आप यह कैसे सुनिश्चित कर सकते हैं कि आपकी निचली रेखा ओएमबी मेमो द्वारा नष्ट न हो जाए?

सभी पद

अमेरिकी सरकार अपनी साइबर सुरक्षा नीतियों में सुधार करने की प्रक्रिया में है। इसमें की रिहाई भी शामिल है सुरक्षित सॉफ्टवेयर डेवलपमेंट फ्रेमवर्क (एसएसडीएफ) संस्करण 1.1 राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (एनआईएसटी) द्वारा, जिसका उद्देश्य सॉफ्टवेयर विकास जीवन चक्र (एसडीएलसी) में सुरक्षा कमजोरियों को कम करना है।

दस्तावेज़ सॉफ़्टवेयर विक्रेताओं और अधिग्रहणकर्ताओं को "उच्च-स्तरीय सुरक्षित सॉफ़्टवेयर विकास प्रथाओं का एक मुख्य सेट जिसे प्रत्येक एसडीएलसी कार्यान्वयन में एकीकृत किया जा सकता है।

एक प्रारंभिक मसौदा रूपरेखा सितंबर 2021 में प्रकाशित हुई थी, उसके बाद फरवरी 2022 में अंतिम संस्करण प्रकाशित हुआ था, जिसमें केवल शामिल था मामूली अद्यतन. एसएसडीएफ अनुकूलन योग्य और सेक्टर-अज्ञेयवादी रहते हुए एसडीएलसी सुरक्षा के लिए सर्वोत्तम अभ्यास सिफारिशों को जोड़ती है। 

यह कोई दस्तावेज़ नहीं है जो प्रत्येक अभ्यास के लिए निश्चित पद्धतियाँ निर्धारित करता है। इसके बजाय, यह विशिष्ट उपकरणों, तकनीकों और तंत्रों के बजाय परिणामों पर केंद्रित है। एसएसडीएफ एक जोखिम-आधारित दृष्टिकोण को बढ़ावा देता है, जहां संगठनों को यह निर्धारित करने के लिए संदर्भों और अन्य संसाधनों से परामर्श करने के लिए प्रोत्साहित किया जाता है कि उनके संचालन के लिए कौन सी प्रथाएं प्रासंगिक हैं और उन्हें कैसे लागू किया जाना चाहिए।

एसएसडीएफ में निम्नलिखित क्षेत्रों में सिफारिशें शामिल हैं:

  • यह सुनिश्चित करना कि किसी संगठन के लोग, प्रक्रियाएँ और प्रौद्योगिकी सुरक्षित सॉफ़्टवेयर विकास के लिए तैयार हैं
  • सभी सॉफ़्टवेयर घटकों को छेड़छाड़ और/या अनधिकृत पहुंच से सुरक्षित रखना
  • न्यूनतम सुरक्षा कमजोरियों के साथ सुरक्षित सॉफ़्टवेयर जारी करना
  • रिलीज के बाद किसी भी कमजोरियों की पहचान करना और उचित प्रतिक्रिया देना

सिफ़ारिशें तुरंत निर्देश बन जाती हैं

निजी क्षेत्र के साथ साझेदारी में, NIST को SSDF बनाने का निर्देश दिया गया था कार्यकारी आदेश 14028, "देश की साइबर सुरक्षा में सुधार।" आदेश जारी होने के 30 दिनों के भीतर प्रबंधन और बजट कार्यालय (ओएमबी) को भी निर्देश देता है, "यह सुनिश्चित करने के लिए उचित कदम उठाएं कि एजेंसियां ​​इस आदेश की तारीख के बाद खरीदे गए सॉफ़्टवेयर के संबंध में ऐसे दिशानिर्देशों का अनुपालन करें।"

मार्च 7 परth, 2022, ओएमबी ने एक बयान जारी किया जिसमें निम्नलिखित शामिल था, "संघीय एजेंसियों को एसएसडीएफ और संबंधित मार्गदर्शन को तुरंत प्रभावी ढंग से अपनाना शुरू करना चाहिए, इसे एजेंसी के जोखिम प्रोफ़ाइल और मिशन के अनुरूप बनाना चाहिए। 

