0 оценок0% нашли этот документ полезным (0 голосов)
3 просмотров7 страниц
Ещё один документ о методах обеспечения кибербезопасности — ведь миру нужно больше рекомендаций, так ведь? "Выбор безопасных и поддающихся проверке технологий" — это руководство для организаций, которые по уши в цифровых продуктах и услугах, но, похоже, не могут самостоятельно разобраться во всех аспектах безопасности. В нем есть все: от радостей навигации по прозрачности производителей (потому что они всегда так откровенны) до катания на американских горках, связанных с рисками цепочки поставо
Ещё один документ о методах обеспечения кибербезопасности — ведь миру нужно больше рекомендаций, так ведь? "Выбор безопасных и поддающихся проверке технологий" — это руководство для организаций, которые по уши в цифровых продуктах и услугах, но, похоже, не могут самостоятельно разобраться во всех аспектах безопасности. В нем есть все: от радостей навигации по прозрачности производителей (потому что они всегда так откровенны) до катания на американских горках, связанных с рисками цепочки поставо
Ещё один документ о методах обеспечения кибербезопасности — ведь миру нужно больше рекомендаций, так ведь? "Выбор безопасных и поддающихся проверке технологий" — это руководство для организаций, которые по уши в цифровых продуктах и услугах, но, похоже, не могут самостоятельно разобраться во всех аспектах безопасности. В нем есть все: от радостей навигации по прозрачности производителей (потому что они всегда так откровенны) до катания на американских горках, связанных с рисками цепочки поставо
переход к продуктам и услугам, которые безопасны как с
точки зрения проектирования, так и по умолчанию, подчёркивая преимущества такого подхода, включая повышение устойчивости, снижение рисков и снижение затрат, связанных с исправлениями и реагированием на инциденты. • Безопасность по умолчанию: необходимость проектирования и разработки технологий, обеспечивающих безопасность, является основополагающим элементом безопасности продуктов при минимальной потребности в дополнительных конфигурациях. • Процесс закупок: двухэтапный подход к закупкам – оценка перед включает оценку функций безопасности продукта, прозрачности производителя и постоянной поддержки и обновлений, предоставляемых производителем. • Прозрачность производителя: Организациям рекомендуется оценить приверженность производителя обеспечению безопасности, включая его способность предоставлять информацию о Аннотация – документ "Choosing Secure and Verifiable функциях безопасности и уязвимостях продукта. Technologies” содержит анализ основных аспектов выбора Производители должны придерживаться такой защищённых цифровых продуктов и услуг и охватывает практики, как публикация полных и своевременных различные области, включая принципы безопасности при материалов. проектировании, прозрачность производителя, управление рисками, риски цепочки поставок и рекомендации после • Управление рисками: важность непрерывного покупки, такие как политика технического обслуживания и управления рисками как в процессе закупок, так и на окончания срока службы. Каждый раздел предлагает протяжении всего жизненного цикла продукта или подробное изучение стратегий и практик, повышающих услуги включает регулярные обновления и безопасность и достоверность технологических закупок. исправления от производителя для устранения Этот документ особенно полезен специалистам по новых уязвимостей. кибербезопасности, ИТ-менеджерам и специалистам по закупкам в различных отраслях. Он служит ценным ресурсом, • Риски цепочки поставок: здесь основное поскольку в нем описываются необходимые шаги для внимание уделяется управлению рисками, обеспечения того, чтобы приобретённые технологии не связанными с цепочкой поставок, при этом только соответствовали текущим стандартам подчёркивается необходимость того, чтобы безопасности, но и соответствовали текущим методам обеспечения безопасности для уменьшения будущих организации обеспечивали соблюдение их уязвимостей. Этот анализ направлен на принятие поставщиками проектных принципов безопасности. обоснованных решений, защищающих данные организации и • Управление инцидентами безопасности: инфраструктуру от потенциальных киберугроз, тем самым повышая общую устойчивость бизнеса. Интегрируя эти охватывает необходимость эффективного методы, специалисты из различных секторов могут управления инцидентами безопасности и значительно снизить риски, связанные с цифровыми событиями (SIEM) и интеграции управления технологиями, и повысить безопасность их эксплуатации. безопасностью, автоматизации и реагирования (SOAR) для управления потенциальными I. ВВЕДЕНИЕ инцидентами безопасности и смягчения их Документ “Choosing Secure and Verifiable Technologies” последствий. содержит всеобъемлющее руководство для организаций по • Политика жизненного цикла: необходимость приобретению цифровых продуктов и услуг с акцентом на чёткой политики в отношении срока службы безопасность, начиная с этапа проектирования и заканчивая продуктов и услуг, включая безопасное удаление жизненным циклом технологии. данных и переход на новые технологии. В документе подчёркивается критическая важность • Вопросы регулирования и соответствия: выбора технологий, которые по своей сути являются организациям рекомендуется обеспечивать безопасными, для защиты конфиденциальности соответствие продуктов и услуг требованиям и пользователей и данных от растущего числа киберугроз. В стандартам, которые могут варьироваться в нем излагается ответственность клиентов за оценку зависимости от отрасли и типа обрабатываемых безопасности, пригодности и связанных с ними рисков данных. цифровых продуктов и услуг. ИТ-отдел выступает за Больше материалов: Boosty | Sponsr | TG
II. АУДИТОРИЯ Признается уникальность структуры и подхода каждой
Документ ориентирован на широкую аудиторию в сфере организации к закупкам и предполагается, что не каждый закупок и производства цифровых технологий.: пункт документа может иметь отношение к каждой организации. Кроме того, организациям может • Организации, которые закупают и используют потребоваться учитывать другие факторы, не описанные в цифровые продукты и услуги: широкий круг документе, которые могут быть уникальными для их организаций, известных как закупающие конкретной ситуации или отрасли или региона, в котором организации, закупщики, потребители и заказчики. они работают. Эти организации находятся в центре внимания руководства документа, направленного на III. КОНЦЕПЦИЯ “SECURITY BY DESIGN” совершенствование процесса принятия ими Концепция "Security by design" (SbD) — это решений при закупке цифровых технологий. упреждающий подход, ориентированный на безопасность, • Производители цифровых продуктов и услуг: применяемый производителями программного обеспечения Документ также адресован производителям при разработке цифровых продуктов и услуг. Такой подход цифровых технологий, предоставляя им требует целенаправленного согласования целей информацию о принципах обеспечения кибербезопасности на всех организационных уровнях, безопасности при разработке. Это предназначено задействованных в производственном процессе. для руководства производителями при разработке технологий, отвечающих ожиданиям их клиентов в • Проактивная интеграция безопасности: подход области безопасности. требует, чтобы принципы были интегрированы с самого начала процесса разработки продукта, а не Ключевым сотрудникам, которым рекомендуется добавлялись как запоздалая мысль. Такая ознакомиться с данным руководством и использовать его: интеграция происходит на всех этапах проектирования, разработки и развёртывания. • Руководители организаций и менеджеры высшего звена: играют решающую роль в • Целенаправленное согласование целей в области принятии решений и формулировании стратегии кибербезопасности: подход требует, чтобы цели для своих организаций. кибербезопасности согласовывались с самого начала с бизнес-целями и дизайном продукта. Такое • Персонал по кибербезопасности и политике согласование гарантирует, что меры безопасности безопасности: ответственные за обеспечение встроены в архитектуру продукта или услуги. безопасности цифровых технологий в своих организациях. • Учёт киберугроз: Производители должны учитывать потенциальные киберугрозы на • Команды разработчиков продуктов: участвуют в начальных этапах разработки продукта. Такое создании и разработке цифровых продуктов и услуг, прогнозирование позволяет реализовать меры по обеспечивая безопасность этих предложений по смягчению последствий на ранних стадиях процесса своей конструкции. разработки, снижая вероятность появления • Консультанты по рискам и специалисты по уязвимостей в конечном продукте. закупкам: консультируют по вопросам управления • Конфиденциальность пользователей и защиты рисками и специализируются на процессе закупок, данных: Основной целью подхода является гарантируя, что приобретаемые цифровые конфиденциальности пользователей и защита технологии не представляют неоправданных рисков данных. Разрабатывая продукты с меньшим для организации. количеством уязвимостей, производители Документ преследует несколько целей: повышают безопасность пользовательских данных от несанкционированного доступа и потенциальных • Информировать организации о проектных утечек. принципах безопасности при приобретении цифровых продуктов и услуг, что приводит к более • Руководство для закупающих организаций: обоснованным оценкам и решениям. Понимание принципов подхода имеет решающее значение для организаций, закупающих цифровые • Информировать производителей о конструктивных продукты и услуги. Эти знания помогают им принципах безопасности их продуктов и услуг с принимать обоснованные решения, гарантируя, что целью ускорения разработки безопасных приобретаемые ими продукты построены с учётом технологий. Это даёт производителям ответы на безопасности в качестве основополагающего ключевые вопросы безопасности и ожидания, элемента которые они могут ожидать от своих клиентов. IV. ИЗМЕНЕНИЕ БАЛАНСА РИСКОВ КИБЕРБЕЗОПАСНОСТИ В документе подчёркивается, что это не контрольный список для получения идеальных результатов цифровых Рассматриваемый документ ссылается на другой закупок, а скорее руководство, помогающее закупающим “Choosing Secure and Verifiable Technologies” от Агентства организациям принимать обоснованные решения с учётом по кибербезопасности и инфраструктурной безопасности рисков в их уникальных операционных контекстах. (CISA), и представляет собой совместную работу, Больше материалов: Boosty | Sponsr | TG
направленную на руководство производителями V. КАТЕГОРИИ ЦИФРОВЫХ ПРОДУКТОВ И УСЛУГ
технологий в повышении безопасности их продуктов. Эта Различные категории цифровых продуктов и услуг публикация представляет собой международную попытку подчёркивают важность понимания этих категорий для уменьшить уязвимости, которые могут быть использованы обеспечения безопасной закупки и использования. в технологиях, используемых как государственными, так и частными организациями. Документ поддерживается A. Программное обеспечение коалицией агентств глобальной безопасности, включая • Определение: Программное обеспечение CISA, Федеральное бюро расследований (ФБР), Агентство охватывает все типы программ и прикладных национальной безопасности (АНБ) и международных программ, включая операционные системы и партнёров из Австралии, Канады, Новой Зеландии, встроенные системы. Соединённого Королевства, Германии и Нидерландов. • Проприетарное программное обеспечение: это A. Основополагающие принципы программное обеспечение, разработанное • Ответственность за результаты обеспечения производителями и распространяемое по безопасности клиентов: производителям специальным соглашениям о лицензировании или рекомендуется уделять приоритетное внимание покупке. Он часто имеет ограничения, такие как безопасности своих клиентов, интегрируя ограничения пользователей и запреты на принципы безопасности с начальных этапов перепродажу или модификацию. разработки продукта. Этот принцип подчёркивает • Программное обеспечение с открытым важность разработки продуктов, которые по своей исходным кодом (OSS): OSS включает сути являются безопасными, тем самым снижая программное обеспечение с исходным кодом, риск киберугроз для конечных пользователей. которое находится в свободном доступе по • Радикальная прозрачность и подотчётность: открытой лицензии, позволяющей любому принцип призывает производителей быть просматривать, использовать, изучать или изменять открытыми и прозрачными в отношении функций его. Управляемая сообществом волонтёров, OSS безопасности своей продукции. Он призывает способствует быстрой разработке продукта раскрывать потенциальные уязвимости и шаги, благодаря своему характеру сотрудничества. предпринятые для их устранения, способствуя B. Встроенное программное обеспечение и формированию культуры подотчётности. микропрограммное обеспечение • Безопасность — это бизнес-цель: В техническом • Встроенное программное обеспечение: это документе подчёркивается важнейшая роль программное обеспечение управляет встроенными руководителей высшего звена во внедрении системами, предназначенными для выполнения безопасности в корпоративную культуру. Это определённых функций в рамках более крупных предполагает, что руководство должно отстаивать систем, обычно ограниченных доступными безопасность как основную бизнес-цель, вычислительными ресурсами и предназначенных гарантируя, что она будет считаться приоритетной для операций в режиме реального времени. на протяжении всего жизненного цикла разработки продукта. • Прошивка: Тип встроенного программного обеспечения, прошивка постоянно хранится в B. Воздействие и реализация энергонезависимой памяти устройства и Документ предоставляет производителям план обеспечивает низкоуровневый контроль над разработки продуктов, безопасных с точки зрения аппаратными компонентами устройства. проектирования и по умолчанию, обеспечивающих защиту C. Спецификация программного обеспечения (SBOM) от распространённых киберугроз без необходимости дополнительных настроек или затрат для конечных • Функциональность: SBOM содержит список пользователей. Это предполагает, что принятие этих программных компонентов или библиотек, принципов может переложить бремя обеспечения составляющих программный пакет. Это применимо ко всем типам программного обеспечения, включая безопасности с потребителей на производителей, снижая проприетарное, операционное, встроенное и вероятность инцидентов безопасности, возникающих в прошивное. результате распространённых проблем, таких как неправильная конфигурация или задержка с исправлением. • Полезность: Спецификации SBOM помогают производителям и потребителям идентифицировать Кроме того, в документе подчёркивается необходимость компоненты и их версии в продукте, облегчая стратегического внимания к безопасности программного мониторинг обновлений и уязвимостей. обеспечения, призывая производителей идти на сложные Спецификации SBOM обычно являются компромиссы и инвестиции, включая внедрение языков машиночитаемыми для поддержки автоматического программирования, которые смягчают распространённые мониторинга и отчётности. уязвимости, и отдавать приоритет безопасности, а не привлекательным, но потенциально рискованным D. Аппаратное обеспечение функциональным возможностям их продуктов. • Область применения: Аппаратное обеспечение включает любое физическое устройство, Больше материалов: Boosty | Sponsr | TG
предназначенное для обработки, хранения или независимое тестирование и обновления функций
передачи данных. К этой категории относятся безопасности. сетевые устройства (например, брандмауэры, маршрутизаторы), устройства хранения данных и • Ожидается, что производители будут уведомлять серверы. клиентов о любых обнаруженных уязвимостях и предоставлять рекомендации по их устранению, в • Спецификация оборудования (HBOM): HBOM идеале без каких-либо дополнительных затрат. описывает физические компоненты, из которых состоит аппаратное устройство. Это крайне важно • Публикация полных и своевременных отчётов об для понимания материалов, используемых в общих уязвимостях и разоблачениях (CVE) имеет оборудовании, и оценки потенциальных рисков решающее значение для поддержания цепочки поставок. прозрачности.
E. Интернет вещей (IoT) 2) Защищенный по умолчанию
• Продукты должны быть безопасными "из коробки", IoT обычно относится к аппаратному обеспечению и требуя от потребителя минимальной настройки включает устройства и датчики, которые подключаются к системы безопасности для безопасной Интернету для обмена данными и обеспечения эксплуатации. функциональности. В эту категорию входят потребительские товары, медицинские устройства и • Функции защиты по умолчанию могут включать операционные технологии. многофакторную аутентификацию и ведение журнала безопасности с настройками по F. Облачные сервисы умолчанию, настроенными на самый высокий Поставщики облачных услуг предлагают уровень безопасности. вычислительные ресурсы по запросу, включая 3) Требования безопасности инфраструктуру, платформу, хранилище, сетевые услуги и • Организации должны определять и понимать свои обработку данных. Здесь применяются принципы конкретные потребности в области безопасности, безопасности, аналогичные при закупке программного чтобы гарантировать соответствие закупаемых обеспечения и оборудования. продуктов этим требованиям. G. Программное обеспечение как услуга (SaaS) • Использование стандартов шифрования и SaaS позволяет потребителям использовать управление идентификационными данными. программное обеспечение без необходимости 4) Управление рисками в цепочке поставок устанавливать его самостоятельно или управлять им. Это снижает накладные расходы на управление и • Оценка безопасности цепочки поставок производителя имеет жизненно важное значение, инфраструктуру и может предлагаться по различным поскольку уязвимости могут быть унаследованы соглашениям, включая бесплатный доступ. закупающей организацией. H. Поставщики управляемых услуг (MSP) • У производителей должен быть план управления MSP предоставляют специализированные услуги, рисками в цепочке поставок для устранения помогающие организациям управлять облачной потенциальных рисков. инфраструктурой, обеспечивать её безопасность