policy Enterprise

Lietojumprogrammu drošības prasību politika

Definējiet stingras lietojumprogrammu drošības prasības, kas aptver drošu izstrādi, datu aizsardzību un atbilstību visām organizācijas lietojumprogrammām.

Pārskats

Šī politika nosaka obligātās drošības prasības visām organizācijas lietojumprogrammām, nodrošinot drošu izstrādi, izvietošanu un darbību saskaņā ar globālajiem standartiem.

Visaptverošs pārklājums

Attiecas uz visām iekšēji izstrādātajām, trešo pušu un SaaS lietojumprogrammām visās vidēs un komandās.

Drošības integrācija dzīves ciklā

Nodrošina kontroles pasākumu izpildi, testēšanu un validēšanu no plānošanas līdz pēcieviešanas posmam, lai mazinātu ievainojamības.

Pārvaldība un atbilstība

Saskaņota ar globāliem standartiem, piemēram, ISO 27001, GDPR, NIS2 un DORA, lai nodrošinātu apliecinājumu un audita gatavību.

Skaidras lomas un pārskatatbildība

Definē drošības pienākumus izstrādei, operācijām, produktam un trešo pušu ieinteresētajām pusēm.

Lasīt pilnu pārskatu
Lietojumprogrammu drošības prasību politika (P25) nodrošina visaptverošu organizācijas mandātu, lai katrā lietojumprogrammas dzīves cikla posmā integrētu stingrus drošības kontroles pasākumus. Tās galvenais mērķis ir ieviest obligātās lietojumprogrammu slāņa drošības prasības visai programmatūrai, ko organizācija izstrādā, iegādājas, integrē vai izvieto. Politika attiecas ne tikai uz iekšēji izstrādātiem risinājumiem, bet arī uz SaaS, pielāgotiem un ārēji iegūtiem rīkiem. Šī plašā piemērojamība nodrošina, ka katrs tehnoloģiskais aktīvs, kas atbalsta kritiskus biznesa procesus, klientu piekļuvi vai reglamentētu datu apstrādi, tiek aizsargāts saskaņā ar drošas izstrādes principiem, juridiskajām prasībām un organizācijas riska stāvokli. Piemērošanas jomas ziņā politika aptver lietojumprogrammas visās vidēs, tostarp izstrādes, testēšanas, staging, ražošanas vidē un avārijas atjaunošanas vidē, neatkarīgi no tā, vai tās ir izvietotas uz vietas, privātos datu centros vai mākonī. Atbildīgo pušu loks ir arī visaptverošs: no galvenā informācijas drošības vadītāja (CISO), kurš ir politikas īpašnieks un saskaņo to ar organizācijas stratēģiju, līdz lietojumprogrammu drošības vadītājiem un DevSecOps vadītājiem, kas atbild par drošības kontroles pasākumu definēšanu un kontroles validāciju, kā arī izstrādātājiem, inženieriem, produktu īpašniekiem, operāciju komandām un trešo pušu piegādātājiem vai programmatūras piegādātājiem. Katrai grupai ir jāievēro prasības, nodrošinot pārskatatbildības un atbilstības ķēdi. Politikas galvenie mērķi ietver bāzlīnijas funkcionālo un nefunkcionālo drošības prasību definēšanu; drošas autentifikācijas, autorizācijas un piekļuves kontroles mehānismu ieviešanu; aizsardzības pasākumu integrēšanu, piemēram, ievades validāciju, izvades kodēšanu un stingru kļūdu un sesiju pārvaldību; kā arī īpašu uzmanību API drošībai, trešo pušu komponentēm un ārējām integrācijām. Datu aizsardzība tiek nodrošināta ar obligātu šifrēšanu, datu klasifikāciju un definētiem uzglabāšanas protokoliem, ar stingru aizliegumu izmantot nešifrētus autentifikācijas datus vai sensitīvus datus. Politika arī nosaka regulāru drošības testēšanu, tostarp statisko un dinamisko analīzi, koda pārskatīšanu, penetrācijas testēšanu un nepārtrauktu atbilstības uzraudzību, lai nodrošinātu savlaicīgu ievainojamību atklāšanu un riska mazināšanu. Tiek noteikts stingrs pārvaldības ietvars, kas prasa dokumentētu drošības validāciju plānošanas vai iepirkuma posmā visām jaunām lietojumprogrammām, prasību iekļaušanu līgumos un pakalpojumu līmeņa vienošanās (SLA), kā arī strukturētu uz risku balstītu izņēmumu apstrādi. Ir obligāta drošu tehnoloģiju izmantošana (tostarp SAST, DAST, IAST un SCA), ikgadēja pen testēšana augsta riska lietojumprogrammām, kā arī RASP vai WAF izmantošana, ja to pamato risks. Jebkuri izņēmumi ir formāli jāpieprasa, pievienojot riska analīzi, kompensējošās kontroles, trūkumu novēršanas plānu un pilnu dokumentāciju. Neatbilstība vai kontroles pasākumu apiešana var izraisīt lietojumprogrammu izņemšanu, piekļuves apturēšanu vai eskalāciju uz personālvadību, juridiskajām lietām un atbilstību vai piegādātāju pārvaldību. Politika tiek pārskatīta vismaz reizi gadā vai reaģējot uz drošības incidentiem, regulatīvajām izmaiņām vai būtiskām izmaiņām izstrādes praksēs, un visi grozījumi ir pakļauti versiju kontroles sistēmai un izplatīšanai attiecīgajām komandām. Visbeidzot, dokuments ir rūpīgi sasaistīts ar saistīto politiku kopumu, piemēram, P01 Informācijas drošības politika, Piekļuves kontroles politika, P05 Izmaiņu pārvaldības politika, Datu aizsardzības politikas, drošas izstrādes un Incidentu reaģēšanas politika (P30), nodrošinot slāņainu un konsekventu pieeju uzņēmuma riskam un atbilstībai.

