policy SME

Taikomųjų programų saugumo reikalavimų politika – SVV

Apibrėžia SVV pritaikytas privalomas kontrolės priemones ir procesus, skirtus visų taikomųjų programų apsaugai, užtikrinant atitiktį ir duomenų apsaugą visoje organizacijoje.

Apžvalga

Ši politika nustato minimalius, privalomus saugumo reikalavimus visoms organizacijos naudojamoms taikomosioms programoms, apibrėždama kontrolės priemones autentifikavimo, šifravimo, prieigos kontrolės ir audito žurnalų vedimo srityse. Ji supaprastinta SVV aplinkoms, bendrą atsakomybę priskiriant vyriausiajam vykdomajam pareigūnui, ir apima tiek viduje kuriamas, tiek tiekėjų teikiamas taikomąsias programas, siekiant atitikties ir sumažinti saugumo rizikas.

Išsamios saugumo kontrolės priemonės

Nustato bazines kontrolės priemones, tokias kaip autentifikavimas, šifravimas ir audito žurnalų vedimas, visoms taikomosioms programoms, apsaugant jautrius duomenis.

SVV pritaikytas paprastumas

Pritaikyta mažoms ir vidutinėms įmonėms, su supaprastintais vaidmenimis, centralizuojant atsakomybę vyriausiajam vykdomajam pareigūnui, nereikalaujant dedikuotų IT komandų.

Trečiųjų šalių ir debesijos atitiktis

Užtikrina, kad trečiųjų šalių programinė įranga ir nesankcionuotos debesijos paslaugos atitiktų minimalius saugumo kriterijus ir būtų sutartinai įpareigotos laikytis reikalavimų.

Duomenų privatumas ir reguliacinis suderinimas

Palaiko GDPR, NIS2, DORA ir ISO/IEC 27001 atitiktį, taikant saugumą projektuojant ir pagal numatytuosius nustatymus.

