Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) и ФБР опубликовали руководство «Безопасность по требованию: как покупатели программного обеспечения могут управлять экосистемой безопасных технологий». Пособие предназначено для помощи организациям, покупающим софт и желающим понять, использует ли поставщик ПО подход Secure by Design при разработке продукта.

Сотрудники отдела закупок организации часто имеют общее представление об основных требованиях к кибербезопасности при приобретении технологий и продуктов, считают авторы документа. Такие специалисты часто не оценивают практики и политики поставщика, гарантирующие безопасность как основной фактор с ранних стадий жизненного цикла разработки продукта.

Пособие содержит вопросы, которые следует задать поставщикам при покупке ПО, рекомендации по интеграции подходов к безопасности продукта на различных этапах жизненного цикла закупок, ресурсы для оценки зрелости безопасности продукта в соответствии с принципами безопасного проектирования. Исходя из оценки потенциальных угроз, руководство предоставляет классифицированные наборы действий, которые при правильном подходе продемонстрируют заказчику действия поставщика ПО по устранению возможных недочётов и неправильных настроек, что делает продукт безопасным для покупателя.

«Мы рады видеть, что ведущие поставщики технологий осознают, что их продукты должны быть более безопасными, и добровольно присоединяются к обещанию Secure by Design. Компании также могут помочь сдвинуть ситуацию с мёртвой точки, принимая более обоснованные решения о рисках при покупке программного обеспечения, — заявила директор CISA Джен Истерли. — Новое руководство поможет потребителям ПО понять, как они могут использовать права покупателей для приобретения безопасных продуктов и превратить Secure by Design в Secure by Demand».

Документ может быть использован любым заказчиком во время обсуждения закупок со сторонними поставщиками продуктов и услуг. Рекомендации включают получение спецификации решений производителя, в которой перечислены компоненты стороннего программного обеспечения, дорожные карты, определяющие, как они планируют устранить классы уязвимостей в продуктах, и общедоступную политику раскрытия уязвимостей, если таковая применяется.

Новые методические рекомендации дополняют недавно опубликованное «Руководство по приобретению программного обеспечения для потребителей из числа государственных организаций: обеспечение безопасности программного обеспечения в жизненном цикле управления рисками цепочки поставок (C-SCRM)».

8 августа, 2024

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

08.07.2025
ГКРЧ выделила «дорогу» к сетям 5G
08.07.2025
CorpSoft24: При использовании «облаков» операторам удаётся кратно сократить затраты на кибербезопасность
08.07.2025
Тайвань призвал граждан проявлять бдительность в отношении китайского ПО
08.07.2025
Минцифры запустило третью багбаунти («Багбаунти навсегда»)
08.07.2025
У федерального казначейства появился свой R&D-центр в области ИИ
08.07.2025
Французские безопасники увидели в хакерской многоходовке след Китая
07.07.2025
«Это проще, чем самолётами пытаться вывозить конкретные кадры»
07.07.2025
Отец Twitter показал «бету» нового офлайн-мессенджера
07.07.2025
ЕС запускает план по внедрению квантово-безопасной инфраструктуры
07.07.2025
Цифровое министерство взялось за «сеньоров»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных