Ārpakalpojuma izstrādes politika – MVU

Šī ārpakalpojuma izstrādes politika (dokumenta numurs P28S) ir īpaši izstrādāta mazajiem un vidējiem uzņēmumiem (MVU), nodrošinot pragmatisku ietvaru drošai, atbilstošai un labi pārvaldītai ārpakalpojuma programmatūras izstrādei. Tā ir pilnībā saskaņota ar ISO/IEC 27001:2022, nodrošinot, ka pat organizācijas bez specializētām IT vai drošības komandām var ievērot starptautisko nozares labāko praksi un juridiskos pienākumus, piesaistot ārējos izstrādātājus, ārštata speciālistus vai trešo pušu aģentūras. Politika nosaka skaidras lomas un pienākumus galvenajam izpilddirektoram (GM), kurš ir galvenā pilnvara piegādātāju apstiprināšanai, līgumiskajai uzraudzībai un trūkumu novēršanas pasākumiem, un projekta īpašniekam, kurš atbild par ikdienas koordināciju, funkcionālo validāciju un drošu nodošanu. Uzsverot izpildāmu līgumu, konfidencialitātes līguma un dokumentētu vienošanos par aktīvu īpašumtiesībām un tiesību nodošanu nepieciešamību, politika aizsargā organizācijas no riskiem, piemēram, nedroša koda, neatbilstošas aktīvu īpašumtiesību atkārtotas izmantošanas, datu ekspozīcijas, piegādātāja ieslēgšanas, kā arī neatbilstības regulējumam (tostarp GDPR, NIS2 un DORA). Politikā ir noteikti obligātie pārvaldības kontroles pasākumi, prasot, lai līgumos tiktu noteikti drošas izstrādes pienākumi, GM veiktu regulārus riska novērtējumus, kā arī tiktu pienācīgi pārvaldīti visi sistēmu akreditācijas dati un piekļuve. Drošības prasības aptver izstrādātāja pienākumu izmantot drošas kodēšanas metodes (atsaucoties uz standartiem, piemēram, OWASP Top 10), nodrošināt pilnīgu dokumentāciju, rūpīgi izvēlēties bibliotēkas un stingri aizliegt piekļuves vai uzņēmuma datu saglabāšanu pēc projekta slēgšanas. Visaptverošas procedūras nodrošina, ka katram ārpakalpojuma projektam pirms uzsākšanas tiek veikta piegādātāju pienācīga pārbaude, tas tiek validēts ar funkcionālo un drošības testēšanu (vēlams, lai to veiktu persona, kas nav izstrādātājs), un tas tiek pabeigts tikai pēc pilnīgas pirmkoda, būvēšanas instrukciju un visu akreditācijas datu nodošanas. Politika ir MVU specifiska, izmantojot vienkāršotas lomas, piemēram, galvenais izpilddirektors un IT pakalpojumu sniedzējs, tradicionālo CISO vai SOC amatu vietā. Tas nozīmē, ka tā nodrošina soli pa solim izpildāmas instrukcijas biznesa vai operāciju vadītājiem un ietver riska novērtēšanas procedūras, izņēmumu izsekošanu un reaģēšanas uz incidentiem norādījumus, kas pielāgoti organizācijām bez plašiem tehniskajiem resursiem. Katra piesaiste ir jābalsta uz dokumentētām vienošanām, un audita pēdas ir obligātas, atbalstot regulatīvo ziņošanu un iekšējos pārskatus. GM jāveic ikgadējas un starpposma politikas pārskatīšanas, nodrošinot, ka kontroles pasākumi saglabā aktualitāti attiecībā uz MVU riskiem un mainīgajiem atbilstības standartiem. Ārpakalpojuma izstrādes politika ir daļa no MVU orientētu kontroles pasākumu kopuma, ko paredzēts ieviest kopā ar saistītajām politikām, piemēram, pārvaldības lomām, piekļuves kontroli, drošības izpratnes apmācību, datu aizsardzību, drošu izstrādi un reaģēšanu uz incidentiem, lai holistiski pārvaldītu ārpakalpojuma izstrādes riskus, ievērojot tādus standartus kā ISO/IEC 27001:2022, ISO 27002:2022, GDPR u.c.