Politikas diagramma

Diagramma, kas ilustrē ar politiku vadītus lietojumprogrammu drošības procesus no prasību definēšanas, drošas ieviešanas un testēšanas līdz izņēmumu apstrādei, izvietošanas validācijai un nepārtrauktai atbilstības uzraudzībai.

Noklikšķiniet uz diagrammas, lai skatītu pilnā izmērā

Saturs

Piemērošanas joma un iesaistes noteikumi

Obligātās drošības funkcijas un kontroles pasākumi

Drošas API un integrācijas prasības

Autentifikācijas un piekļuves kontroles saskaņošana

Koda drošības testēšanas metodoloģija

Izņēmumu un riska apstrādes process

Atbilstība ietvaram

🛡️ Atbalstītie standarti un ietvari

Šis produkts ir saskaņots ar šādiem atbilstības ietvariem ar detalizētu klauzulu un kontroles kartēšanu.

Ietvars Aplūkotās klauzulas / Kontroles
ISO/IEC 27001:2022
8.1
ISO/IEC 27002:2022
8.258.26
NIST SP 800-53 Rev.5
SA-11SA-15SI-10
EU GDPR
2532
EU NIS2
21(2)(f)23
EU DORA
911
COBIT 2019
BAI03BAI09DSS05
ISO/IEC 27001:2022
8.1
ISO/IEC 27002:2022
8.258.26
NIST SP 800-53 Rev.5
SA-11SA-15SI-10
EU GDPR
2532
EU NIS2
21(2)(f)23
EU DORA
911
COBIT 2019
BAI03BAI09DSS05

Saistītās politikas

Informācijas drošības politika

Nosaka pamatu sistēmu un datu aizsardzībai, saskaņā ar kuru ir nepieciešami lietojumprogrammu līmeņa kontroles pasākumi, lai novērstu nesankcionētu piekļuvi, datu noplūdi un ekspluatāciju.

Piekļuves kontroles politika

Definē identitātes un sesiju pārvaldības standartus, kas jāievieš visām lietojumprogrammām, tostarp stingru autentifikāciju, minimālo privilēģiju principu un piekļuves tiesību pārskatīšanas prasības.

