Васил Василев, ISMS Coordinator & Data Protection Officer на TINQIN, разяснява как ISO/IEC 27001:2022 подобрява разработката на софтуер и кои промени са най-важни за архитектите и инженерите в сектора. TINQIN е сертифицирана по ISO/IEC 27001:2022 и работи с водещи европейски компании в индустрии с високи регулаторни и сертификационни изисквания.
DPO: Новата версия от 2022 г. е първата голяма актуализация след 2013. Тя отчита нови аспекти на сигурността в съвременните процеси, като същевременно опростява и обединява част от контролите. Анекс A премина от 114 към 93 контрола, групирани в четири теми: организационни, хора, физически и технологични. Структурата е по-ясна и се картографира по-лесно към ежедневните дейности в SDLC. За екипите това означава по-добра видимост и по-точно съответствие към целите.
DPO: Започнете с A.8.25 Secure development life cycle, A.8.28 Secure coding, A.8.29 Security testing in development and acceptance. Добавете A.5.7 Threat intelligence, A.5.23 Cloud services и A.8.9 Configuration management. Комбинацията води до secure by design, по-високо качество на кода, автоматизирано тестване и по-добра облачна хигиена.
DPO: Ние дефинираме функционални и нефункционални изисквания за сигурност още в началото и ги добавяме в общите технически спецификации. Поддържаме отделни среди (dev, test, prod). Достъпът на програмистите до сървърите на клиентите е ограничен, затова за тестове използваме маскирани или синтетични данни. В repo-тата прилагаме signed commits, branch protection и secret scanning. CI/CD изпълнява SAST, SCA, при нужда DAST или IAST. Обучението покрива secure coding, специфичен за нашите технологичните платформи и инструменти. Допълнително имаме изготвени и Secure Coding Принципи, които улесняват създаването на еднаква рамка между различните проекти / продукти, по които работим.
DPO: Започваме още със спецификацията и дизайна. Реферираме OWASP Top 10 за най-честите рискове и NIST SSDF, SP 800-218, за практики като threat modeling, управление на зависимости и build integrity. Тези източници се връзват добре с намерението на ISO 27001 контролите. Освен това изискването на GDPR за privacy by design и by default (чл. 25) е напълно съвместимо с този подход.
DPO: Изпълняваме continuous scanning, съгласуван с A.8.26, A.8.29 и целите за vulnerability management. Комбинираме автоматизирани проверки с целеви тестове (penetration tests). Всички резултати се проследяват от откриване до затваряне, като доказателствата са документирани в системите за управление на проекти.
DPO: В договорите включваме клаузи за информационна сигурност, право на одит, задължения по защита на данните и уведомяване при инцидент. Доставчиците декларират практики за сигурно програмиране и CI/CD контроли. Достъпът до клиентски данни е минимален и логван. За подизпълнители изискваме разделение на средите и маскирани данни, проверяваме го при старта на работа и периодично. Така осигуряваме на клиентите реална увереност, че сигурността не е обещание, а практика.
DPO: С A.5.23 Cloud services отговорностите са по-ясни. Имаме рамка, която свързва shared responsibility модела на доставчика с нашите политики, configuration baselines, encryption, key management и logging. Контролът обхваща кода на приложението и на инфраструктурата, в съответствие с A.8.9 Configuration management.
DPO: Крайният срок за преход е 31 октомври 2025. Екипите трябва да направят gap assessment, да актуализират Декларацията за приложимост и да приоритизират промени в SDLC, разделение на среди, CI/CD контроли, cloud контроли и обучение.
DPO: Тя намалява непредсказуемите отклонения. Осигурява последователно обработване на изискванията, стабилен автоматизиран поток и тестове, и доказателства готови за одит. В регулирани сектори това улеснява надзора върху доставчика и засилва доверието. Това не е просто знак на хартия, а ангажимент към качествен и сигурен процес.
DPO: TINQIN е сертифицирана по ISO/IEC 27001:2022. Провеждаме вътрешни оценки през годината и годишни одити. Групата ни от ISO Champions подпомага екипите с обучения и проверки. Работим за водещи европейски компании, което поставя висока летва за качество и сигурност, и същевременно ни дава интересни технологични предизвикателства.