Skaityti visą apžvalgą
Taikomųjų programų saugumo reikalavimų politika (P25S) nustato privalomą sistemą, skirtą visų organizacijos taikomųjų programų ir sistemų apsaugai, nepriklausomai nuo to, ar jos kuriamos viduje, ar gaunamos iš tiekėjų ir trečiųjų šalių paslaugų teikėjų. Ši politika suderinta su tarptautiniu mastu pripažintais standartais ir reguliacinėmis sistemomis, tokiomis kaip ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, ES GDPR, ES NIS2, ES DORA ir COBIT 2019, užtikrinant išsamų atitikties ir veiklos atsparumo aprėptį. Kaip dedikuota SVV politika, aiškiai pažymėta raide „S“ dokumento numeryje (P25S), ji specialiai pritaikyta organizacijoms, neturinčioms didelių, specializuotų IT saugumo komandų, tokių kaip SOC analitikai ar CISO. Vietoje to atsakomybė centralizuojama vyriausiajam vykdomajam pareigūnui (GM), kuris privalo patvirtinti politiką, prižiūrėti atitiktį, peržiūrėti išimtis ir užtikrinti, kad visa programinė įranga, tiek vidinė, tiek išorinė, atitiktų bazinių saugumo reikalavimų rinkinį. Šis požiūris leidžia SVV pasiekti tvirtą rizikos laikyseną be plataus techninių komandų poreikio, remiantis aiškiais kontroliniais sąrašais ir atitikties patvirtinimais. Politikos taikymo sritis apima visas taikomąsias programas, kurios tvarko, saugo arba perduoda jautrius verslo ar asmens duomenis, nepriklausomai nuo jų kūrimo kilmės ar platformos. Vaidmenys ir atsakomybės supaprastinti: GM yra atskaitingas už politikos vykdymo užtikrinimą; taikomųjų programų savininkai (jei paskirti) patikrina būtinas kontrolės priemones ir dalyvauja peržiūrose; kūrėjai ir IT paslaugų teikėjai įgyvendina kontrolės priemones ir atlieka testavimą ir validavimą; o tiekėjai privalo sutartinai laikytis organizacijos standartų. Tai užtikrina išsamų aprėptį neperkraunant mažų komandų. Pagrindiniai tikslai apima patikrinamų saugumo kontrolės priemonių įdiegimą į kiekvieną taikomąją programą, konfidencialumo, vientisumo, prieinamumo (KVP) apsaugą ir taikomųjų programų testavimo, prieigos kontrolės, audito žurnalų vedimo ir šifravimo formalizavimą kaip bazinius reikalavimus. Tiekėjų ir debesijos taikomosios programos nėra išimtys: visos turi turėti saugų prisijungimą, įvesties validavimą, šifravimą perdavimo metu ir saugojimo metu, veiklos registravimą ir operatyvų pataisų diegimo valdymą. Prieš diegimą kiekviena taikomoji programa privalo praeiti saugumo patikrą, kurią mažiems projektams atlieka vidinė IT pagalba, o sudėtingoms sistemoms – nepriklausomi vertintojai, o visi įrašai saugomi pasirengimo auditui tikslais. Politika taip pat apibrėžia formalų rizikos tvarkymo ir išimčių valdymo procesą, leidžiantį lankstumą verslo poreikiams, kartu prioritetą teikiant atitikčiai teisinėms ir sutartinėms prievolėms, tokioms kaip GDPR, NIS2 ar DORA. Kiekviena su taikomosiomis programomis susijusi išimtis turi būti pagrįsta, atliktas rizikos vertinimas, patvirtinta GM ir peržiūrima bent kas pusmetį. Griežtos vykdymo priemonės apima neatitinkančių taikomųjų programų sustabdymą, tiekėjų sutarčių nutraukimą ir detalų registravimą bei ataskaitų teikimą, siekiant paremti tiek vidines kontrolės priemones, tiek išorinius auditus. Politikos peržiūros procesas užtikrina, kad ji išliktų aktuali naujoms grėsmėms, platformų pokyčiams ir reguliaciniams pokyčiams, padėdamas SVV neatsilikti dinamiškoje taikomųjų programų saugumo aplinkoje.

Politikos diagrama

Taikomųjų programų saugumo reikalavimų politikos diagrama, rodanti gyvavimo ciklo žingsnius: įsigijimas, validavimas, diegimas, nuolatinis pataisų diegimas, metinė trečiųjų šalių komponentų peržiūra, išimčių patvirtinimas ir atitikties dokumentacija.

Spustelėkite diagramą, kad peržiūrėtumėte visu dydžiu

Turinys

Taikymo sritis ir vaidmenys (Vyriausiasis vykdomasis pareigūnas, kūrėjai, tiekėjai)

Privalomos taikomųjų programų saugumo kontrolės priemonės

Trečiųjų šalių ir debesijos taikomųjų programų saugumas

Testavimo ir validavimo reikalavimai

Duomenų privatumas ir duomenų tvarkymo procedūros

Išimčių valdymas ir rizikos tvarkymo procesas

Sistemos atitiktis

🛡️ Palaikomi standartai ir sistemos

Šis produktas yra suderintas su šiomis atitikties sistemomis su išsamiu sąlygų ir kontrolės susiejimu.

Sistema Aptariamos sąlygos / Kontrolės
ISO/IEC 27001:2022
8.1
ISO/IEC 27002:2022
8.258.26
NIST SP 800-53 Rev.5
SA-11SI-10
EU GDPR
Article 25
EU NIS2
Article 21(2)(a)Article 21(2)(e)
EU DORA
Article 9(2)(c)Article 10(2)(c)
COBIT 2019
BAI03

Susijusios politikos

Valdysenos vaidmenų ir atsakomybių politika – SVV

Priskiria atsakomybę už taikomųjų programų patvirtinimą, politikos vykdymo užtikrinimą ir tiekėjų valdymą.

