Saugaus kūrimo politika – MVĮ

Saugaus kūrimo politika (P24S) yra specialiai parengta mažoms ir vidutinėms įmonėms (MVĮ), ypač pritaikyta organizacijoms, kurios neturi atskirų IT ar saugumo komandų. Atsižvelgiant į MVĮ išteklių apribojimus, politika paskiria vyriausiąjį vykdomąjį pareigūną (GM) kaip centrinę instituciją politikos patvirtinimui, įgyvendinimui, sutarčių priežiūrai ir atitikties užtikrinimui, supaprastinant valdymą aplinkose, kuriose CISO ar SOC vaidmenų gali nebūti. Nepaisant šio supaprastinimo, politika išlieka visiškai suderinta su tarptautiniu mastu pripažintais saugumo standartais, įskaitant ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, EU NIS2, EU DORA, COBIT 2019 ir EU GDPR, užtikrinant, kad atitikties įsipareigojimai būtų įgyvendinti neprarandant praktinio pritaikomumo. Šio dokumento tikslas – nustatyti bazinį saugaus programavimo ir kūrimo praktikų lygį visai programinei įrangai, scenarijams ir žiniatinklio priemonėms, kurias organizacija ar jos partneriai sukuria arba pakeičia. Jis taiko išsamius saugumo reikalavimus visam viduje kuriamam, išorės paslaugų teikėjų kuriamam arba trečiųjų šalių tiekiamam kodui, įskaitant papildinius, komponentus ir automatizavimo priemones. Politikos apibrėžta taikymo sritis apima kiekvieną aplinką, susijusią su kūrimo veiklomis – kūrimo, testavimo, priešgamybinę aplinką ir gamybos aplinką – ir konkrečiai reglamentuoja, kaip šiose aplinkose tvarkomi jautrūs ar produkciniai duomenys. Tarp pagrindinių tikslų politika orientuota į saugumo spragų prevenciją kiekviename programinės įrangos kūrimo gyvavimo ciklo etape. Tai apima privalomą saugaus programavimo standartų (pvz., OWASP Top 10) taikymą, formalizuotus kodo peržiūros procesus, privalomą saugumo testavimą prieš leidimą ir kontroliuojamą prieigą prie visų kūrimo ir gamybos sistemų. Politika nustato aiškius reikalavimus tiekėjų valdymui ir trečiųjų šalių valdymui, įskaitant sutartines saugumo nuostatas, trečiųjų šalių komponentų validavimą dėl pažeidžiamumų ir licencijavimo bei reguliarų atitikties sekimą ar auditavimą, remiantis saugomais artefaktais ir dokumentacija. Kasdienės atskaitomybės užtikrinimui apibrėžiami supaprastinti vaidmenys ir atsakomybės: vyriausiasis vykdomasis pareigūnas prižiūri ir patvirtina visas saugaus kūrimo veiklas, vidiniai kūrėjai ir taikomųjų programų savininkai laikosi saugių praktikų ir pranešimo reikalavimų, išoriniai tiekėjai yra sutartimis įpareigoti laikytis saugumo įsipareigojimų ir atlikti reikalaujamą testavimą, o IT paslaugų teikėjai ar administratoriai valdo saugią prieigą ir diegimą, užtikrindami aplinkų atskyrimą. Neatsiejama šios MVĮ politikos dalis yra struktūrizuotas rizikos tvarkymas ir išimčių tvarkymo procesas. Bet kokie nukrypimai nuo saugių praktikų arba rizikos, kurių negalima nedelsiant pašalinti, turi būti formaliai įvertinti ir patvirtinti vyriausiojo vykdomojo pareigūno, su periodiniu pakartotiniu įvertinimu, kad būtų valdoma rizikos laikysena pokyčių kontekste. Politika taip pat nustato tvirtas vykdymo užtikrinimo ir pasirengimo auditui kontrolės priemones, reikalaujant, kad visi kontroliniai sąrašai, peržiūrų patvirtinimai, testavimo rezultatai ir inventoriai būtų saugiai saugomi ir nedelsiant prieinami ISO auditams, reglamentavimo peržiūrai ar klientų užklausoms. Galiausiai, peržiūros ir atnaujinimo reikalavimai užtikrina, kad politika išliktų aktuali, atsižvelgiant į besikeičiančias kūrimo technologijas, sistemas ir reglamentavimo pokyčius, demonstruojant proaktyvų požiūrį į organizacijos saugumą ir atitiktį MVĮ sektoriuje.