Skip to main content

8.30 Rozwój systemów zlecony na zewnątrz

Rodzaj kontroli: Informacja
Właściwości bezpieczeństwa: Prewencyjne, Detekcyjne, Poufność, Integralność, Dostępność
Koncepcje cyberbezpieczeństwa: Ochrona, Bezpieczeństwo aplikacji, Relacje z dostawcami, Zarządzanie i ekosystem
Obszary operacyjne: Ochrona, Zarządzanie relacjami z dostawcami

Kontrola

Organizacja powinna kierować, monitorować i przeglądać działania związane z rozwojem systemów zlecanych na zewnątrz.

Cel

Zapewnienie, że wymagania dotyczące bezpieczeństwa informacji wymagane przez organizację są wdrażane w ramach zleconego rozwoju systemów.

Wytyczne

W przypadku, gdy rozwój systemów jest zlecany na zewnątrz, organizacja powinna komunikować i uzgadniać wymagania oraz oczekiwania, a następnie nieustannie monitorować i przeglądać, czy realizacja zleconych prac spełnia te oczekiwania. Należy rozważyć następujące punkty w całym łańcuchu dostaw organizacji:

a) umowy licencyjne, prawa własności kodu i prawa własności intelektualnej dotyczące zlecanej treści (patrz 5.32);
b) wymagania umowne dotyczące bezpiecznego projektowania, kodowania i testowania (patrz 8.25 do 8.29);
c) dostarczenie modelu zagrożeń do rozważenia przez zewnętrznych deweloperów;
d) testowanie akceptacyjne w celu weryfikacji jakości i dokładności dostarczonych prac (patrz 8.29);
e) dostarczenie dowodów, że ustanowiono minimalne akceptowalne poziomy zdolności bezpieczeństwa i prywatności (np. raporty zapewnienia);
f) dostarczenie dowodów, że przeprowadzono wystarczające testy w celu ochrony przed obecnością złośliwego oprogramowania (zarówno celowego, jak i niezamierzonego) przy dostawie;
g) dostarczenie dowodów, że przeprowadzono wystarczające testy w celu ochrony przed obecnością znanych podatności;
h) umowy depozytowe na kod źródłowy oprogramowania (np. jeśli dostawca zbankrutuje);
i) prawo umowne do audytu procesów rozwoju i kontroli;
j) wymagania bezpieczeństwa dla środowiska rozwoju (patrz 8.31);
k) uwzględnienie obowiązujących przepisów prawnych (np. dotyczących ochrony danych osobowych).

Inne informacje

Dodatkowe informacje na temat relacji z dostawcami można znaleźć w serii ISO/IEC 27036.