Ārpakalpojuma izstrādes politika

Ārpakalpojuma izstrādes politika (P28) izveido visaptverošu ietvaru, lai droši pārvaldītu programmatūras vai sistēmu izstrādes projektus, ko īsteno ārējie piegādātāji, līgumslēdzēji vai aģentūras. Tās galvenais mērķis ir integrēt drošības kontroles pasākumus un pārvaldības mehānismus visā izstrādes dzīves ciklā — no plānošanas un līguma sarunām līdz piegādei, uzraudzībai un pēcsadarbības aktivitātēm. Nosakot skaidri definētu drošības pienākumu kopumu — no piegādātāju pienācīgas pārbaudes un riska novērtējumiem līdz ieviestiem kodēšanas standartiem un līgumiskajām prasībām — politika ir vērsta uz konfidencialitātes, integritātes un pieejamības aizsardzību visai organizācijas izstrādātajai programmatūrai. Politikas darbības joma attiecas uz jebkuru uzņēmuma iniciatīvu, kas ietver trešo pušu izstrādi, tostarp tīmekļa un mobilās lietojumprogrammas, iegultās sistēmas, lietojumprogrammu saskarnes, iekšējās un komerciālās platformas un automatizācijas darbplūsmas. Tā arī regulē jebkuru ārējo subjektu, kam nepieciešama piekļuve organizācijas pirmkodam, testa vidēm vai CI/CD cauruļvadiem. Prasības ir spēkā neatkarīgi no tā, kur un kā piegādātājs darbojas, nodrošinot, ka ģeogrāfiskas vai līgumiskas atšķirības nerada drošības nepilnības. Politikas mērķi ir balstīti uz piegādes ķēdes draudu, juridiskas neatbilstības (piemēram, GDPR vai DORA), intelektuālā īpašuma zādzības un nedrošu kodēšanas prakšu radītās pakļautības riskam mazināšanu, kas var ieviest ievainojamības vai regulatīvo risku. Lai to panāktu, politika piešķir skaidrus pienākumus izpildu vadībai, galvenajam informācijas drošības vadītājam (CISO), iepirkumam un juridisko lietu un atbilstības komandām, projektu un produktu īpašniekiem, informācijas drošības komandai un ārējiem piegādātājiem. Šīs pieejas centrā ir trešo pušu izstrādes reģistrs — vienots patiesības avots visām piegādātāju sadarbībām, piegādātāju pienācīgas pārbaudes konstatējumiem, izņēmumu žurnāliem un līgumu statusiem. Pārvaldības prasības ietver piegādātāju pienācīgu pārbaudi, drošības riska novērtējumu un minimālo līgumisko kontroles pasākumu kopumu, piemēram, drošas kodēšanas ietvaru ievērošanu, drošības testēšanu, intelektuālā īpašuma īpašumtiesību nosacījumus, konfidencialitātes līguma izpildi un audita tiesību noteikumus. Pirmkods tiek pārvaldīts tikai uzņēmuma kontrolētās platformās, ar zaru aizsardzību, līdzinieku pārskatīšanu un stingriem darbinieka atiešanas procesa protokoliem, kas novērš koda noplūdi vai nesankcionētu atkārtotu izmantošanu. Visa trešo pušu piekļuve tiek piešķirta saskaņā ar laikā ierobežotas piekļuves un minimālo privilēģiju principa pārvaldību, uzraudzīta ar audita žurnālu veidošanu un ātri atsaukta pēc sadarbības noslēguma. Ja iespējams, ir jānodrošina piegādātāju repozitoriju integrācija uzņēmuma drošības rīkos koda analīzei, CI/CD politiku piespiedu izpildei un atkāpju pārvaldībai. Izņēmumu pieprasījumi tiek apstrādāti, izmantojot formālu riska apstrādes un apstiprināšanas procesu, ko vada galvenais informācijas drošības vadītājs (CISO), tostarp pamatojuma, riska mazināšanas un trūkumu novēršanas pasākumu termiņu dokumentēšanu. Informācijas drošības komanda veic nepārtrauktu uzraudzību un atbilstības auditus, un pārkāpumu gadījumā tiek piemērota tūlītēja piekļuves atsaukšana, projekta apturēšana, tiesvedība vai disciplinārie pasākumi, kā atbilstoši. Šī politika tiek pārskatīta vismaz reizi gadā vai pēc izmaiņām normatīvajā vidē, reaģēšanas uz incidentiem konstatējumiem vai iekšējā audita rezultātiem. Visas izmaiņas tiek pārvaldītas ar versiju kontroles sistēmām, izziņotas un atsauktas procedūru dokumentācijā. Izmantojot šos mehānismus un ciešu sasaisti ar vadošajiem starptautiskajiem standartiem un juridiskajām prasībām, Ārpakalpojuma izstrādes politika nodrošina, ka trešo pušu programmatūras piegāde saglabājas droša un atbilstoša, aizsargājot organizāciju no mainīgajiem ārpakalpojuma izstrādes riskiem.