Kiszervezett fejlesztési szabályzat – KKV

Ez a kiszervezett fejlesztési szabályzat (P28S dokumentumszám) kifejezetten kis- és középvállalkozások (KKV-k) számára készült, és pragmatikus keretrendszert biztosít a biztonságos, megfelelő és jól irányított kiszervezett szoftverfejlesztéshez. Teljes mértékben összehangolt az ISO/IEC 27001:2022 szabvánnyal, biztosítva, hogy még a dedikált IT- vagy biztonsági csapatokkal nem rendelkező szervezetek is követni tudják a nemzetközi iparági legjobb gyakorlatokat és a jogi kötelezettségeket külső fejlesztők, szabadúszók vagy harmadik fél ügynökségek bevonásakor. A szabályzat egyértelmű szerepköröket és felelősségeket határoz meg a vezérigazgató (GM) számára, aki a beszállítói jóváhagyás, a szerződéses felügyelet és a korrekciós intézkedések elsődleges hatáskörével rendelkezik, valamint a projektgazda számára, aki a napi koordinációért, a funkcionális validálásért és a biztonságos átadásért felel. A kikényszeríthető szerződések, a titoktartási megállapodás, valamint az eszköztulajdonosról és a jogátruházásról szóló dokumentált megállapodások szükségességének hangsúlyozásával a szabályzat védi a szervezetet az olyan kockázatoktól, mint a nem biztonságos kód, a védett vagyonelemek nem megfelelő újrafelhasználása, az adatkitettség, a beszállítói függőség és a szabályozási kötelezettségeknek való meg nem felelés (beleértve a GDPR-t, a NIS2-t és a DORA-t). A szabályzat kötelező irányítási kontrollokat határoz meg, előírva, hogy a szerződések rögzítsék a biztonságos fejlesztés kötelezettségeit, a GM általi rendszeres kockázatértékelést, valamint valamennyi rendszerhitelesítő adat és hozzáférés megfelelő kezelését. A biztonsági elvárások kiterjednek a fejlesztő kötelezettségeire a biztonságos kódolási gyakorlatok alkalmazására (OWASP Top 10 hivatkozással), az alapos dokumentációra, a körültekintő könyvtárválasztásra, valamint arra a szigorú tilalomra, hogy a projekt lezárása után hozzáférést vagy vállalati adatokat megtartson. Az átfogó eljárások biztosítják, hogy minden kiszervezett projektet beszállítói átvilágítás előzzön meg, funkcionális és biztonsági tesztelés validáljon (lehetőleg a fejlesztőtől eltérő személy által), és csak a forráskód, a build-utasítások, valamint valamennyi hitelesítő adat teljes átadása után zárható le. A szabályzat KKV-specifikus, egyszerűsített szerepköröket használ, mint a vezérigazgató és a projektgazda, a hagyományos CISO vagy SOC pozíciók helyett. Ez azt jelenti, hogy lépésről lépésre végrehajtható utasításokat ad üzleti vagy üzemeltetési vezetők számára, és tartalmaz kockázatértékelési eljárásokat, kivételkövetést és incidensreagálási útmutatást, amely a kiterjedt műszaki erőforrásokkal nem rendelkező szervezetekhez igazodik. Minden megbízást dokumentált megállapodásoknak kell alátámasztaniuk, és az auditálható nyomvonal kötelező, támogatva a szabályozási jelentéstételt és a belső felülvizsgálatokat. A GM-nek éves és időközi szabályzatfelülvizsgálatokat kell végeznie, biztosítva, hogy a kontrollok naprakészek maradjanak a KKV-kat érintő kockázatokkal és a változó megfelelési szabványokkal. A kiszervezett fejlesztési szabályzat a KKV-orientált kontrollok csomagjának része, amelyet a kapcsolódó szabályzatokkal együtt kell bevezetni – például irányítási szerepkörök, hozzáférés-ellenőrzés, biztonságtudatossági képzés, adatvédelem, biztonságos fejlesztés és incidensreagálás – a kiszervezett fejlesztési kockázatok holisztikus kezeléséhez, az ISO/IEC 27001:2022, ISO 27002:2022, GDPR és egyéb követelményeknek megfelelően.