इसलिए, जबकि एसएसडीएफ सिफारिशों की एक सूची है, इसका अमेरिकी सरकार को सॉफ्टवेयर आपूर्ति करने वाले सभी संगठनों द्वारा पालन किया जाना चाहिए। हालाँकि सभी सॉफ़्टवेयर विकास के लिए SSDF एक कानूनी आवश्यकता नहीं है, फिर भी SSDF अमेरिकी साइबर सुरक्षा नीति में एक महत्वपूर्ण कदम का प्रतिनिधित्व करता है।

बाहरी सॉफ्टवेयर के एक बड़े उपभोक्ता के रूप में, अमेरिकी सरकार की खर्च करने की शक्ति के साथ, यह माना जाता है कि ये सिफारिशें बाकी उद्योग में फ़िल्टर हो जाएंगी, जो अमेरिका में सॉफ्टवेयर विकास के लिए आदर्श बन जाएंगी, परिणामस्वरूप, कोई भी संगठन अमेरिकी सरकार के लिए आवेदन करने पर विचार कर रहा है। अनुबंध होना चाहिए एसएसडीएफ का पालन करना सीखें, और अमेरिका में सफलतापूर्वक काम करने की चाहत रखने वाले किसी भी संगठन को भी इसका अनुपालन करने की आवश्यकता होगी।

साइबर सुरक्षा प्राथमिकताओं पर ओएमबी मेमो

एसएसडीएफ अमेरिकी साइबर सुरक्षा नीति में एकमात्र नया विकास नहीं है। अमेरिकी सरकार ने हाल ही में एजेंसियों से नई प्राथमिकताओं पर जोर देने के लिए कहा है, जिसमें शून्य-विश्वास दृष्टिकोण लागू करना और विरासत आईटी प्रणालियों का आधुनिकीकरण शामिल है।

कार्यकारी आदेश 14028 के बाद, ओएमबी और राष्ट्रीय साइबर निदेशक (ओएनसीबी) के कार्यालय ने एक जारी किया मेमो जुलाई 22 परnd, 2022, वित्तीय वर्ष 2024 में बजट प्रस्तुत करने के लिए अमेरिकी सरकार की क्रॉस-एजेंसी साइबर निवेश प्राथमिकताओं की रूपरेखा।

यह तीन प्राथमिकताओं को रेखांकित करता है जिसमें संघीय नागरिक कार्यकारी शाखा (एफसीईबी) एजेंसियों को निवेश करना चाहिए। ओएमबी और ओएनसीडी प्रत्येक एजेंसी की प्रतिक्रिया की समीक्षा करेंगे और यह सुनिश्चित करने के लिए फीडबैक प्रदान करेंगे।प्राथमिकताओं को पर्याप्त रूप से संबोधित किया गया है और समग्र साइबर सुरक्षा रणनीति और नीति के अनुरूप है - नियमित बजट प्रक्रिया के माध्यम से एजेंसियों की बहुवर्षीय योजना में सहायता करना।"

साइबर निवेश की तीन प्राथमिकताएँ हैं:

#1: सरकारी नेटवर्क की सुरक्षा और लचीलेपन में सुधार

ज्ञापन में एफसीईबी एजेंसियों से प्राथमिकता तय करने को कहा गया है शून्य विश्वास कार्यान्वयन और आईटी आधुनिकीकरण.

