Politika požiadaviek na bezpečnosť aplikácií

Politika požiadaviek na bezpečnosť aplikácií (P25) poskytuje komplexný organizačný mandát na zabudovanie robustných bezpečnostných kontrol do každej fázy životného cyklu aplikácie. Jej primárnym účelom je vynucovať povinné požiadavky na bezpečnosť na úrovni aplikačnej vrstvy pre všetok softvér vyvíjaný, obstarávaný, integrovaný alebo nasadzovaný organizáciou. Politika sa vzťahuje nielen na interne vyvíjané riešenia, ale aj na SaaS, na mieru vytvorené a externe obstarané nástroje. Táto široká uplatniteľnosť zabezpečuje, že každé technologické aktívum podporujúce kritické obchodné operácie, prístup zákazníkov alebo spracúvanie regulovaných údajov je chránené v súlade so zásadami bezpečného vývoja, zákonnými požiadavkami a rizikovým profilom organizácie. Z hľadiska rozsahu politika pokrýva aplikácie vo všetkých prostrediach vrátane vývoja, testovania, stagingu, produkčného prostredia a prostredia obnovy po havárii, bez ohľadu na to, či sú hostované vo vlastných priestoroch, v súkromných dátových centrách alebo v cloude. Rozsah zodpovedných strán je tiež komplexný: od riaditeľa informačnej bezpečnosti (CISO), ktorý politiku vlastní a zosúlaďuje so stratégiou organizácie, cez vedúcich bezpečnosti aplikácií a manažérov DevSecOps zodpovedných za definovanie a validáciu bezpečnostných kontrol, až po vývojárov, inžinierov, vlastníkov produktu, tímy prevádzky a dodávateľov tretích strán alebo dodávateľov softvéru. Každá skupina musí dodržiavať požiadavky, čím sa zabezpečí reťazec zodpovednosti a súladu. Kľúčové ciele politiky zahŕňajú definovanie základných funkčných a nefunkčných bezpečnostných požiadaviek; vynucovanie bezpečnej autentifikácie, autorizácie a mechanizmov riadenia prístupu; integráciu ochranných opatrení, ako je validácia vstupov, kódovanie výstupov a robustné riadenie chýb a relácií; a uplatňovanie osobitnej kontroly na bezpečnosť rozhraní API, komponenty tretích strán a externé integrácie. Ochrana údajov je riešená prostredníctvom povinného šifrovania, klasifikácie a definovaných protokolov uchovávania, so striktným zákazom nešifrovaných prihlasovacích údajov alebo citlivých údajov. Politika tiež predpisuje pravidelné bezpečnostné testovanie vrátane statickej a dynamickej analýzy, preskúmania kódu, penetračného testovania a nepretržitého monitorovania s cieľom zabezpečiť včasnú detekciu a zmiernenie zraniteľností. Je špecifikovaný silný rámec správy, ktorý vyžaduje zdokumentovanú bezpečnostnú validáciu vo fáze plánovania alebo obstarávania pre všetky nové aplikácie, zahrnutie požiadaviek do zmlúv a dohôd o úrovni služieb (SLA) a štruktúrované ošetrenie výnimiek založené na riziku. Vyžaduje sa používanie bezpečných technológií (vrátane SAST, DAST, IAST a SCA), ročné penetračné testovanie pre vysokorizikové aplikácie a RASP alebo WAF podľa odôvodnenia rizikom. Akékoľvek výnimky musia byť formálne vyžiadané s analýzou rizík, kompenzačnými kontrolami, plánom nápravných opatrení a úplnou dokumentáciou. Nesúlad alebo obchádzanie kontrol môže viesť k odstráneniu aplikácií, pozastaveniu prístupu alebo eskalácii na HR, právne záležitosti a súlad s predpismi alebo riadenie dodávateľského rizika. Politika sa preskúmava minimálne raz ročne alebo v reakcii na incidenty informačnej bezpečnosti, regulačné zmeny alebo významné zmeny vo vývojových postupoch a všetky revízie podliehajú správe verzií a distribúcii relevantným tímom. Dokument je napokon starostlivo mapovaný na súbor súvisiacich politík, ako sú Politika informačnej bezpečnosti, Politika riadenia prístupu, Politika riadenia zmien, Ochrana a minimalizácia údajov, Bezpečný vývoj a Politika reakcie na incidenty (P30), čím sa zabezpečuje vrstvený a konzistentný prístup k podnikovému riziku a súladu.