Белый дом выпустил руководство по кибербезопасности для поставщиков программного обеспечения

Опубликовано: 16 сентября, 2022

В среду Белый дом выпустил руководство по кибербезопасности для поставщиков программного обеспечения, которое стало продолжением указа президента Джо Байдена, подписанного в 2021 году.

Байден подписал документ «Улучшение национальной кибербезопасности» в мае 2021 года, в котором изложены планы по модернизации подхода Соединенных Штатов к кибербезопасности и внедрению таких методов, как многофакторная аутентификация. Одна часть распоряжение сослался на планы по предоставлению руководящих принципов для программного обеспечения, приобретенного и развернутого в государственных сетях, которые содержались в среду меморандум.

В белом доме заявление Также опубликовано в среду, федеральный директор по информационной безопасности и заместитель национального кибер-директора Крис ДеРуша заявил, что, хотя раньше единственным критерием качества программного обеспечения было то, работает ли оно так, как рекламируется, сегодня технология должна разрабатываться таким образом, чтобы сделать ее отказоустойчивой и безопасной. .

«Руководство, разработанное при участии государственного и частного секторов, а также научных кругов, предписывает агентствам использовать только программное обеспечение, которое соответствует стандартам безопасной разработки программного обеспечения, создает форму самоаттестации для производителей программного обеспечения и агентств и позволяет федеральному правительству для быстрого выявления брешей в безопасности при обнаружении новых уязвимостей», — сказал он.

Руководство Байдена по кибербезопасности также требовало, чтобы федеральные правительственные учреждения получили форму самоаттестации от поставщика программного обеспечения, подтверждающую, что продукт соответствует рекомендациям по безопасности от Национальный институт стандартов и технологий (NIST) перед использованием любого нового программного обеспечения.

В зависимости от агентства поставщику программного обеспечения также может потребоваться доказать соответствие с помощью артефактов, включая спецификацию программного обеспечения (SBOM). Кроме того, от поставщика может потребоваться предоставить доказательства того, что он участвует в программе раскрытия уязвимостей.

Хотя указ и руководящие принципы юридически не требуют от частных поставщиков выпускать безопасное и совместимое программное обеспечение, ДеРуша сказал, что это действие было необходимо после атаки на цепочку поставок SolarWinds в 2020 году. Эта кибератака привела к тому, что несколько государственных учреждений стали жертвами утечки данных.

«Этот инцидент был одним из ряда кибервторжений и значительных уязвимостей программного обеспечения за последние два года, которые поставили под угрозу предоставление государственных услуг населению, а также целостность огромных объемов личной информации и бизнес-данных, которыми управляет частный сектор», — добавил ДеРуша в своем заявлении.