített kivételkezelés

Formális kivételkérelmezési munkafolyamatok kompenzáló kontrollokkal, kockázatelemzéssel és kötelező kockázati nyilvántartás-nyomon követéssel.

Technikai kontrollrészletek

Pontos követelményeket vázol fel a hitelesítésre, bemeneti validálásra, a naplózási és monitorozási szabályzat szerinti naplózásra és titkosításra, az alkalmazástípushoz igazítva.

Kötelező kód- és biztonsági tesztelés

SAST, DAST, SCA, penetrációs tesztek és auditnyomvonal előírása minden kritikus vagy külső kitettségű alkalmazás esetében.

Gyakran ismételt kérdések

Vezetőknek, vezetők által

Ez az irányelv egy biztonsági vezető által készült, aki több mint 25 éves tapasztalattal rendelkezik ISMS keretrendszerek bevezetésében és auditálásában globális vállalatoknál. Nem csupán dokumentumként készült, hanem olyan védhető keretrendszerként, amely megfelel az auditorok vizsgálatának.

Az alábbi képesítésekkel rendelkező szakértő készítette:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Lefedettség és témák

🏢 Célterületek

IT Biztonság Megfelelés Fejlesztés

🏷️ Témafedezet

Biztonságos fejlesztés alkalmazásbiztonsági követelmények megfeleléskezelés kockázatkezelés biztonsági tesztelés Adatvédelem
€49

Egyszeri vásárlás

Azonnali letöltés
Élethosszig tartó frissítések
Application Security Requirements Policy

Termék részletei

Típus: policy
Kategória: Enterprise
Szabványok: 14