Politika outsourcovaného vývoja

Politika outsourcovaného vývoja (P28) stanovuje komplexný rámec na bezpečné riadenie projektov vývoja softvéru alebo systémov realizovaných externými dodávateľmi, dodávateľmi alebo agentúrami. Jej hlavným účelom je zaviesť bezpečnostné opatrenia a mechanizmy správy počas celého životného cyklu vývoja – od plánovania a rokovania o zmluve až po dodanie, monitorovanie a činnosti po ukončení spolupráce. Nariadením jasne definovaného súboru bezpečnostných povinností – od due diligence dodávateľov a posúdení rizík až po vynucované štandardy kódovania a zmluvné požiadavky – politika chráni dôvernosť, integritu a dostupnosť všetkého softvéru vyvíjaného pre organizáciu. Rozsah politiky sa vzťahuje na každú iniciatívu spoločnosti, ktorá zahŕňa vývoj tretími stranami, vrátane webových a mobilných aplikácií, vložených systémov, rozhraní API, interných a komerčných platforiem a automatizačných pracovných tokov. Zároveň upravuje každú externú entitu, ktorá vyžaduje prístup k zdrojovému kódu organizácie, testovacím prostrediam alebo CI/CD pipelinom. Požiadavky sa uplatňujú bez ohľadu na to, kde alebo ako dodávateľ pôsobí, čím sa zabezpečuje, že geografické alebo zmluvné rozdiely nevytvoria bezpečnostné medzery. Ciele politiky vychádzajú z minimalizácie expozície voči hrozbám dodávateľského reťazca, právnemu nesúladu (napr. s GDPR alebo DORA), krádeži duševného vlastníctva a nezabezpečeným praktikám kódovania, ktoré by mohli zaviesť zraniteľnosti alebo regulačné riziko. Na dosiahnutie týchto cieľov politika priraďuje explicitné zodpovednosti vrcholovému vedeniu, riaditeľovi informačnej bezpečnosti (CISO), obstarávaniu a právnym záležitostiam a súladu s predpismi, vlastníkom projektov a produktov, tímu informačnej bezpečnosti a externým dodávateľom. Kľúčovým prvkom je Register vývoja tretími stranami ako jediný zdroj pravdy pre všetky zapojenia dodávateľov, zistenia due diligence dodávateľov, záznamy o výnimkách z politík a stavy zmlúv. Požiadavky správy zahŕňajú due diligence dodávateľov, posúdenie bezpečnostných rizík a súbor minimálnych zmluvných kontrol, ako je dodržiavanie rámcov bezpečného programovania, bezpečnostné testovanie, špecifikácie vlastníctva IP, vykonanie dohody o mlčanlivosti a podmienky práva na audit. Zdrojový kód sa spravuje výlučne prostredníctvom platforiem kontrolovaných podnikom, pričom ochrana vetiev, vzájomné hodnotenie a prísne protokoly offboardingu bránia úniku kódu alebo neoprávnenému opätovnému použitiu. Všetok prístup tretích strán sa zriaďuje ako časovo obmedzený prístup v súlade so zásadou minimálnych oprávnení, je monitorovaný prostredníctvom auditných záznamov a je rýchlo odobratý po ukončení spolupráce. Integrácia repozitárov dodávateľov do podnikových bezpečnostných nástrojov na analýzu kódu, vynucovanie politík CI/CD a riadenie odchýlok sa vyžaduje vždy, keď je to realizovateľné. Žiadosti o výnimku sa riešia prostredníctvom formálneho procesu ošetrenia rizík a schvaľovania vedeného riaditeľom informačnej bezpečnosti (CISO), vrátane dokumentácie odôvodnenia, zmierňujúcich opatrení a lehôt nápravných opatrení. Tím informačnej bezpečnosti vykonáva priebežné monitorovanie a audity súladu, pričom porušenia môžu viesť k okamžitému odňatiu prístupových práv, pozastaveniu projektu, právnym krokom alebo disciplinárnym opatreniam podľa potreby. Táto politika sa preskúmava minimálne raz ročne alebo po zmenách regulačného prostredia, zisteniach z reakcie na incidenty alebo výstupoch z vnútorného auditu. Všetky zmeny sú spravované v systémoch správy verzií, komunikované a odkazované v dokumentácii postupov. Prostredníctvom týchto mechanizmov a úzkeho mapovania na popredné medzinárodné normy a právne požiadavky Politika outsourcovaného vývoja zabezpečuje, že dodávky softvéru tretími stranami zostanú bezpečné a v súlade, čím chráni organizáciu pred vyvíjajúcimi sa rizikami outsourcovaného vývoja.