Lietojumprogrammu drošības prasību politika – MVU

Lietojumprogrammu drošības prasību politika (P25S) nosaka obligātu ietvaru visu organizācijas lietojumprogrammu un sistēmu drošības nodrošināšanai neatkarīgi no tā, vai tās ir izstrādātas iekšēji vai iegūtas no piegādātājiem un mākoņpakalpojumu sniedzējiem. Šī politika ir saskaņota ar starptautiski atzītiem standartiem un regulatīvajiem ietvariem, piemēram, ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, ES GDPR, ES NIS2, ES DORA un COBIT 2019, nodrošinot pilnīgu pārklājumu atbilstībai un operacionālajai noturībai. Kā īpaša MVU politika, ko dokumenta numurā skaidri apzīmē burts “S” (P25S), tā ir pielāgota organizācijām bez lielām, specializētām IT drošības komandām, piemēram, drošības operāciju centra (SOC) analītiķiem vai galvenā informācijas drošības vadītāja (CISO). Tā vietā atbildība ir centralizēta pie galvenā izpilddirektora (GM), kuram ir jāapstiprina politika, jāuzrauga atbilstība, jāpārskata izņēmumi un jānodrošina, ka visa programmatūra — gan iekšēji izstrādāta, gan ārēji nodrošināta — atbilst pamatprasību drošības kontroles pasākumu kopumam. Šī pieeja ļauj MVU sasniegt stabilu drošības stāvokli bez plašām tehniskajām komandām, balstoties uz skaidriem kontrolsarakstiem un atbilstības apliecinājumiem no piegādātājiem. Politikas darbības joma attiecas uz visām lietojumprogrammām, kas apstrādā, glabā vai pārsūta konfidenciālus biznesa vai personas datus, neatkarīgi no izstrādes izcelsmes vai platformas. Lomas un pienākumi ir vienkāršoti: GM ir atbildīgs par politikas izpildi; lietojumprogrammu īpašnieki (ja tādi ir noteikti) pārbauda nepieciešamos kontroles pasākumus un piedalās pārskatīšanās; izstrādātāji un IT pakalpojumu sniedzēji ievieš kontroles pasākumus un veic testēšanu un validēšanu; un piegādātājiem ir līgumiski jāievēro organizācijas standarti. Tas nodrošina visaptverošu pārklājumu, nepārslogojot nelielas komandas. Galvenie mērķi ietver pārbaudāmu drošības kontroles pasākumu iestrādi katrā lietojumprogrammā, konfidencialitātes, integritātes un pieejamības datu aizsardzību un lietojumprogrammu testēšanas, piekļuves kontroles, audita žurnālu veidošanas un šifrēšanas formalizēšanu kā bāzlīnijas prasības. Piegādātāju un mākoņlietojumprogrammas nav izņēmums: visām jānodrošina droša pieteikšanās, ievades validācija, šifrēšana pārsūtē un glabāšanā, darbību žurnālu veidošana un savlaicīga ielāpu uzstādīšana. Pirms izvietošanas katrai lietojumprogrammai ir jāiziet drošības verifikācija, ko veic iekšējais IT atbalsts nelieliem projektiem vai neatkarīgi vērtētāji sarežģītām sistēmām, un visi ieraksti tiek uzturēti audita gatavības nodrošināšanai. Politika arī definē formālu riska apstrādes un izņēmumu procesu, nodrošinot elastību biznesa vajadzībām, vienlaikus prioritizējot atbilstību juridiskajiem un līgumiskajiem pienākumiem, piemēram, GDPR, NIS2 vai DORA. Katram ar lietojumprogrammām saistītam izņēmumam jābūt pamatotam, jāiziet riska novērtēšana, jāsaņem GM apstiprinājums un jāpārskata vismaz reizi pusgadā. Stingri izpildes pasākumi ietver neatbilstošu lietojumprogrammu apturēšanu, piegādātāju līgumu izbeigšanu un detalizētu žurnālfiksēšanu un ziņošanu, lai atbalstītu gan iekšējās kontroles, gan ārējos auditus. Politikas pārskatīšanas process nodrošina, ka tā saglabā aktualitāti attiecībā uz jauniem draudiem, platformu izmaiņām un regulatīvajām attīstībām, palīdzot MVU turēt līdzi dinamiskai lietojumprogrammu drošības videi.