शून्य विश्वास सुरक्षा मॉडल आईटी सिस्टम के कार्यान्वयन का वर्णन करता है जहां प्रत्येक उपयोगकर्ता या डिवाइस पर डिफ़ॉल्ट रूप से भरोसा नहीं किया जाता है। विशिष्ट आर्किटेक्चर एक बार सत्यापित करते हैं, फिर उपयोगकर्ताओं या उपकरणों को नेटवर्क तक पहुंच की अनुमति देते हैं। इसके विपरीत, जीरो ट्रस्ट आर्किटेक्चर सिस्टम के भीतर किसी भी चीज और हर चीज को सत्यापित करता है।

फ़ेडरल ज़ीरो ट्रस्ट रणनीति की रूपरेखा अपने आप में बनाई गई है ओएमबी मेमो, 26 जनवरी को रिलीज़ हुईth, 2022. रणनीति के लिए सभी सरकारी एजेंसियों को 2024 वित्तीय वर्ष के अंत तक विशिष्ट शून्य विश्वास लक्ष्यों तक पहुंचने की आवश्यकता है। 

यह आशा करता है "कम से कम विशेषाधिकार, हमले की सतह को कम करने और इस धारणा के आसपास सुरक्षा डिजाइन करने के सिद्धांतों पर आधारित साइबर सुरक्षा के लिए एक सुसंगत उद्यम-व्यापी आधार रेखा प्राप्त करें कि एजेंसी परिधि को समझौता माना जाना चाहिए".

यह सरकारी एजेंसियों के लिए एक महत्वपूर्ण बदलाव है - आगे बढ़ते हुए, उन्हें अपने द्वारा उपयोग किए जाने वाले सभी सॉफ़्टवेयर का विश्लेषण करना आवश्यक है (चाहे आंतरिक रूप से बनाया गया हो या किसी बाहरी विक्रेता से प्राप्त किया गया हो) यह सुनिश्चित करने के लिए कि यह शून्य-विश्वास सुरक्षा आवश्यकताओं को पूरा करता है।

आईटी आधुनिकीकरण का तात्पर्य सरकारी एजेंसियों द्वारा उपयोग की जाने वाली बड़ी संख्या में विरासत प्रणालियों और उनके द्वारा उठाए जाने वाले तकनीकी ऋण से है। 2024 के लिए बजट प्रस्तुतियाँ ”प्रौद्योगिकी आधुनिकीकरण को प्राथमिकता देनी चाहिए जो डिज़ाइन चरण के साथ-साथ पूरे सिस्टम जीवन चक्र के दौरान सुरक्षा को एकीकृत करती है।

यह भी शामिल है:

  • शून्य विश्वास आर्किटेक्चर का लाभ उठाने वाले सुरक्षित क्लाउड बुनियादी ढांचे को अपनाने में तेजी लाना
  • सुरक्षित ग्राहक अनुभव को सशक्त बनाने के लिए संघीय साझा उत्पादों, सेवाओं और मानकों को तैनात करना
  • साझा सुरक्षा प्रौद्योगिकियों का उपयोग करना और होमलैंड सुरक्षा विभाग के सतत निदान और शमन कार्यक्रम के साथ जुड़ना
  • सुरक्षा और आईटी संचालन टीमों के बीच जागरूकता साझा करना
  • एजाइल विकास प्रथाओं का उपयोग करना और एसएसडीएफ को एकीकृत करना

#2: महत्वपूर्ण बुनियादी ढांचे की रक्षा में क्रॉस-सेक्टर सहयोग को गहरा करना

आधुनिक साइबर खतरों से बचाव के लिए निजी और सार्वजनिक क्षेत्रों के बीच काफी सहयोग की आवश्यकता होगी। ओएमबी एफसीईबी से सेक्टर जोखिम प्रबंधन एजेंसी (एसआरएमए) की जिम्मेदारियों को प्राथमिकता देकर और साइबर सुरक्षा केंद्रों के माध्यम से जानकारी साझा करके साझेदारी बनाने के लिए कह रहा है।

एजेंसियों को संभावित खतरों को कम करने के लिए महत्वपूर्ण बुनियादी ढांचे के मालिकों के साथ सहयोग की सुविधा प्रदान करने वाले निर्माण तरीकों और तंत्रों को प्राथमिकता देनी चाहिए। एसआरएमए को बजट अनुरोध भी प्रदान करना चाहिए कि "राष्ट्रीय रक्षा प्राधिकरण अधिनियम 9002 की धारा 2021 के तहत अपनी जिम्मेदारियों को पूरा करने के लिए पर्याप्त संसाधनों को प्रतिबिंबित करें।विशेष रूप से, प्रस्तुतियाँ होनी चाहिए:

