Taikomųjų programų saugumo reikalavimų politika

Taikomųjų programų saugumo reikalavimų politika (P25) nustato išsamų organizacijos įpareigojimą įdiegti patikimas saugumo kontrolės priemones kiekviename taikomosios programos gyvavimo ciklo etape. Pagrindinis tikslas – užtikrinti privalomuosius taikomosios programos sluoksnio saugumo reikalavimus visai programinei įrangai, kurią organizacija kuria, įsigyja, integruoja ar diegia. Politika taikoma ne tik viduje kuriamiems sprendimams, bet ir SaaS, pagal užsakymą kuriamiems bei iš išorės įsigyjamiems įrankiams. Toks platus taikymas užtikrina, kad kiekvienas technologinis turtas, palaikantis kritines verslo operacijas, klientų prieigą ar reglamentuojamų duomenų tvarkymą, būtų apsaugotas pagal saugų kūrimą, teisinius reikalavimus ir organizacijos rizikos laikyseną. Pagal taikymo sritį politika apima taikomąsias programas visose aplinkose, įskaitant kūrimo, testavimo, parengiamąją, gamybos ir atkūrimo po katastrofos aplinką, nepriklausomai nuo to, ar jos talpinamos vietinėje infrastruktūroje, privačiuose duomenų centruose ar debesijoje. Atsakingų šalių spektras taip pat yra platus: nuo vyriausiojo informacijos saugumo pareigūno (CISO), kuris valdo politiką ir suderina ją su organizacijos strategija, per taikomųjų programų saugumo vadovus ir DevSecOps vadovus, atsakingus už saugumo kontrolės priemonių apibrėžimą ir kontrolės validavimą, iki kūrėjų, inžinierių, produktų savininkų, IT operacijų komandų ir trečiųjų šalių tiekėjų ar programinės įrangos tiekėjų. Kiekviena grupė privalo laikytis reikalavimų, užtikrinant atskaitomybės ir atitikties grandinę. Pagrindiniai politikos tikslai apima bazinių funkcinių ir nefunkcinių saugumo reikalavimų apibrėžimą; saugaus autentifikavimo, autorizavimo ir prieigos kontrolės mechanizmų užtikrinimą; apsaugų, tokių kaip įvesties validavimas, išvesties kodavimas, patikimas klaidų ir sesijų valdymas, integravimą; taip pat sustiprintą dėmesį taikomųjų programų sąsajų saugumui, trečiųjų šalių komponentams ir išorinėms integracijoms. Duomenų apsauga užtikrinama per privalomą šifravimą, duomenų klasifikavimą ir apibrėžtus duomenų saugojimo politikos protokolus, griežtai draudžiant nešifruotus autentifikavimo duomenis ar jautrius duomenis. Politika taip pat nustato reguliarų saugumo testavimą, įskaitant statinę ir dinaminę analizę, kodo peržiūrą, įsiskverbimo testavimą ir nuolatinę atitikties stebėseną, siekiant anksti aptikti ir mažinti pažeidžiamumus. Nustatoma tvirta valdysenos sistema, reikalaujanti dokumentuoto saugumo validavimo planavimo ar pirkimų etape visoms naujoms taikomosioms programoms, reikalavimų įtraukimo į sutartis ir paslaugų lygio susitarimus (SLA) bei struktūrizuoto rizika pagrįsto išimčių tvarkymo. Privaloma naudoti saugias technologijas (įskaitant SAST, DAST, IAST ir SCA), metinius įsiskverbimo testus didelės rizikos taikomosioms programoms, taip pat RASP ar WAF, kai tai pagrįsta rizika. Bet kokios išimtys turi būti formaliai prašomos, pateikiant rizikos analizę, kompensacines kontrolės priemones, taisomųjų veiksmų planą ir pilną dokumentaciją. Neatitiktis ar kontrolės priemonių apėjimas gali lemti taikomųjų programų pašalinimą, prieigos sustabdymą arba eskalavimą į žmogiškuosius išteklius, teisę ir atitiktį arba tiekėjų valdymą. Politika peržiūrima bent kartą per metus arba reaguojant į saugumo incidentus, reglamentavimo pokyčius ar reikšmingus kūrimo praktikų pokyčius, o visos redakcijos valdomos per versijų valdymo sistemas ir platinamos atitinkamoms komandoms. Galiausiai dokumentas susiejamas su susijusių politikų rinkiniu, tokiu kaip P01 Informacijos saugumo politika, Prieigos kontrolės politika, P05 Pakeitimų valdymo politika, Duomenų apsaugos politika, Saugus kūrimas ir reagavimas į incidentus, užtikrinant sluoksniuotą ir nuoseklų požiūrį į įmonės riziką ir atitiktį.