Агентство по кибербезопасности и безопасности инфраструктуры США (Cybersecurity and Infrastructure Security Agency, CISA) опубликовало бланк формы, которую следует заполнить для аттестации программного обеспечения (ПО) в рамках инициативы по переносу ответственности за кибератаки на федеральные органы с чиновников на разработчиков ПО. В соответствии с этой инициативой от подрядчика теперь требуется письменное подтверждение безопасности его программного продукта, сообщил в среду Nextgov/FCW.
Издание отмечает, что CISA действует в соответствие с исполнительным указом президента об обеспечении кибербезопасности от 2021 года. Аттестация подрядчиков призвана навязать отрасли принцип исходно безопасного ПО и стимулировать софтверные компании предусматривать встроенные ИБ-функции ещё на этапе разработки продукта.
При заполнении бланка подрядчики должны будут также подтвердить, что разработка ПО включала «подходящие и оправданные шаги для документирования, а также для минимизации использования или включения программных продуктов, которые создают чрезмерные риски в системах», применяемых при разработке программного обеспечения.
Подрядчик также обязан обеспечить функционирование программы по раскрытию уязвимостей и их «своевременному устранению».
Напомним, в марте 2023 Промышленный совет по IT (Information Technology Industry Council) — американская отраслевая организация, отстаивающая интересы высокотехнологичных компаний — выразила озабоченность положениями опубликованной новой стратегии кибербезопасности США с призывом сделать поставщиков ПО ответственными за уязвимости в их продуктах.
См. также: В США представлена национальная стратегия кибербезопасности >>>