Prieigos kontrolės politika – SVV

Užtikrina, kad taikomųjų programų prieiga atitiktų mažiausių privilegijų principą ir sesijų kontrolės principus.

Informacijos saugos sąmoningumo ir mokymų politika – SVV

Užtikrina, kad naudotojai ir kūrėjai būtų apmokyti atpažinti ir pranešti apie incidentus, susijusius su taikomosiomis programomis, keliamas grėsmes.

Duomenų apsaugos ir privatumo politika – SVV

Numato duomenų privatumo apsaugos priemones, kurias privalo taikyti bet kuri taikomoji programa, tvarkanti asmens informaciją.

Duomenų saugojimo ir šalinimo politika – SVV

Reglamentuoja, kaip taikomųjų programų generuojami žurnalai, atsarginių kopijų sistemos ir jautrūs duomenys turi būti saugomi, archyvuojami ir saugiai sunaikinami.

Reagavimo į incidentus politika – SVV

Apibrėžia veiksmus, skirtus identifikuoti, pranešti apie incidentus ir lokalizuoti su taikomosiomis programomis susijusius saugumo įvykius.

Apie Clarysec politikas - Taikomųjų programų saugumo reikalavimų politika – SVV

Bendrosios saugumo politikos dažnai kuriamos didelėms korporacijoms, todėl mažoms įmonėms sunku taikyti sudėtingas taisykles ir neapibrėžtus vaidmenis. Ši politika yra kitokia. Mūsų SVV politikos kuriamos nuo pagrindų praktiniam įgyvendinimui organizacijose be dedikuotų saugumo komandų. Mes priskiriame atsakomybes vaidmenims, kuriuos jūs iš tikrųjų turite, pavyzdžiui, vyriausiajam vykdomajam pareigūnui ir jūsų IT paslaugų teikėjui, o ne specialistų armijai, kurios neturite. Kiekvienas reikalavimas suskaidytas į unikaliai sunumeruotą punktą (pvz., 5.2.1, 5.2.2). Tai paverčia politiką aiškiu, nuosekliu kontroliniu sąrašu, kurį lengva įgyvendinti, audituoti ir pritaikyti neperrašant ištisų skyrių.

Dokumentacija, parengta auditui

Išlaiko saugumo testavimo ataskaitas, išimčių įrašus ir tiekėjų patvirtinimus, kad būtų lengva atlikti atitikties patikras ir auditus.

Priverstinis išimčių procesas

Nukrypimai nuo saugumo kontrolės priemonių reikalauja formalaus GM patvirtinimo, rizikos peržiūros ir dokumentavimo – be „tylių spragų“.

Kritinių trečiųjų šalių komponentų kontrolė

Atvirojo kodo komponentai ir papildiniai yra sekami, atliekamas pažeidžiamumų skenavimas ir peržiūrimi kasmet. Nepataisomos rizikos reikalauja nedelsiant pašalinti arba pakeisti.

Dažniausiai užduodami klausimai

Sukurta lyderiams, lyderių

Šią politiką parengė saugumo lyderis, turintis daugiau nei 25 metų patirtį diegiant ir audituojant ISMS sistemas tarptautinėse organizacijose. Ji sukurta ne tik kaip dokumentas, bet kaip pagrįsta sistema, atlaikanti auditoriaus vertinimą.

Parengė ekspertas, turintis šias kvalifikacijas:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Aprėptis ir temos

🏢 Tiksliniai skyriai

IT Saugumas atitiktis Auditas ir atitiktis

🏷️ Teminė aprėptis

Taikomųjų programų saugumo reikalavimai Politikų gyvavimo ciklo valdymas saugumo testavimas atitikties valdymas Saugumo pagrindiniai veiklos rodikliai (KPI)
€29

Vienkartinis pirkimas

Momentinis atsisiuntimas
Visą gyvenimą trunkantys atnaujinimai
Application Security Requirements Policy - SME

Produkto informacija

Tipas: policy
Kategorija: SME
Standartai: 7