Polityka bezpiecznego rozwoju - SME

Polityka bezpiecznego rozwoju (P24S) została opracowana specjalnie dla małych i średnich przedsiębiorstw (SME), ze szczególnym dostosowaniem do organizacji, które nie mają dedykowanych zespołów IT lub bezpieczeństwa. Uwzględniając ograniczenia zasobów typowe dla SME, polityka wyznacza dyrektora generalnego (GM) jako centralny autorytet w zakresie zatwierdzania polityki, wdrożenia, nadzoru nad umowami i zgodności, upraszczając zarządzanie w środowiskach, w których role CISO lub SOC mogą nie istnieć. Pomimo tego uproszczenia polityka pozostaje w pełni zgodna z uznanymi międzynarodowo normami bezpieczeństwa, w szczególności ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, EU NIS2, EU DORA, COBIT 2019 oraz EU GDPR, zapewniając spełnienie zobowiązań dotyczących zgodności bez utraty praktycznej użyteczności. Celem dokumentu jest ustanowienie bazowego zestawu bezpiecznego kodowania i praktyk rozwoju dla całego oprogramowania, skryptów i narzędzi webowych tworzonych lub modyfikowanych przez organizację lub jej partnerów. Obejmuje kompleksowe wymagania bezpieczeństwa dla pełnego zakresu kodu rozwijanego wewnętrznie, w ramach outsourcingu lub dostarczanego przez strony trzecie, w tym wtyczek, komponentów i narzędzi automatyzacji. Zdefiniowany zakres polityki obejmuje każde środowisko wykorzystywane w działaniach rozwojowych: development, staging, środowisko przedprodukcyjne oraz środowisko produkcyjne, a także wprost reguluje, jak dane produkcyjne lub dane wrażliwe są przetwarzane w tych ustawieniach. Wśród kluczowych celów polityka koncentruje się na zapobieganiu błędom bezpieczeństwa na każdym etapie cyklu życia rozwoju oprogramowania. Obejmuje to wymuszone stosowanie standardów bezpiecznego kodowania (takich jak OWASP Top 10), sformalizowane procesy przeglądu kodu, obowiązkowe testy bezpieczeństwa przed wydaniem oraz kontrolowany dostęp do wszystkich systemów rozwojowych i produkcyjnych. Polityka wprowadza jednoznaczne wymagania dotyczące zarządzania dostawcami i stronami trzecimi, w tym klauzule bezpieczeństwa w umowach, walidację komponentów stron trzecich pod kątem podatności i licencjonowania oraz regularne śledzenie lub audytowanie zgodności poprzez utrzymywane artefakty i dokumentację. Aby zapewnić rozliczalność na co dzień, zdefiniowano uproszczone role i odpowiedzialności: dyrektor generalny nadzoruje i zatwierdza wszystkie działania bezpieczeństwa rozwoju, programiści wewnętrzni i właściciele aplikacji stosują bezpieczne praktyki i raportowanie, zewnętrzni dostawcy są umownie związani zobowiązaniami bezpieczeństwa i wymaganymi testami, a dostawcy IT lub administratorzy IT zarządzają bezpiecznym dostępem i wdrożeniami, egzekwując rozdzielenie środowisk. Integralną częścią tej polityki SME jest ustrukturyzowane postępowanie z ryzykiem oraz proces zarządzania wyjątkami. Wszelkie odstępstwa od bezpiecznych praktyk lub ryzyka, których nie można natychmiast zremediować, muszą zostać formalnie poddane ocenie ryzyka i zatwierdzone przez dyrektora generalnego, z okresową ponowną oceną w celu zarządzania zmianami w profilu ryzyka. Polityka ustanawia również silne kontrole egzekwowania i zgodności oraz gotowość do audytu, wymagając, aby wszystkie listy kontrolne, zatwierdzenia przeglądów, wyniki testów i wykazy były bezpiecznie przechowywane i niezwłocznie dostępne na potrzeby audytów ISO, przeglądów regulacyjnych lub zapytań klientów. Na koniec wymagania dotyczące przeglądu i aktualizacji zapewniają, że polityka pozostaje aktualna wraz z rozwojem technologii, frameworków i zmian regulacyjnych, demonstrując proaktywne podejście do bezpieczeństwa organizacyjnego i zgodności regulacyjnej w sektorze SME.