Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) и ФБР опубликовали руководство «Безопасность по требованию: как покупатели программного обеспечения могут управлять экосистемой безопасных технологий». Пособие предназначено для помощи организациям, покупающим софт и желающим понять, использует ли поставщик ПО подход Secure by Design при разработке продукта.

Сотрудники отдела закупок организации часто имеют общее представление об основных требованиях к кибербезопасности при приобретении технологий и продуктов, считают авторы документа. Такие специалисты часто не оценивают практики и политики поставщика, гарантирующие безопасность как основной фактор с ранних стадий жизненного цикла разработки продукта.

Пособие содержит вопросы, которые следует задать поставщикам при покупке ПО, рекомендации по интеграции подходов к безопасности продукта на различных этапах жизненного цикла закупок, ресурсы для оценки зрелости безопасности продукта в соответствии с принципами безопасного проектирования. Исходя из оценки потенциальных угроз, руководство предоставляет классифицированные наборы действий, которые при правильном подходе продемонстрируют заказчику действия поставщика ПО по устранению возможных недочётов и неправильных настроек, что делает продукт безопасным для покупателя.

«Мы рады видеть, что ведущие поставщики технологий осознают, что их продукты должны быть более безопасными, и добровольно присоединяются к обещанию Secure by Design. Компании также могут помочь сдвинуть ситуацию с мёртвой точки, принимая более обоснованные решения о рисках при покупке программного обеспечения, — заявила директор CISA Джен Истерли. — Новое руководство поможет потребителям ПО понять, как они могут использовать права покупателей для приобретения безопасных продуктов и превратить Secure by Design в Secure by Demand».

Документ может быть использован любым заказчиком во время обсуждения закупок со сторонними поставщиками продуктов и услуг. Рекомендации включают получение спецификации решений производителя, в которой перечислены компоненты стороннего программного обеспечения, дорожные карты, определяющие, как они планируют устранить классы уязвимостей в продуктах, и общедоступную политику раскрытия уязвимостей, если таковая применяется.

Новые методические рекомендации дополняют недавно опубликованное «Руководство по приобретению программного обеспечения для потребителей из числа государственных организаций: обеспечение безопасности программного обеспечения в жизненном цикле управления рисками цепочки поставок (C-SCRM)».

8 августа, 2024

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

06.09.2024
«С учётом латентной преступности»
06.09.2024
ФСТЭК напомнил об организациях, которые могут «обезопасить» кадры
06.09.2024
Стартовали Международные игры по кибербезопасности!
06.09.2024
В России появится ИТ-система защиты прав граждан за полмиллиарда рублей
06.09.2024
Минцифры собирает заявки на ИТ-гранты
05.09.2024
АБР не в восторге от инициативы регулирования рынка рассрочки
05.09.2024
Объявлена программа 11-го Форума ВБА-2024 «Вся банковская автоматизация»
05.09.2024
DumpForums в зените? Хакеры заявили об утечке банковской базы данных
05.09.2024
Минпромторг и Минобрнауки начнут регулярно обмениваться данными
05.09.2024
Найти средство против пандемии кибермошенничества

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных