Как ИТ-менеджеры могут оценивать заявления о «задуманной безопасности» программного обеспечения

Автор На чтение 4 мин Просмотров 42 Опубликовано

Ни для кого не секрет: киберугрозы растут. По данным Центра рассмотрения жалоб на интернет-преступления ФБР, в прошлом году стоимость зарегистрированных киберпреступлений в США подскочила на 22% и составила более 12,5 миллиардов долларов.1 Одна из проблем связана с недостатками, которые сохранились в программном обеспечении благодаря традиционным подходам к кодированию и безопасности. Для борьбы с этими рисками в настоящее время предпринимаются согласованные усилия по созданию программного обеспечения, которое является безопасным по своей конструкции. Например, Агентство кибербезопасности и безопасности инфраструктуры США (CISA) наметило ряд действий, которые поставщики могут предпринять, чтобы продемонстрировать, что они принимают принципы безопасности по принципу проектирования.2

Но без обязательных стандартов и показателей руководителям ИТ и безопасности сложно оценить, реализуют ли поставщики этот подход, предусматривающий проектную безопасность, и если да, то каким образом. Вот несколько шагов, которые вы можете предпринять.

Содержание
  1. Интегрируйте методы безопасного проектирования в оценку рисков
  2. Оцените практику кодирования
  3. Оцените прозрачность безопасности по своему дизайну
  4. Самое необходимое

Интегрируйте методы безопасного проектирования в оценку рисков

Оценка рисков поставщика — это стандартный процесс, с помощью которого компании выявляют и оценивают потенциальные опасности, связанные с продукцией и деятельностью поставщика. Руководители ИТ и безопасности могут использовать этот процесс, чтобы сосредоточиться на принципах и методах безопасности, говорит Майкл Ример, полевой менеджер по информационной безопасности в Ivanti.

«Для нас, как компании-разработчика программного обеспечения, это означает принятие полной ответственности за наши собственные продукты», — говорит Ример. «Вы рассматриваете всю архитектуру решения и учитываете безопасность во всех областях, таких как проектирование архитектуры, хранение, подключение, использование и т. д. »

В рамках оценки рисков предприятиям следует также рассмотреть возможность требования отчета SOC 2 типа 2. Этот тип оценки обеспечивает большую уверенность в том, как поставщик защищает данные и информацию клиентов. Это включает в себя сторонний аудит кибербезопасности, в ходе которого оценивается работа внутренних средств и методов обеспечения безопасности поставщика в течение длительного периода времени.

ЧИТАТЬ  Современная классика: дизайн квартиры площадью 150 м². метров в Санкт-Петербурге

Вот несколько ключевых вопросов, на которые должен ответить каждый поставщик услуг:

  • Как часто вы проводите тестирование на проникновение?
  • Какие виды тестов на проникновение проводятся?
  • Вы выполняете статический и динамический анализ кода?

Оцените практику кодирования

Традиционные методы кодирования являются последовательными: одна команда работает над модулем, затем передает его следующей команде и так далее. Но он сохраняет слабые места, внесенные в кодовую базу, говорит Ример из Ivanti. Реструктурируя команды в «капсулы» или группы, каждая из которых имеет выделенного архитектора безопасности, можно устранить слабые места с самого начала. «Это было серьезное изменение для Иванти», — говорит Ример. Поставщики должны иметь возможность продемонстрировать эти организационные изменения и новые практики.

Оцените прозрачность безопасности по своему дизайну

Поставщики должны иметь возможность публично раскрывать информацию о своей безопасности в соответствии с целями разработки и демонстрировать, что они регулярно сообщают или будут сообщать о мерах. Клиенты также должны иметь возможность отслеживать прогресс поставщика с помощью его программных модулей.

«Мы поставили конкретные цели, установили базовый уровень и показатели и будем публиковать ежеквартальные обновления этих показателей, начиная с октября 2024 года», — говорит Ример. «Мы берем на себя ответственность за наш прогресс в обеспечении безопасности за счет дизайна. Эти метрики покажут, какие программные модули мы проанализировали и насколько глубоким был анализ для выявления и исправления плохих методов кодирования.

Самое необходимое

Руководители бизнеса и ИТ-отделов могут использовать принципы безопасности посредством проектирования, чтобы оценить прогресс, достигнутый их поставщиками программного обеспечения в создании более безопасного кода. Безопасная конструкция позволяет этим лидерам минимизировать бизнес-риски.

кликните сюда чтобы узнать больше о стремлении Ivanti обеспечить безопасность дизайна продукции.

ЧИТАТЬ  Узнайте, как модернизировать дизайн вашего магазина на CStore Connections.

12023_IC3Отчет.pdf

2Изменение баланса рисков кибербезопасности: принципы и подходы к созданию безопасного программного обеспечения (cisa.gov)

Source

Похожие записи:

  1. В отчете говорится, что организации могут значительно уменьшить количество уязвимостей с помощью методов обеспечения безопасности при проектировании.
  2. Эксклюзив | Китайская звезда программного обеспечения для проектирования чипов сокращает штат из-за препятствий на рынке
  3. Как слоны могут помочь в проектировании роботов
безопасности задуманной заявления ИТменеджеры Как могут обеспечения оценивать программного
Оцените статью
Своими руками
© 2025 Своими руками. Запрещено использование материалов сайта без согласия его авторов