Politika zahtev za varnost aplikacij

Politika zahtev za varnost aplikacij (P25) zagotavlja celovit organizacijski mandat za vgradnjo robustnih varnostnih kontrol v vsako fazo življenjskega cikla aplikacije. Njen primarni namen je uveljaviti obvezne zahteve za varnost na ravni aplikacij za vso programsko opremo, ki jo organizacija razvije, pridobi, integrira ali uvede. Politika se ne uporablja le za interno razvite rešitve, temveč tudi za SaaS, po meri izdelana orodja in zunanje pridobljena orodja. Ta široka uporabnost zagotavlja, da je vsako tehnološko sredstvo, ki podpira kritične poslovne operacije, dostop strank ali obdelavo reguliranih podatkov, zaščiteno v skladu z načeli varnega razvoja, zakonskimi zahtevami in profilom tveganja organizacije. Z vidika obsega politika pokriva aplikacije v vseh okoljih, vključno z razvojem, testiranjem, stagingom, produkcijskim okoljem in okoljem za obnovitev po nesreči, ne glede na to, ali so gostovane v lastnih prostorih, v zasebnih podatkovnih centrih ali v oblaku. Nabor odgovornih strani je prav tako celovit: od vodje informacijske varnosti (CISO), ki je lastnik politike in jo usklajuje s strategijo organizacije, prek vodij varnosti aplikacij in vodij DevSecOps, odgovornih za opredelitev in validacijo varnostnih kontrol, do razvijalcev, inženirjev, lastnikov produkta, ekip IT operacij ter dobaviteljev tretjih oseb ali dobaviteljev programske opreme. Vsaka skupina mora upoštevati zahteve, s čimer se zagotovi veriga odgovornosti in skladnosti. Ključni cilji politike vključujejo opredelitev osnovnih funkcionalnih in nefunkcionalnih varnostnih zahtev; uveljavljanje varne avtentikacije, avtorizacije in nadzora dostopa; integracijo zaščit, kot so preverjanje vnosa, kodiranje izhoda ter robustno upravljanje napak in sej; ter posebno presojo varnosti API-jev, komponent tretjih oseb in zunanjih integracij. Varstvo podatkov je obravnavano z obveznim šifriranjem, razvrščanjem podatkov in opredeljenimi protokoli hrambe, ob strogi prepovedi nešifriranih poverilnic ali občutljivih podatkov. Politika predpisuje tudi redno varnostno testiranje, vključno s statično in dinamično analizo, pregledom izvorne kode, penetracijskim testiranjem in stalnim spremljanjem skladnosti, za zgodnje odkrivanje in zmanjševanje ranljivosti. Določen je močan okvir upravljanja, ki zahteva dokumentirano varnostno validacijo v fazi načrtovanja ali nabave za vse nove aplikacije, vključitev zahtev v pogodbe in sporazume o ravni storitev (SLAs) ter strukturirano upravljanje izjem na podlagi tveganj. Uporaba varnih tehnologij (vključno s SAST, DAST, IAST in SCA), letno penetracijsko testiranje za aplikacije z visokim tveganjem ter RASP ali WAF, kadar je to utemeljeno s tveganjem, je obvezna. Vse izjeme je treba formalno zahtevati z analizo tveganja, nadomestnimi kontrolami, sanacijskim načrtom in popolno dokumentacijo. Neskladnost ali izogibanje kontrolam lahko povzroči odstranitev aplikacij, začasno ukinitev dostopa ali eskalacijo v človeške vire (HR), pravo in skladnost ali upravljanje dobaviteljev. Politika se pregleda najmanj letno ali kot odziv na varnostne incidente, regulativne spremembe ali večje spremembe v praksah razvoja, vse revizije pa so predmet sistemov za nadzor različic in distribucije ustreznim ekipam. Dokument je nazadnje preslikan na nabor povezanih politik, kot so Politika informacijske varnosti, Politika nadzora dostopa, P05 Politika upravljanja sprememb, politike varstva podatkov, varen razvoj in Politika odzivanja na incidente (P30), s čimer se zagotovi plasten in dosleden pristop k obvladovanju tveganj in skladnosti v podjetju.