Izmaiņu pārvaldības politika

Regulē lietojumprogrammu koda un konfigurācijas iestatījumu ieviešanu ražošanas vidēs, nodrošinot, ka nesankcionētas/neplānotas izmaiņas vai nepārbaudītas izmaiņas tiek bloķētas.

Datu aizsardzības un privātuma politika

Prasa lietojumprogrammām ieviest privacy-by-design un nodrošināt likumīgu informācijas apstrādi, šifrēšanu un datu uzglabāšanu personas datiem un sensitīviem datiem visās vidēs.

Drošas izstrādes politika

Nodrošina plašāku ietvaru drošības integrēšanai SDLC, kurā šī politika definē konkrētās prasības un tehnoloģiskos kontroles pasākumus, kas jāievieš lietojumprogrammu slānī.

Incidentu reaģēšanas politika

Nosaka strukturētu lietojumprogrammu drošības incidentu apstrādi, tostarp ievainojamības, kas identificētas pēc izvietošanas vai pen testēšanas laikā, un apraksta eskalācijas, ierobežošanas un atjaunošanas procedūras.

Par Clarysec politikām - Lietojumprogrammu drošības prasību politika

Efektīva drošības pārvaldība prasa vairāk nekā tikai tekstu; tā prasa skaidrību, pārskatatbildību un struktūru, kas mērogojas līdz ar jūsu organizāciju. Vispārīgas veidnes bieži neizdodas, radot neskaidrības ar gariem rindkopu blokiem un nedefinētām lomām. Šī politika ir izstrādāta kā jūsu drošības programmas operatīvais pamats. Mēs piešķiram pienākumus konkrētām lomām, kas sastopamas mūsdienīgā uzņēmumā, tostarp galvenajam informācijas drošības vadītājam (CISO), IT un informācijas drošības komandām un attiecīgajām komitejām, nodrošinot skaidru pārskatatbildību. Katra prasība ir unikāli numurēta klauzula (piem., 5.1.1, 5.1.2). Šī atomārā struktūra padara politiku viegli ieviešamu, auditējamu pret konkrētiem kontroles pasākumiem un droši pielāgojamu, neietekmējot dokumenta integritāti, pārveidojot to no statiska dokumenta par dinamisku, praktiski īstenojamu ietvaru.

Iebūvēta izņēmumu pārvaldība

Formālas izņēmumu pieprasīšanas procesa darbplūsmas ar kompensējošajām kontrolēm, riska analīzi un obligātu risku reģistra izsekošanu.

Tehnoloģisko kontroles pasākumu detalizācija

Apraksta precīzas prasības autentifikācijai, ievades validācijai, audita žurnālu veidošanai un šifrēšanai, pielāgotas katram lietojumprogrammas tipam.

Obligāta koda un drošības testēšana

Prasa SAST, DAST, SCA, penetrācijas testus un audita pēdas katrai kritiskai vai ārēji ekspozētai lietojumprogrammai.

Biežāk uzdotie jautājumi

Izstrādāts līderiem, līderu veidots

Šo politiku ir izstrādājis drošības līderis ar vairāk nekā 25 gadu pieredzi ISMS ietvaru ieviešanā un auditēšanā globālos uzņēmumos. Tā ir paredzēta ne tikai kā dokuments, bet kā aizstāvams ietvars, kas iztur auditoru pārbaudi.

Izstrādājis eksperts ar šādām kvalifikācijām:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Pārklājums un tēmas

🏢 Mērķa departamenti

IT drošība atbilstība izstrāde

🏷️ Tematiskais pārklājums

drošas izstrādes dzīves cikls lietojumprogrammu drošības prasības atbilstības pārvaldība risku pārvaldība drošības testēšana Datu aizsardzība
€49

Vienreizējs pirkums

Tūlītēja lejupielāde
Mūža atjauninājumi
Application Security Requirements Policy

Produkta informācija

Veids: policy
Kategorija: Enterprise
Standarti: 14