Išorinio kūrimo politika – SVV

Ši Išorinio kūrimo politika (dokumento numeris P28S) yra specialiai sukurta mažoms ir vidutinėms įmonėms (SVV), pateikiant pragmatišką sistemą saugiam, atitiktį užtikrinančiam ir gerai valdomam išoriniam programinės įrangos kūrimui. Ji yra visiškai suderinta su ISO/IEC 27001:2022, užtikrinant, kad net organizacijos, neturinčios dedikuotų IT ar saugumo komandų, galėtų laikytis tarptautinių geriausiųjų praktikų ir teisinių prievolių, kai įtraukiami išoriniai kūrėjai, laisvai samdomi specialistai ar trečiųjų šalių paslaugų teikėjai. Politika nustato aiškius vaidmenis ir atsakomybes Vyriausiajam vykdomajam pareigūnui (GM), kuris veikia kaip pagrindinis įgaliojimų turėtojas tiekėjų patvirtinimui, sutartinei priežiūrai ir taisomiesiems veiksmams, ir projekto savininkui, kuris atsakingas už kasdienę koordinaciją, funkcinį validavimą ir saugų perdavimą. Pabrėžiant vykdytinų sutarčių, konfidencialumo sutarčių ir dokumentuotų susitarimų dėl turto savininkystės bei teisių perdavimo poreikį, politika apsaugo organizacijas nuo rizikų, tokių kaip nesaugus kodas, netinkamas nuosavybinių aktyvų pakartotinis naudojimas, duomenų pasiekiamumas, tiekėjo užrakinimas ir neatitiktis reglamentams (įskaitant GDPR, NIS2 ir DORA). Nustatomos privalomos valdysenos kontrolės priemonės, reikalaujančios, kad sutartyse būtų apibrėžti saugaus kūrimo įsipareigojimai, reguliarus rizikos vertinimas, kurį atlieka GM, ir tinkamas visų sistemos autentifikavimo duomenų ir prieigos valdymas. Saugumo lūkesčiai apima kūrėjų įsipareigojimus taikyti saugaus programavimo technikas (remiantis tokiais standartais kaip OWASP Top 10), parengti išsamią dokumentaciją, atsakingai parinkti bibliotekas ir griežtai draudžia išlaikyti prieigą ar įmonės duomenis po projekto uždarymo. Išsamios procedūros užtikrina, kad kiekvienam išoriniam projektui būtų atliktas tiekėjų deramas patikrinimas, jis būtų patvirtintas funkciniais ir saugumo testavimais (pageidautina, kad tai atliktų kitas asmuo nei kūrėjas), ir būtų užbaigtas tik po pilno išeities kodo, surinkimo instrukcijų ir visų prisijungimo duomenų perdavimo. Politika yra SVV specifinė, naudojanti supaprastintus vaidmenis, tokius kaip Vyriausiasis vykdomasis pareigūnas ir projekto savininkas, vietoje tradicinių CISO ar Saugumo operacijų centro (SOC) pozicijų. Tai reiškia, kad ji pateikia nuoseklias, žingsnis po žingsnio instrukcijas, kurias gali vykdyti verslo ar operacijų vadovai, ir apima rizikos vertinimo procedūras, išimčių valdyseną ir reagavimo į incidentus gaires, pritaikytas organizacijoms, neturinčioms didelių techninių išteklių. Kiekvienas įsitraukimas turi būti pagrįstas dokumentuotais susitarimais, o audituojami pėdsakai yra privalomi, palaikant reglamentavimo ataskaitų teikimą ir vidaus peržiūras. Metinės ir tarpinės politikos peržiūros turi būti atliekamos GM, užtikrinant, kad kontrolės priemonės išliktų aktualios SVV rizikoms ir besikeičiantiems atitikties standartams. Išorinio kūrimo politika yra SVV orientuotų kontrolės priemonių rinkinio dalis, skirta įgyvendinti kartu su susijusiomis politikomis, tokiomis kaip valdysenos vaidmenys, prieigos kontrolė, saugumo informuotumo mokymai, duomenų apsauga, saugus kūrimas ir reagavimas į incidentus, siekiant holistiškai valdyti išorinio kūrimo rizikas, laikantis tokių standartų kaip ISO/IEC 27001:2022, ISO 27002:2022, GDPR ir kt.