Išorinio kūrimo politika

Išorinio kūrimo politika (P28) nustato išsamią sistemą, skirtą saugiai valdyti programinės įrangos ar sistemų kūrimo projektus, kuriuos vykdo išoriniai tiekėjai, rangovai ar agentūros. Pagrindinis jos tikslas – įdiegti saugumo kontrolės priemones ir valdysenos mechanizmus per visą kūrimo gyvavimo ciklą – nuo planavimo ir sutarčių derinimo iki pristatymo, stebėsenos ir veiklų po įsitraukimo. Nustatydama aiškiai apibrėžtą saugumo įsipareigojimų rinkinį – nuo tiekėjų deramo patikrinimo ir rizikos vertinimo iki privalomų kodavimo standartų ir sutartinių reikalavimų – politika siekia apsaugoti konfidencialumą, vientisumą ir prieinamumą visos organizacijos kuriamos programinės įrangos. Politikos taikymo sritis apima bet kurią įmonės iniciatyvą, kurioje dalyvauja trečiųjų šalių kūrimas, įskaitant žiniatinklio ir mobiliąsias taikomąsias programas, įterptąsias sistemas, taikomųjų programų sąsajas, vidines ir komercines platformas bei automatizavimo darbo srautus. Taip pat ji reglamentuoja bet kurią išorinę šalį, kuriai reikalinga prieiga prie organizacijos šaltinio kodo, testavimo aplinkų ar CI/CD konvejerių. Reikalavimai taikomi nepriklausomai nuo to, kur ar kaip veikia tiekėjas, užtikrinant, kad geografiniai ar sutartiniai skirtumai nesukurtų saugumo spragų. Politikos tikslai grindžiami tiekimo grandinės grėsmių ekspozicijos mažinimu, teisine neatitiktimi (pvz., GDPR ar DORA), intelektinės nuosavybės vagystėmis ir nesaugiomis kodavimo praktikomis, kurios galėtų įdiegti pažeidžiamumus ar sukelti reglamentavimo riziką. Tam ji priskiria aiškias atsakomybes vykdomajai vadovybei, vyriausiajam informacijos saugumo pareigūnui (CISO), pirkimams ir teisei bei atitikčiai, projektų ir produktų savininkams, informacijos saugos komandai ir išoriniams tiekėjams. Šio požiūrio centre yra trečiųjų šalių kūrimo registras – vienintelis patikimas šaltinis visiems tiekėjų įsitraukimams, deramo patikrinimo išvadoms, politikų išimčių žurnalams ir sutarčių būsenoms. Valdysenos reikalavimai apima tiekėjų deramą patikrinimą, saugumo rizikos vertinimą ir minimalų sutartinių kontrolės priemonių rinkinį, pvz., laikymąsi saugaus programavimo sistemų, saugumo testavimą, IP nuosavybės specifikacijas, konfidencialumo sutarties pasirašymą ir audito teisės nuostatas. Šaltinio kodas valdomas tik per įmonės valdomas platformas, taikant šakų apsaugą, tarpusavio vertinimą ir griežtus darbo santykių nutraukimo proceso protokolus, kurie užkerta kelią kodo nutekėjimui ar nesankcionuotam pakartotiniam naudojimui. Visa trečiųjų šalių prieiga suteikiama pagal ribotos trukmės prieigos ir mažiausių privilegijų principą, stebima per audito žurnalus ir greitai atšaukiama pasibaigus įsitraukimui. Kai įmanoma, reikalaujama integruoti tiekėjų saugyklas į įmonės saugumo priemones kodo analizei, CI/CD politikos vykdymo užtikrinimui ir nukrypimų valdymui. Išimčių prašymai tvarkomi per formalų rizikos tvarkymo ir patvirtinimo procesą, kurį veda vyriausiasis informacijos saugumo pareigūnas (CISO), įskaitant pagrindimo, rizikos mažinimo ir taisomųjų veiksmų terminų dokumentavimą. Informacijos saugos komanda vykdo nuolatinę stebėseną ir atitikties auditus, o pažeidimų atveju taikomas nedelstinas prieigos atšaukimas, projekto sustabdymas, teisiniai veiksmai arba drausminės priemonės, kai tai tinkama. Ši politika peržiūrima bent kartą per metus arba pasikeitus reglamentavimo aplinkai, gavus reagavimo į incidentus išvadų ar vidaus audito rezultatų. Visi pakeitimai valdomi versijų kontrolės būdu, komunikuojami ir nurodomi procedūrinėje dokumentacijoje. Šiais mechanizmais ir glaudžiu susiejimu su pagrindiniais tarptautiniais standartais bei teisiniais įpareigojimais Išorinio kūrimo politika užtikrina, kad trečiųjų šalių programinės įrangos pristatymas išliktų saugus ir atitiktų reikalavimus, apsaugodamas organizaciją nuo kintančių išorinio kūrimo rizikų.