Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) и ФБР опубликовали руководство «Безопасность по требованию: как покупатели программного обеспечения могут управлять экосистемой безопасных технологий». Пособие предназначено для помощи организациям, покупающим софт и желающим понять, использует ли поставщик ПО подход Secure by Design при разработке продукта.

Сотрудники отдела закупок организации часто имеют общее представление об основных требованиях к кибербезопасности при приобретении технологий и продуктов, считают авторы документа. Такие специалисты часто не оценивают практики и политики поставщика, гарантирующие безопасность как основной фактор с ранних стадий жизненного цикла разработки продукта.

Пособие содержит вопросы, которые следует задать поставщикам при покупке ПО, рекомендации по интеграции подходов к безопасности продукта на различных этапах жизненного цикла закупок, ресурсы для оценки зрелости безопасности продукта в соответствии с принципами безопасного проектирования. Исходя из оценки потенциальных угроз, руководство предоставляет классифицированные наборы действий, которые при правильном подходе продемонстрируют заказчику действия поставщика ПО по устранению возможных недочётов и неправильных настроек, что делает продукт безопасным для покупателя.

«Мы рады видеть, что ведущие поставщики технологий осознают, что их продукты должны быть более безопасными, и добровольно присоединяются к обещанию Secure by Design. Компании также могут помочь сдвинуть ситуацию с мёртвой точки, принимая более обоснованные решения о рисках при покупке программного обеспечения, — заявила директор CISA Джен Истерли. — Новое руководство поможет потребителям ПО понять, как они могут использовать права покупателей для приобретения безопасных продуктов и превратить Secure by Design в Secure by Demand».

Документ может быть использован любым заказчиком во время обсуждения закупок со сторонними поставщиками продуктов и услуг. Рекомендации включают получение спецификации решений производителя, в которой перечислены компоненты стороннего программного обеспечения, дорожные карты, определяющие, как они планируют устранить классы уязвимостей в продуктах, и общедоступную политику раскрытия уязвимостей, если таковая применяется.

Новые методические рекомендации дополняют недавно опубликованное «Руководство по приобретению программного обеспечения для потребителей из числа государственных организаций: обеспечение безопасности программного обеспечения в жизненном цикле управления рисками цепочки поставок (C-SCRM)».

8 августа, 2024

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

01.07.2025
«Национальный мессенджер» закрыл первый миллион
30.06.2025
Всё связать до 1 июля: «симку», биометрию, «Госуслуги»
30.06.2025
Нейросетям поставили задачу усовершенствовать бюджетный процесс
30.06.2025
Draugnet послужит демократизации отчётности по киберугрозам
30.06.2025
Россиян превращают в дропперов особо изощрённым способом
30.06.2025
Банк России сдал нулевой срез по цифровому рублю
30.06.2025
Половина безопасников хочет приостановить развёртывание GenAI
27.06.2025
«Корыстные цели и низкий уровень правовой культуры». Телеком-лицензии — только в чистые руки
27.06.2025
США опасаются усиления иранских кибератак после авиаударов
27.06.2025
«Можно было бы просто запретить импорт отдельных сегментов». «Аквариус» — о вечном

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных