Правительство США находится в процессе обновления своей политики кибербезопасности. Сюда входит выпуск Платформа разработки безопасного программного обеспечения (SSDF), версия 1.1 Национальным институтом стандартов и технологий (NIST), целью которого является снижение уязвимостей безопасности на протяжении жизненного цикла разработки программного обеспечения (SDLC).
Документ предоставляет поставщикам и покупателям программного обеспечения «основной набор высокоуровневых безопасных методов разработки программного обеспечения, которые можно интегрировать в каждую реализацию SDLC.
Первоначальный проект структуры был опубликован в сентябре 2021 года, а в феврале 2022 года последовала окончательная версия, которая содержала только незначительные обновления. SSDF сочетает в себе лучшие практические рекомендации по обеспечению безопасности SDLC, оставаясь при этом настраиваемым и независимым от сектора.
Это не документ, предписывающий фиксированные методологии для каждой практики. Вместо этого он сосредоточен на результатах, а не на конкретных инструментах, методах и механизмах. SSDF продвигает подход, основанный на оценке рисков, при котором организациям рекомендуется обращаться к справочным материалам и другим ресурсам, чтобы определить, какие практики актуальны для их деятельности и как их следует внедрять.
SSDF включает рекомендации в следующих областях:
- Обеспечение готовности сотрудников, процессов и технологий организации к безопасной разработке программного обеспечения.
- Защита всех компонентов программного обеспечения от взлома и/или несанкционированного доступа.
- Выпуск безопасного программного обеспечения с минимальными уязвимостями безопасности.
- Выявление любых уязвимостей после выпуска и соответствующее реагирование.
Рекомендации быстро становятся директивами
В партнерстве с частным сектором NIST было поручено создать SSDF. Распоряжение 14028, «Улучшение кибербезопасности страны». Приказ также предписывает Управлению управления и бюджета (OMB) в течение 30 дней с момента издания:принять соответствующие меры, чтобы потребовать от агентств соблюдения таких руководящих принципов в отношении программного обеспечения, приобретенного после даты настоящего приказа.
В марте 7thВ 2022 году OMB опубликовало заявление, в котором говорилось следующее: «Федеральные агентства должны немедленно начать применять SSDF и соответствующие рекомендации, адаптируя их к профилю рисков и миссии агентства».
Таким образом, хотя SSDF представляет собой список рекомендаций, ему должны следовать все организации, поставляющие программное обеспечение правительству США. Хотя SSDF не является юридическим требованием для разработки любого программного обеспечения, он по-прежнему представляет собой значительный шаг в политике кибербезопасности США.
Учитывая покупательную способность правительства США, как массового потребителя внешнего программного обеспечения, предполагается, что эти рекомендации дойдут до остальной части отрасли, став нормой для разработки программного обеспечения в США. контракты должны научитесь соблюдать SSDF, и любая организация, стремящаяся успешно работать в США, вероятно, также должна будет подчиниться этому требованию.
Памятка OMB о приоритетах кибербезопасности
SSDF — не единственная новинка в политике кибербезопасности США. Правительство США недавно попросило агентства подчеркнуть новые приоритеты, включая внедрение подхода нулевого доверия и модернизацию устаревших ИТ-систем.
В соответствии с исполнительным указом 14028 OMB и Управление национального кибер-директора (ONCB) опубликовали меморандум июля 22nd, 2022, в котором излагаются межведомственные приоритеты правительства США в области киберинвестиций для представления бюджета на 2024 финансовый год.
В нем изложены три приоритета, в которые агентства Федеральной гражданской исполнительной власти (FCEB) должны инвестировать. OMB и ONCD рассмотрят реакцию каждого агентства и предоставят обратную связь, чтобы гарантировать:приоритеты адекватно рассматриваются и согласуются с общей стратегией и политикой кибербезопасности, что способствует многолетнему планированию агентств в рамках регулярного бюджетного процесса.
Тремя приоритетами киберинвестиций являются:
№1: Улучшение защиты и устойчивости правительственных сетей
В меморандуме агентствам FCEB предлагается расставить приоритеты реализация нулевого доверия и ИТ-модернизация.
Модель безопасности с нулевым доверием описывает реализацию ИТ-систем, в которой каждому пользователю или устройству по умолчанию не доверяют. Типичные архитектуры проверяют один раз, а затем разрешают пользователям или устройствам доступ к сети. Напротив, архитектуры с нулевым доверием проверяют все и вся внутри системы.
Федеральная стратегия нулевого доверия изложена в Памятка OMB, выпущен 26 январяth, 2022. Стратегия требует, чтобы все правительственные учреждения достигли конкретных целей нулевого доверия к концу 2024 финансового года.
Он надеется, что «добиться согласованного базового уровня кибербезопасности в масштабе всего предприятия, основанного на принципах минимальных привилегий, минимизации поверхности атаки и разработки средств защиты на основе предположения, что периметры агентств следует считать скомпрометированными.".
Это важный сдвиг для правительственных учреждений: в будущем они должны будут анализировать все используемое ими программное обеспечение (независимо от того, создано ли оно внутри компании или получено от внешнего поставщика), чтобы убедиться, что оно соответствует требованиям безопасности с нулевым доверием.
Модернизация ИТ связана со значительным количеством устаревших систем, используемых государственными учреждениями, и с техническим долгом, который они несут. Представления бюджета на 2024 год»следует уделять первоочередное внимание модернизации технологий, которая приведет к обеспечению безопасности на этапе проектирования, а также на протяжении всего жизненного цикла системы».
Этот пакет услуг включает в себя:
- Ускорение внедрения безопасной облачной инфраструктуры, использующей архитектуру нулевого доверия.
- Развертывание общедоступных федеральных продуктов, услуг и стандартов для обеспечения безопасного обслуживания клиентов.
- Использование общих технологий безопасности и участие в программе непрерывной диагностики и смягчения последствий Министерства внутренней безопасности.
- Обмен информацией между отделами безопасности и ИТ-операциями
- Использование практик гибкой разработки и интеграция SSDF
№ 2: Углубление межсекторального сотрудничества в области защиты критической инфраструктуры
Защита от современных киберугроз потребует значительного сотрудничества между частным и государственным секторами. OMB просит FCEB наладить партнерские отношения, расставив приоритеты в обязанностях Агентства по управлению отраслевыми рисками (SRMA) и обмениваясь информацией через центры кибербезопасности.
Агентства должны уделять первоочередное внимание методам и механизмам создания, которые облегчают сотрудничество с владельцами критически важной инфраструктуры, чтобы смягчить потенциальные угрозы. SRMA также должны предоставлять бюджетные запросы, которые «отразить достаточные ресурсы для выполнения своих обязанностей в соответствии с разделом 9002 Закона о полномочиях национальной обороны от 2021 года.В частности, материалы должны:
- Разрешить SRMA тесно сотрудничать с Агентством кибербезопасности и безопасности инфраструктуры (CISA) и другими SRMA.
- Предоставить правительству и промышленности возможность обмениваться информацией
- Улучшить понимание рисков национальной безопасности для каждого сектора.
№3: Укрепление основ нашего цифрового будущего
Последний приоритет требует от FCEB уделить приоритетное внимание рискам физической инфраструктуры, человеческого капитала и цепочки поставок, поскольку большая часть экономики США подвергается цифровой трансформации.
- Физическая инфраструктура
Недавний Закон об инвестициях в инфраструктуру и создании рабочих мест (IIJA) представляет собой огромные инвестиции правительства США. OMB просит агентства FCEB поддержать любые усилия по защите инфраструктуры от кибератак. Это включает в себя разработку стандартов кибербезопасности и техническую поддержку новых проектов.
- Человеческий капитал
Для противодействия киберугрозам агентствам рекомендуется инвестировать в ИТ-специалистов и новые инструменты, которые способствуют повышению цифровой компетентности среди более широкого круга сотрудников.
- Риск цепочки поставок программного обеспечения
Безопасность цепочки поставок программного обеспечения становится растущим риском кибербезопасности. В результате федеральные агентства в настоящее время обязаны внедрять инициативы по управлению рисками цепочки поставок (SCRM) во время приобретений, особенно для тех, кто работает в сфере информационных и коммуникационных технологий и услуг (ICTS). Хотя срок действия этого требования истекает в конце 2023 года, существует законодательство находится на рассмотрении это продлит его до 2026 года.
Ожидается, что агентства сохранят прошлогодние инвестиции в SCRM и направят новые ресурсы. Помимо создания потенциала федерального правительства в области закупок, правительство также играет значительную роль в устранении рисков национальной цепочки поставок ICTS.
В записке OMB говорится: «В бюджетных документах на 2024 финансовый год агентства должны выделить инвестиции, которые поддерживают национальные усилия по снижению неоправданных или неприемлемых уровней риска для экономической безопасности и национальной безопасности Соединенных Штатов.Сюда входят инвестиции, касающиеся Распоряжение 13873, «Безопасность цепочки поставок информационных и коммуникационных технологий и услуг».
Политика США в области кибербезопасности развивается быстро; Вы готовы идти в ногу со временем?
В условиях растущих требований к кибербезопасности компании-разработчики программного обеспечения, желающие работать в США, должны убедиться, что они могут успешно адаптироваться к новым правилам.
SSDF уже вступил в силу, и организациям необходимо изучить новые рекомендации по разработке программного обеспечения, которым они должны следовать. SSDF продвигает ряд мер, которые снижают подверженность уязвимостям и несанкционированному доступу по всему SDLC, а также способствуют обеспечению прозрачности. Это включает в себя:
- Проверка артефактов
- Цифровая подпись артефактов
- Отслеживание файлов на наличие изменений и сбор доказательств
- Проверка каждого компонента конечного программного продукта.
Последний меморандум OMB о приоритетах киберинвестиций не только еще раз подчеркивает принятие SSDF, но и излагает ряд приоритетов для государственных учреждений. Наиболее важным для разработчиков программного обеспечения является внедрение архитектуры нулевого доверия во всем программном обеспечении, которое использует FCEB. Этот меморандум вступает в силу в 2024 году, поэтому у организаций, которым необходимо адаптировать свои продукты, не остается много времени на подготовку.
Хотя новые требования, изложенные в меморандуме OMB, применимы только к организациям, желающим заключить контракты с агентствами FCEB, направление движения предполагает, что новые руководящие принципы кибербезопасности, вероятно, будут приняты для всех федеральных подрядчиков, как указано в Исполнительном указе 14028.
Организации, которые медленно адаптируются, рискуют упустить бизнес со стороны правительства США и, возможно, других клиентов из США. Сейчас самое время реализовать модель безопасности с нулевым доверием и изучить лучшие практики SSDF.
Резюме
Правительство США демонстрирует значительный прогресс, когда дело касается политики кибербезопасности. Поскольку SSDF уже применяется, а новые киберприоритеты OMB вступают в силу в 2024 году, организациям, желающим продолжить работу в США, предстоит изучить и соблюдать множество новых правил.
Этот контент предоставлен вам Scribe Security, ведущим поставщиком комплексных решений для обеспечения безопасности цепочки поставок программного обеспечения, обеспечивающим современную безопасность артефактов кода, а также процессов разработки и доставки кода по всей цепочке поставок программного обеспечения. Подробнее.
Статьи по теме
