Politika bezpečnosti pri akvizícii, vývoji a údržbe IT

# Politika bezpečnosti pri vývoji a údržbe IT systémov

**Vlastník:** {{OWNER_NAME}} ({{OWNER_ROLE}})
**Schválil:** {{APPROVER_NAME}} ({{APPROVER_ROLE}})
**Dátum schválenia:** {{APPROVAL_DATE}}
**Verzia:** 1.0
**Plánovaná ďalšia revízia:** {{NEXT_REVIEW_DATE}}
**Rozsah:** {{SCOPE}}

## 1. Účel
Zabezpečuje, že IT systémy sú nadobúdané, vyvíjané a udržiavané podľa bezpečných princípov v súlade s NIS2 čl. 21(2)(e) a ENISA IR kap. 6.

## 2. Rozsah
Pokrýva celý životný cyklus systémov: plánovanie, akvizícia, vývoj, testovanie, produkčné nasadenie, údržba, vyradenie.

## 3. Secure Software Development Lifecycle (SSDLC)
- **Framework:** {{SDLC_FRAMEWORK}} (NIST SSDF 1.1, OWASP SAMM).
- **Security requirements** definované pred začatím vývoja.
- **Threat modeling** pre každý nový systém (STRIDE, PASTA).
- **Security review gates** na prechodoch fáz (design → dev → staging → prod).

## 4. Secure coding
- **Coding standards:** OWASP Secure Coding Practices + language-specific.
- **Code review:** PR gate — minimálne 1 reviewer, pri kritických zmenách security reviewer.
- **SAST:** static analysis v CI (nástroj: {{SAST_TOOL}}).
- **SCA:** dependency scanning (Snyk / GitHub Advanced Security / Trivy) — blokuje PR pri High/Critical CVE.
- **DAST / interaktívne testy:** quarterly pre web aplikácie.

## 5. Správa zraniteľností
- **Patch SLA:**
  - Critical: {{CRITICAL_PATCH_SLA}} (odporúčanie: 7 dní).
  - High: {{HIGH_PATCH_SLA}} (30 dní).
  - Medium: {{MEDIUM_PATCH_SLA}} (90 dní).
- **Skenovanie:** mesačne external, týždenne internal.
- **CVE monitoring** — automatizovaný feed z NVD, vendor advisories.
- **Zero-day response:** ad-hoc proces, eskalácia IC.

## 6. Penetračné testovanie
- **Cadence:** minimálne ročne + po každej väčšej architektonickej zmene.
- **Scope:** externe exponované systémy, kritické interné aplikácie.
- **Vendor:** nezávislá tretia strana (nie interný team) pre compliance accreditation.
- **Remediation SLA:** nálezy Critical/High do 30 dní.

## 7. Secure configuration baseline
- **Hardening štandardy:** CIS Benchmarks / DISA STIGs pre OS a middleware.
- **Infrastructure as Code:** Terraform / Ansible pre reprodukovateľné konfigurácie.
- **Drift detection:** minimálne týždenná kontrola odchýliek od baseline.
- **Cloud baselines:** CIS AWS/Azure/GCP Benchmarks.

## 8. Oddelenie prostredí
- **Dev / Staging / Prod** fyzicky alebo logicky oddelené.
- **Produkčné dáta** sa nesmú používať v dev/staging bez anonymizácie.
- **Access control:** produkčný prístup len pre autorizovaných (just-in-time, PAM, session recording).

## 9. Change management
- Každá zmena v prod má:
  - Dokumentovaný zámer + rollback plán.
  - Risk assessment a CAB approval pre Medium/High.
  - Post-deployment verification.
- Notify security team pre zmeny v security-critical komponentoch (auth, crypto, firewall).

## 10. Vyradenie systémov
Pri end-of-life systému:
- **Data sanitization** podľa klasifikácie (DoD 5220.22-M, NIST SP 800-88).
- **Access revocation** všetkých účtov a API kľúčov.
- **Documentation** sa archivuje podľa retention policy.
- **Post-mortem** v prípade známych zraniteľností, ktoré neboli pred vyradením vyriešené.

## 11. Revízia
Ročne + pri zavedení novej technológie alebo po významnom security incidente.

## 12. Súvisiace dokumenty
- Incident response policy
- Politika kryptografie
- Politika prístupových práv
- Vulnerability disclosure / bug bounty policy

---

**Schválenie**

{{APPROVER_NAME}}, {{APPROVER_ROLE}}
Dátum: {{APPROVAL_DATE}}
Podpis: ____________________