Politika zahtev za varnost aplikacij – SME

Politika zahtev za varnost aplikacij (P25S) vzpostavlja obvezen okvir za zavarovanje vseh programskih aplikacij in sistemov v organizaciji, ne glede na to, ali so razviti interno ali pridobljeni od dobaviteljev in ponudnikov storitev v oblaku. Politika je usklajena z mednarodno priznanimi standardi in regulativnimi okviri, kot so ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, EU GDPR, EU NIS2, EU DORA in COBIT 2019, ter zagotavlja celovito pokritost za skladnost in operativno odpornost. Kot namenska politika za SME, jasno označena s črko »S« v številki dokumenta (P25S), je posebej prilagojena organizacijam brez velikih, specializiranih ekip za informacijsko varnost, kot so analitiki centra za varnostne operacije (SOC) ali vodja informacijske varnosti (CISO). Namesto tega je odgovornost centralizirana pri GM, ki mora politiko odobriti, nadzorovati skladnost, pregledovati izjeme in zagotoviti, da vsa programska oprema, bodisi interna bodisi zunanje zagotovljena, izpolnjuje nabor osnovnih varnostnih zahtev. Ta pristop omogoča SME doseganje robustnega profila tveganja brez potrebe po obsežnih tehničnih ekipah, saj se opira na jasne kontrolne sezname in potrdila o skladnosti dobaviteljev. Obseg politike se razteza na vse aplikacije, ki obdelujejo, shranjujejo ali prenašajo občutljive poslovne ali osebne podatke, ne glede na izvor razvoja ali platformo. Vloge in odgovornosti so poenostavljene: GM je odgovoren za uveljavljanje politike; lastniki aplikacij (če so določeni) preverjajo potrebne kontrole in sodelujejo pri pregledih; razvijalci in ponudniki IT izvajajo kontrole in izvajajo testiranje; dobavitelji pa morajo pogodbeno izpolnjevati standarde organizacije. To zagotavlja celovito pokritost brez preobremenjevanja majhnih ekip. Ključni cilji vključujejo vgradnjo preverljivih varnostnih kontrol v vsako aplikacijo, zaščito zaupnosti, celovitosti, razpoložljivosti podatkov ter formalizacijo testiranja aplikacij, nadzora dostopa, revizijskega beleženja in šifriranja kot osnovnih zahtev. Aplikacije dobaviteljev in aplikacije v oblaku niso izvzete: vse morajo vključevati varno prijavo, validacijo vnosa, šifriranje med prenosom in v mirovanju, beleženje dejavnosti ter hitro upravljanje popravkov. Pred uvedbo mora vsaka aplikacija prestati varnostno preverjanje, ki ga za manjše projekte izvede interna IT podpora, za kompleksne sisteme pa neodvisni ocenjevalci, pri čemer se vsi zapisi hranijo za pripravljenost na revizijo. Politika opredeljuje tudi formalni proces obravnave tveganja in upravljanje izjem, ki omogoča prilagodljivost poslovnim potrebam, hkrati pa daje prednost skladnosti z zakonskimi in pogodbenimi obveznostmi, kot so GDPR, NIS2 ali DORA. Vsaka izjema, povezana z aplikacijami, mora biti utemeljena, ocenjena, odobrena s strani GM in pregledana najmanj polletno. Strogi ukrepi uveljavljanja vključujejo začasno ustavitev neskladnih aplikacij, prekinitev pogodb z dobavitelji ter podrobno beleženje in poročanje za podporo notranjim kontrolam in zunanjim revizijam. Postopek pregleda politike zagotavlja, da ostaja aktualna glede novih groženj, sprememb platform in regulativnih razvojnih trendov, kar SME pomaga slediti dinamičnemu okolju varnosti aplikacij.