Drošas izstrādes politika – MVU

Drošas izstrādes politika (P24S) ir īpaši izstrādāta mazajiem un vidējiem uzņēmumiem (MVU), ar īpašu pielāgojumu organizācijām, kurām nav atsevišķu IT vai drošības komandu. Ņemot vērā MVU resursu ierobežojumus, politika nosaka galveno izpilddirektoru (GM) kā centrālo pilnvaroto personu politikas apstiprināšanai, ieviešanai, līgumu uzraudzībai un atbilstībai, vienkāršojot pārvaldību vidēs, kur CISO vai Drošības operāciju centra (SOC) lomas var nepastāvēt. Neskatoties uz šo vienkāršošanu, politika ir pilnībā saskaņota ar starptautiski atzītiem drošības standartiem, tostarp ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, ES NIS2, ES DORA, COBIT 2019 un ES GDPR, nodrošinot, ka atbilstības pienākumi tiek izpildīti, nezaudējot praktisku piemērojamību. Šī dokumenta mērķis ir noteikt pamatlīnijas drošas kodēšanas un izstrādes prakses visai programmatūrai, skriptiem un tīmekļa rīkiem, ko organizācija vai tās partneri izveido vai modificē. Tas piemēro visaptverošas drošības prasības visam iekšēji izstrādātajam, ārpakalpojumā nodotajam vai trešo pušu piegādātajam kodam, tostarp spraudņiem, komponentiem un automatizācijas rīkiem. Politikas definētā darbības joma aptver katru vidi, kas iesaistīta izstrādes darbībās — izstrādes, testēšanas, pirmsprodukcijas un ražošanas vidi — un īpaši reglamentē, kā šajos iestatījumos tiek apstrādāti sensitīvi vai ražošanas dati. Starp galvenajiem mērķiem politika koncentrējas uz drošības trūkumu novēršanu katrā sistēmu izstrādes dzīves cikla posmā. Tas ietver obligātu drošas kodēšanas standartu izmantošanu (piemēram, OWASP Top 10), formalizētus koda pārskatīšanas procesus, obligātu drošības testēšanu pirms laidiena un kontrolētu piekļuvi visām izstrādes un ražošanas sistēmām. Politika ievieš skaidras prasības piegādātāju un trešo pušu pārvaldībai, tostarp līgumiskas drošības klauzulas, trešo pušu komponentu ievainojamību un licencēšanas validāciju, kā arī regulāru atbilstības izsekošanu vai auditēšanu, saglabājot artefaktus un dokumentāciju. Ikdienas pārskatatbildībai ir definētas vienkāršotas lomas un pienākumi: galvenais izpilddirektors uzrauga un apstiprina visas drošas izstrādes darbības; iekšējie izstrādātāji un lietojumprogrammu īpašnieki ievēro drošas prakses un ziņošanu; ārējie piegādātāji ir līgumiski saistīti ar drošības saistībām un obligātu testēšanu; IT pakalpojumu sniedzēji vai IT administratori pārvalda drošu piekļuvi un izvietošanu, nodrošinot vides nodalīšanu. Šīs MVU politikas neatņemama daļa ir strukturēts riska apstrādes un izņēmumu process. Jebkādas atkāpes no drošām praksēm vai riski, kurus nevar nekavējoties novērst, ir formāli jānovērtē un jāapstiprina galvenajam izpilddirektoram, ar periodisku atkārtotu izvērtēšanu, lai pārvaldītu izmaiņas riska stāvoklī. Politika arī nosaka stingras izpildes un audita gatavības kontroles, pieprasot, lai visi kontrolsaraksti, pārskatīšanas apstiprinājumi, testēšanas rezultāti un uzskaites tiktu droši glabāti un nekavējoties pieejami ISO auditiem, normatīvo prasību pārskatīšanai vai klientu pieprasījumiem. Visbeidzot, pārskatīšanas un atjaunināšanas prasības nodrošina, ka politika saglabā aktualitāti, ņemot vērā mainīgās izstrādes tehnoloģijas, ietvarus un regulatīvās izmaiņas, demonstrējot proaktīvu pieeju organizācijas drošībai un regulatīvajai atbilstībai MVU sektorā.