  • एसआरएमए को साइबर सुरक्षा और बुनियादी ढांचा सुरक्षा एजेंसी (सीआईएसए) और अन्य एसआरएमए के साथ मिलकर सहयोग करने की अनुमति दें
  • सरकार और उद्योग को सूचनाओं के आदान-प्रदान के लिए सक्षम बनाना
  • प्रत्येक क्षेत्र के लिए राष्ट्रीय सुरक्षा जोखिमों की समझ में सुधार करें

#3: हमारे डिजिटल रूप से सक्षम भविष्य की नींव को मजबूत करना

अंतिम प्राथमिकता एफसीईबी से भौतिक बुनियादी ढांचे, मानव पूंजी और आपूर्ति श्रृंखला जोखिम को प्राथमिकता देने के लिए कहती है क्योंकि अमेरिकी अर्थव्यवस्था का अधिकांश भाग डिजिटल परिवर्तन से गुजर रहा है।

  • भौतिक मूलढ़ांचा 

हालिया इन्फ्रास्ट्रक्चर इन्वेस्टमेंट एंड जॉब्स एक्ट (आईआईजेए) अमेरिकी सरकार द्वारा एक बड़े निवेश का प्रतिनिधित्व करता है। ओएमबी एफसीईबी एजेंसियों से साइबर हमलों से बुनियादी ढांचे को सुरक्षित करने के किसी भी प्रयास का समर्थन करने के लिए कह रहा है। इसमें साइबर सुरक्षा मानकों को विकसित करना और नई परियोजनाओं के लिए तकनीकी सहायता प्रदान करना शामिल है।

  • मानव पूंजी

साइबर खतरों का मुकाबला करने के लिए, एजेंसियों को आईटी प्रतिभा और नए उपकरणों में निवेश करने के लिए प्रोत्साहित किया जाता है जो व्यापक कार्यबल में डिजिटल दक्षता को बढ़ावा देते हैं।

  • सॉफ़्टवेयर आपूर्ति श्रृंखला जोखिम

सॉफ़्टवेयर आपूर्ति श्रृंखला सुरक्षा साइबर सुरक्षा जोखिम बढ़ता जा रहा है। परिणामस्वरूप, संघीय एजेंसियों को वर्तमान में अधिग्रहण के दौरान आपूर्ति श्रृंखला जोखिम प्रबंधन (एससीआरएम) पहल स्थापित करने की आवश्यकता होती है, खासकर सूचना और संचार प्रौद्योगिकी और सेवाओं (आईसीटीएस) के लिए। हालाँकि यह आवश्यकता 2023 के अंत में समाप्त होने वाली है कानून लंबित है जो इसे 2026 तक बढ़ा देगा।

एजेंसियों से उम्मीद की जाती है कि वे पिछले साल के एससीआरएम निवेश को बनाए रखेंगे और नए संसाधनों को लक्षित करेंगे। संघीय सरकार की अधिग्रहण क्षमताओं के निर्माण के अलावा, सरकार राष्ट्रीय आईसीटीएस आपूर्ति श्रृंखला जोखिम को संबोधित करने में भी महत्वपूर्ण भूमिका निभाती है।

ओएमबी के मेमो में कहा गया है, ''वित्तीय वर्ष 2024 के बजट प्रस्तुतीकरण में, एजेंसियों को उन निवेशों को उजागर करना चाहिए जो संयुक्त राज्य अमेरिका की आर्थिक सुरक्षा और राष्ट्रीय सुरक्षा के लिए जोखिम के अनुचित या अस्वीकार्य स्तर को कम करने के राष्ट्रीय प्रयास का समर्थन करते हैं।इसमें संबंधित निवेश शामिल हैं कार्यकारी आदेश 13873, "सूचना और संचार प्रौद्योगिकी और सेवा आपूर्ति श्रृंखला को सुरक्षित करना।"

अमेरिकी साइबर सुरक्षा नीति तेजी से आगे बढ़ रही है; क्या आप बने रहने के लिए सुसज्जित हैं?

