Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) и ФБР опубликовали руководство «Безопасность по требованию: как покупатели программного обеспечения могут управлять экосистемой безопасных технологий». Пособие предназначено для помощи организациям, покупающим софт и желающим понять, использует ли поставщик ПО подход Secure by Design при разработке продукта.

Сотрудники отдела закупок организации часто имеют общее представление об основных требованиях к кибербезопасности при приобретении технологий и продуктов, считают авторы документа. Такие специалисты часто не оценивают практики и политики поставщика, гарантирующие безопасность как основной фактор с ранних стадий жизненного цикла разработки продукта.

Пособие содержит вопросы, которые следует задать поставщикам при покупке ПО, рекомендации по интеграции подходов к безопасности продукта на различных этапах жизненного цикла закупок, ресурсы для оценки зрелости безопасности продукта в соответствии с принципами безопасного проектирования. Исходя из оценки потенциальных угроз, руководство предоставляет классифицированные наборы действий, которые при правильном подходе продемонстрируют заказчику действия поставщика ПО по устранению возможных недочётов и неправильных настроек, что делает продукт безопасным для покупателя.

«Мы рады видеть, что ведущие поставщики технологий осознают, что их продукты должны быть более безопасными, и добровольно присоединяются к обещанию Secure by Design. Компании также могут помочь сдвинуть ситуацию с мёртвой точки, принимая более обоснованные решения о рисках при покупке программного обеспечения, — заявила директор CISA Джен Истерли. — Новое руководство поможет потребителям ПО понять, как они могут использовать права покупателей для приобретения безопасных продуктов и превратить Secure by Design в Secure by Demand».

Документ может быть использован любым заказчиком во время обсуждения закупок со сторонними поставщиками продуктов и услуг. Рекомендации включают получение спецификации решений производителя, в которой перечислены компоненты стороннего программного обеспечения, дорожные карты, определяющие, как они планируют устранить классы уязвимостей в продуктах, и общедоступную политику раскрытия уязвимостей, если таковая применяется.

Новые методические рекомендации дополняют недавно опубликованное «Руководство по приобретению программного обеспечения для потребителей из числа государственных организаций: обеспечение безопасности программного обеспечения в жизненном цикле управления рисками цепочки поставок (C-SCRM)».

8 августа, 2024

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

09.09.2025
Две трети компаний США пострадало от действий инсайдеров
09.09.2025
SAS MFASOFT совместим со службой каталога ALD Pro
09.09.2025
Войлуков: Цифровой рубль вытащит из банков десять триллионов
08.09.2025
ЛК: ОС, не получающая обновлений, похожа на дом с прогнившим забором
08.09.2025
«Переход на российские решения становится не рекомендацией, а жёстким требованием закона»
08.09.2025
InfoDiode SMART light: новая компактная модель InfoDiode для защиты данных
08.09.2025
Вредоносные пакеты npm проникли в смарт-контракты Ethereum
08.09.2025
Новое измерение? Россия может попасть под ИИ-санкции
08.09.2025
Рост числа атак на госучреждения говорит об уровне их защиты
05.09.2025
Google сохранит за собой Chrome и Android. Но есть нюанс…

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных