Первоначально опубликованное в апреле 2023 года, это совместное руководство призывает производителей программного обеспечения предпринять срочные шаги, необходимые для проектирования, доработки и поставки продуктов, безопасных по дизайну.
Это обновленное руководство включает отзывы, полученные от сотен частных лиц, компаний и некоммерческих организаций. В нем расширяются три принципа, определенные в первоначальном руководстве: взять на себя ответственность за результаты обеспечения безопасности клиентов, обеспечить полную прозрачность и подотчетность и руководить с самого начала. В этом обновлении рассказывается о том, как производители программного обеспечения могут продемонстрировать эти принципы своим клиентам и общественности, подчеркивая, что производители программного обеспечения должны быть способны конкурировать на основе безопасности. Это совместное руководство призвано помочь производителям программного обеспечения продемонстрировать свою приверженность принципам обеспечения безопасности с помощью дизайна и дать клиентам рекомендации о том, как запрашивать продукты, которые защищены с помощью дизайна.
В ближайшие недели CISA опубликует запрос о предоставлении информации о методах обеспечения безопасности с помощью методов проектирования, с просьбой прокомментировать это руководство и понять шаги, которые предпринимают компании в соответствии с принципами обеспечения безопасности с помощью методов проектирования.
Благодаря CISA, Федеральному бюро расследований (ФБР), Агентству национальной безопасности (NSA) и органам кибербезопасности Австралии, Канады, Соединенного Королевства, Германии, Нидерландов и Новой Зеландии (CERT NZ, NCSC-NZ), которые совместно подготовили первоначальную версию, это обновленное руководство стало результатом анализа и партнерских отношений с агентствами кибербезопасности в Чешской Республике, Израиле, Сингапур, Корея, Норвегия, CSIRTAmericas Network ОАГ/CICTE и Япония (JPCERT/CC и NISC-ОВ).
“Я чрезвычайно горжусь обширными, проницательными и согласованными партнерскими отношениями в США и за рубежом, которые объединились общим видением будущего, в котором технологические продукты будут безопасны благодаря дизайну”, – сказала директор CISA Джен Истерли. “Благодаря отзывам сотен партнеров мы пересмотрели это руководство, чтобы еще больше сосредоточиться на том, как компании могут продемонстрировать свою приверженность принципам обеспечения безопасности с помощью дизайна. Для достижения цели Национальной стратегии кибербезопасности по перераспределению ответственности в киберпространстве заказчики должны иметь возможность требовать большего от своих поставщиков – и это совместное руководство дает им инструменты для достижения именно этого ”.
“Мы ценим сотрудничество с CISA и другими международными партнерами в этом совместном продукте. В рамках ЕС Закон о киберустойчивости направлен на усиление безопасности продукции и потребителей, сказал Лукаш Кинтр, директор Национального агентства кибербезопасности и информационной безопасности Чешской Республики. “В глобально взаимосвязанном и технологичном мире наше коллективное одобрение подхода “Безопасность при проектировании” направлено на повышение нашей устойчивости и защиту наших граждан и критически важной инфраструктуры на континентах”.
“Безопасность посредством проектирования” – это изменение парадигмы ответственности заинтересованных сторон за обеспечение кибербезопасности. INCD хотела бы видеть передачу ответственности с конечного пользователя производителям и поставщикам услуг. В современном мире кибербезопасность является базовым товаром, таким же, как вода, энергия и защита окружающей среды; следовательно, она должна быть безопасной по замыслу и по умолчанию ”, – сказала Габи Портной, генеральный директор INCD. “INCD с гордостью принимает участие в публикации CISA этого продукта, который мы рассматриваем как важный шаг на пути к созданию безопасной и устойчивой технологии для всех клиентов. INCD будет поощрять производителей на израильском рынке к принятию этого руководства ”.
“Безопасность по дизайну и по умолчанию – важнейшие принципы защиты технологий, которые проникли в нашу повседневную жизнь. Производители технологий должны с самого начала стремиться к тому, чтобы кибербезопасность была ключевым аспектом разработки продукта, чтобы их продукты были изначально безопасными для всех пользователей ”, – сказал г-н Дэвид Кох, комиссар по кибербезопасности и исполнительный директор Сингапурского агентства кибербезопасности. “Безопасность не должна быть ”необязательным дополнением”. CSA гордится сотрудничеством с CISA и другими агентствами-партнерами в разработке руководства по безопасности при проектировании. CSA настоятельно рекомендует его принятие ”.
“Кибератак, возникающих в результате уязвимостей программного обеспечения, постоянно увеличивается, и, учитывая их значительное воздействие, безопасное управление этими уязвимостями имеет решающее значение. В Корее известны реальные случаи, когда конкретные группы атак имели множество уязвимостей в широко используемых решениях, и эти уязвимости использовались для атак ”, – сказал вице-президент KISA Чой Кван Хи и глава KrCERT / CC. “Ознакомление с этим руководством дало нам представление о перспективах международных аффилированных агентств. Для обеспечения безопасной разработки отечественных программных продуктов мы также планируем выпустить корейскую версию”.
“Продукты и услуги, безопасные по дизайну, составляют краеугольный камень нашей общей киберустойчивости. Эта концепция повышает качество наших руководств и рекомендаций, включая такие элементы, как нулевое доверие и управление рисками в цепочке поставок программного обеспечения”, сказал г-н Мартин Альберт-Хофф, директор Норвежского национального центра кибербезопасности. “NCSC NO гордятся совместной работой с CISA и другими агентствами-партнерами, и это сотрудничество способствует повышению киберустойчивости в сегодняшней непредсказуемой глобальной ситуации”.
“Успешных результатов в области кибербезопасности можно достичь только совместными усилиями. Поэтому мы рады внести свой вклад в это руководство, используя опыт, накопленный в Сети ОАГ / CICTE CSIRTAmericas, которая объединяет правительственные группы реагирования на инциденты компьютерной безопасности (CSIRTs) из 21 страны Северной и Южной Америки и способствует обмену ценной информацией между ними ”, – сказала Элисон Август Треппел, исполнительный секретарь Межамериканского комитета по борьбе с терроризмом Организации американских государств. “В соответствии с опытом Сети в этом руководстве признается необходимость перехода производителей технологий, а также CSIRTs, от реактивного мышления к модели непрерывного измерения и улучшения услуг по снижению рисков. Это руководство служит наглядным примером работы, которую ОАГ проводила в течение последних 20 лет и будет продолжать проводить, чтобы поддержать государства-члены в укреплении их возможностей в области кибербезопасности и создании более безопасного, устойчивого и открытого киберпространства для всех “.
“Концепция безопасности по дизайну уже была включена в Стратегию кибербезопасности Японии (далее именуемую японской стратегией). Это обновленное руководство определяет концепцию безопасности по дизайну и согласуется с японской стратегией ”, – сказал г-н Ацуо Судзуки, генеральный директор Японского национального центра готовности к инцидентам и стратегии кибербезопасности (NISC). “Мы рады совместному утверждению этого обновленного руководства, которое способствует реализации конкретных мер, основанных на японской стратегии”.
Данное руководство призвано еще больше стимулировать прогресс в направлении инвестиций и культурных сдвигов, необходимых для ощутимого улучшения безопасности клиентов; расширить международный диалог о ключевых приоритетах, инвестициях и решениях; и о будущем, в котором технологии безопасны и устойчивы по своей конструкции.