Akvizice, vývoj a údržba

Akvizicí je ve smyslu tohoto paragrafu myšleno nabytí aktiva, nebo proces jeho získávání. V oblasti vývoje informačních systémů je nutné, aby vývoj systémů, které spadají do regulace ZKB, byl podpořen jasnými požadavky na zajištění jejich bezpečnosti. Následně je nezbytné promítnout tyto požadavky do celého životního cyklu od vlastního vývoje až do provozu. Je vhodné prosazovat principy nejlepší praxe „secure by design“, aby byl systém od počátku navrhován jako bezpečný. V souvislosti s plánovanou akvizicí, vývojem a údržbou informačního systému je potřeba:

• Řídit rizika podle § 5 VKB a významné změny podle § 11 VKB. Součástí těchto požadavků je provedení hodnocení rizik z důvodu nalezení možných negativních dopadů a navržení případných opatření ke zmírnění těchto dopadů. Je-li předmětem akvizice, vývoje a údržby významná změna, pak je nutné provést bezpečnostní testování před jejich nasazením,
• stanovit bezpečnostní požadavky,
• zahrnout bezpečnostní požadavky do projektu akvizice, vývoje a údržby (a do smlouvy s dodavatelem, pokud je do procesu zapojen externí subjekt),
• zajistit bezpečnost vývojového a testovacího prostředí a zajistit ochranu používaných testovacích dat, tj. na­příklad zamezení práce s reálnými daty, oddělení a zabránění komunikace mezi produkčním a vývojovým prostředím, omezení přístupu do vývojového prostředí pouze z konkrétních a chráněných stanic,
• provádět bezpečnostní testování významných změn před jejich zavedením do provozu,
• je-li cílem provedení akvizice nebo vývoje nástroj pro správu a ověřování identity, musí se splnit požadavek minimální úrovně pro správu ověření identit, jako je vícefaktorová autentizace s nejméně dvěma různými typy faktorů.