Politika zunanjega izvajanja razvoja

Politika zunanjega izvajanja razvoja (P28) vzpostavlja celovit okvir za varno upravljanje projektov razvoja programske opreme ali sistemov, ki jih izvajajo zunanji dobavitelji, pogodbeni izvajalci ali agencije. Njen glavni namen je vgraditi varnostne kontrole in mehanizme upravljanja skozi celoten življenjski cikel razvoja, od načrtovanja in pogajanj o pogodbi do dostave, spremljanja in dejavnosti po zaključku sodelovanja. Z zahtevo po jasno opredeljenem naboru varnostnih obveznosti – od skrbnega pregleda dobaviteljev in ocen tveganja do uveljavljenih standardov kodiranja in pogodbenih zahtev – politika varuje zaupnost, celovitost, razpoložljivost vse programske opreme, razvite za organizacijo. Obseg politike se razteza na vsako pobudo podjetja, ki vključuje razvoj s strani tretjih oseb, vključno s spletnimi in mobilnimi aplikacijami, vdelanimi sistemi, vmesniki za aplikacijsko programiranje, internimi in komercialnimi platformami ter delovnimi tokovi avtomatizacije. Posebej ureja tudi vsako zunanjo entiteto, ki potrebuje dostop do izvorne kode organizacije, testnih okolij ali CI/CD cevovodov. Zahteve veljajo ne glede na to, kje ali kako dobavitelj deluje, s čimer se zagotovi, da geografske ali pogodbene razlike ne ustvarjajo varnostnih vrzeli. Cilji politike temeljijo na zmanjševanju izpostavljenosti grožnjam dobavne verige, pravni neskladnosti (npr. z GDPR ali DORA), kraji intelektualne lastnine in praksam nevarnega kodiranja, ki bi lahko uvedle ranljivosti ali regulativno tveganje. Za dosego tega dodeli izrecne odgovornosti izvršnemu vodstvu, vodji informacijske varnosti (CISO), nabavi ter pravu in skladnosti, lastnikom projektov in produktov, ekipi za informacijsko varnost ter zunanjim dobaviteljem. Osrednji element pristopa je register razvoja s strani tretjih oseb, ki predstavlja enotni vir resnice za vsa sodelovanja z dobavitelji, ugotovitve skrbnega pregleda dobaviteljev, dnevnike izjem in statuse pogodb. Zahteve upravljanja vključujejo skrbni pregled dobaviteljev, oceno tveganja in nabor minimalnih pogodbenih kontrol, kot so upoštevanje okvirov varnega programiranja, varnostno testiranje, specifikacije lastništva intelektualne lastnine, izvedba pogodbe o nerazkrivanju informacij in določila o pravici do revizije. Izvorna koda se upravlja izključno prek platform pod nadzorom podjetja, pri čemer zaščita vej, medsebojni strokovni pregled in strogi protokoli postopka izstopa preprečujejo uhajanje kode ali nepooblaščeno ponovno uporabo. Ves dostop tretjih oseb se dodeljuje v okviru upravljanja z načelom najmanjših privilegijev in časovno omejenim dostopom, spremlja se prek revizijskih dnevnikov in se hitro prekliče ob zaključku sodelovanja. Kadar je izvedljivo, je zahtevana integracija repozitorijev dobaviteljev v varnostna orodja podjetja za analizo kode, uveljavljanje politik CI/CD in upravljanje odstopanj. Zahtevki za izjeme se obravnavajo prek formalnega procesa obravnave tveganja in odobritve, ki ga vodi vodja informacijske varnosti (CISO), vključno z dokumentiranjem utemeljitve, ukrepov za ublažitev in časovnic sanacije. Ekipa za informacijsko varnost izvaja stalno spremljanje in presoje skladnosti, pri čemer lahko kršitve povzročijo takojšen preklic dostopa, začasno ustavitev projekta, pravne ukrepe ali disciplinske ukrepe, kot je ustrezno. Politika se pregleda najmanj letno ali po spremembah regulativnega okolja, ugotovitvah odziva na incidente ali izhodih notranje revizije. Vse spremembe so pod nadzorom različic, komunicirane in navedene v postopkovni dokumentaciji. S temi mehanizmi in tesno preslikavo na vodilne mednarodne standarde in pravne zahteve Politika zunanjega izvajanja razvoja zagotavlja, da dostava programske opreme s strani tretjih oseb ostane varna in skladna ter ščiti organizacijo pred razvijajočimi se tveganji zunanjega izvajanja razvoja.