Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) и ФБР опубликовали руководство «Безопасность по требованию: как покупатели программного обеспечения могут управлять экосистемой безопасных технологий». Пособие предназначено для помощи организациям, покупающим софт и желающим понять, использует ли поставщик ПО подход Secure by Design при разработке продукта.
Сотрудники отдела закупок организации часто имеют общее представление об основных требованиях к кибербезопасности при приобретении технологий и продуктов, считают авторы документа. Такие специалисты часто не оценивают практики и политики поставщика, гарантирующие безопасность как основной фактор с ранних стадий жизненного цикла разработки продукта.
Пособие содержит вопросы, которые следует задать поставщикам при покупке ПО, рекомендации по интеграции подходов к безопасности продукта на различных этапах жизненного цикла закупок, ресурсы для оценки зрелости безопасности продукта в соответствии с принципами безопасного проектирования. Исходя из оценки потенциальных угроз, руководство предоставляет классифицированные наборы действий, которые при правильном подходе продемонстрируют заказчику действия поставщика ПО по устранению возможных недочётов и неправильных настроек, что делает продукт безопасным для покупателя.
«Мы рады видеть, что ведущие поставщики технологий осознают, что их продукты должны быть более безопасными, и добровольно присоединяются к обещанию Secure by Design. Компании также могут помочь сдвинуть ситуацию с мёртвой точки, принимая более обоснованные решения о рисках при покупке программного обеспечения, — заявила директор CISA Джен Истерли. — Новое руководство поможет потребителям ПО понять, как они могут использовать права покупателей для приобретения безопасных продуктов и превратить Secure by Design в Secure by Demand».
Документ может быть использован любым заказчиком во время обсуждения закупок со сторонними поставщиками продуктов и услуг. Рекомендации включают получение спецификации решений производителя, в которой перечислены компоненты стороннего программного обеспечения, дорожные карты, определяющие, как они планируют устранить классы уязвимостей в продуктах, и общедоступную политику раскрытия уязвимостей, если таковая применяется.
Новые методические рекомендации дополняют недавно опубликованное «Руководство по приобретению программного обеспечения для потребителей из числа государственных организаций: обеспечение безопасности программного обеспечения в жизненном цикле управления рисками цепочки поставок (C-SCRM)».