चिकारे का पीछा करते हुए तेंदुए की एक छवि

बढ़ती साइबर सुरक्षा मांगों के साथ, अमेरिका में काम करने की इच्छुक सॉफ्टवेयर विकास कंपनियों को यह सुनिश्चित करना होगा कि वे नए दिशानिर्देशों को सफलतापूर्वक अपना सकें।

एसएसडीएफ पहले ही प्रभाव में आ चुका है, और संगठनों को नए सॉफ्टवेयर विकास दिशानिर्देशों को सीखने की जरूरत है जिनका उनसे पालन करने की अपेक्षा की जाती है। एसएसडीएफ कई उपायों को बढ़ावा देता है जो पूरे एसडीएलसी में कमजोरियों और अनधिकृत पहुंच को कम करते हैं और साथ ही पारदर्शिता को भी प्रोत्साहित करते हैं। यह भी शामिल है:

  • कलाकृतियों का सत्यापन
  • डिजिटल रूप से हस्ताक्षरित कलाकृतियाँ
  • परिवर्तनों के लिए फ़ाइलों को ट्रैक करना और साक्ष्य तैयार करना
  • अंतिम सॉफ़्टवेयर आर्टिफैक्ट के भीतर प्रत्येक घटक को मान्य करना

साइबर निवेश प्राथमिकताओं पर नवीनतम ओएमबी ज्ञापन न केवल एसएसडीएफ को अपनाने पर जोर देता है, बल्कि सरकारी एजेंसियों के लिए प्राथमिकताओं की एक श्रृंखला भी बताता है। सॉफ़्टवेयर डेवलपर्स के लिए सबसे महत्वपूर्ण बात एफसीईबी द्वारा उपयोग किए जाने वाले सॉफ़्टवेयर में शून्य विश्वास आर्किटेक्चर का कार्यान्वयन है। यह ज्ञापन 2024 में लागू होगा, इसलिए जिन संगठनों को अपने उत्पादों को अनुकूलित करने की आवश्यकता है उनके पास तैयार होने के लिए बहुत अधिक समय नहीं है।

जबकि ओएमबी मेमो द्वारा उल्लिखित नई आवश्यकताएं केवल एफसीईबी एजेंसियों के साथ अनुबंध प्राप्त करने के इच्छुक संगठनों पर लागू होती हैं, यात्रा की दिशा से पता चलता है कि सभी संघीय ठेकेदारों के लिए नए साइबर सुरक्षा दिशानिर्देश अपनाए जाएंगे, जैसा कि कार्यकारी आदेश 14028 में उल्लिखित है।

ऐसे संगठन जो अनुकूलन में धीमे हैं, उन्हें अमेरिकी सरकार और संभावित रूप से अन्य अमेरिकी ग्राहकों से व्यापार छूटने का जोखिम है। अब शून्य विश्वास सुरक्षा मॉडल लागू करने और एसएसडीएफ की सर्वोत्तम प्रथाओं को सीखने का समय आ गया है। 

सारांश

जब साइबर सुरक्षा नीति की बात आती है तो अमेरिकी सरकार महत्वपूर्ण प्रगति दिखा रही है। एसएसडीएफ पहले से ही लागू होने और 2024 में नई ओएमबी साइबर प्राथमिकताओं के लागू होने के साथ, अमेरिका में परिचालन जारी रखने के इच्छुक संगठनों के पास सीखने और अनुपालन करने के लिए कई नए दिशानिर्देश हैं।

बैनर 

यह सामग्री आपके लिए स्क्राइब सिक्योरिटी द्वारा लाई गई है, जो एक अग्रणी एंड-टू-एंड सॉफ्टवेयर आपूर्ति श्रृंखला सुरक्षा समाधान प्रदाता है - जो संपूर्ण सॉफ्टवेयर आपूर्ति श्रृंखलाओं में कोड कलाकृतियों और कोड विकास और वितरण प्रक्रियाओं के लिए अत्याधुनिक सुरक्षा प्रदान करता है। और अधिक जानें.