и оптимизировать. Услуги включают управление облачной 5) Использование программного обеспечения с инфраструктурой, безопасность, резервное копирование и открытым исходным кодом восстановление данных, что позволяет клиентам • Следует тщательно контролировать использование сосредоточиться на основных видах деятельности программного обеспечения с открытым исходным кодом (OSS), чтобы избежать рисков для VI. ВНЕШНИЕ ЗАКУПКИ безопасности. Внешние закупки подразделяются на этапы перед • Производителям следует обеспечивать регулярное покупкой и после покупки для обеспечения безопасных и обновление компонентов OSS и их безопасность. обоснованных решений при приобретении цифровых продуктов и услуг. 6) Обмен данными и суверенитет • Понимание того, какие данные будут переданы, как A. Этап пред-покупки они будут использоваться производителем, и Этап фокусируется на нескольких ключевых областях обеспечение соблюдения законов о защите данных для обеспечения того, чтобы организации делали имеют решающее значение. осознанный и безопасный выбор при приобретении • Учитывается географическое расположение, в цифровых продуктов и услуг. котором хранятся и обрабатываются данные. 1) Прозрачность и отчётность 7) Процесс разработки • Организациям следует проверять прозрачность • Организациям следует убедиться в том, что информации, предоставляемой производителями, производители придерживаются безопасных которая может включать отраслевые отчёты, методов разработки. Больше материалов: Boosty | Sponsr | TG
• Учитывается, разрабатываются ли продукты в поддержания целостности безопасности технологии
безопасной среде и соответствуют ли они на протяжении всего её жизненного цикла. соответствующим стандартам. • Управление инцидентами безопасности, 8) Геополитические риски организация безопасности, автоматизация и • Производители должны осознавать реагирование на них (SIEM и SOAR) геополитические риски, которые могут повлиять на • Интеграция решений SIEM и SOAR жизненно их продукцию и услуги, и управлять ими. важна для эффективного обнаружения и устранения • Учитывается понимание политической вредоносных действий. стабильности регионов, где они работают, и их • Для оптимальной работы этим инструментам цепочек поставок. требуются подробные журналы из приложений, и 9) Регулируемые Отрасли производителям следует сотрудничать с Продукты должны оцениваться на соответствие поставщиками SIEM и SOAR, чтобы убедиться, что конкретным нормативным требованиям, относящимся к их продукты регистрируют достаточный объём отрасли, в которой они используются. информации. 2) Техническое обслуживание 10) Доступ к производителю • Организации должны проверять соблюдение • Оценка необходимости и безопасности доступа производителями обязательств по техническому любого производителя к системам организации. обслуживанию, заявленных на этапе закупок. • Учитывается как удалённый, так и физический • Это включает предоставление своевременных контроль доступа. обновлений и исправлений, а также поддержку для 11) Внутренняя угроза устранения любых уязвимостей, обнаруженных • Учёт потенциальных рисков, исходящие от после покупки. инсайдеров в организации производителя, которые 3) Контракты, лицензирование и Соглашения об могут нанести вред закупающей организации. уровне обслуживания • Должны быть внедрены такие средства контроля, • Важно обеспечить соблюдение производителем как надёжная практика найма и мониторинг. всех договорных обязательств и соглашений об уровне обслуживания. 12) Открытые стандарты • Использование открытых стандартов способствует • Организациям следует регулярно проверять эти интероперабельности и снижает риск привязки к соглашения, чтобы подтвердить текущее поставщику. соответствие и учесть любые изменения, которые влияют на качество обслуживания и безопасность. • Организациям следует проверять соответствие продукции этим стандартам. 4) Направляющие для ослабления • Производители должны предоставлять руководства 13) Подключенные системы с подробным описанием параметров конфигурации, Понимание всех систем, к которым будет подключаться которые пользователи могут изменять в продукте. продукт, важно для оценки потенциальных рисков и эффективного управления ими. • В этих руководствах должны быть объяснены последствия для безопасности изменения 14) Ценность продукта конфигураций по сравнению с настройками по Оценка ценности продукта, включая его стоимость, умолчанию и предложены возможные ожидаемый срок службы и уровень безопасности, который компенсирующие меры безопасности. он обеспечивает организации, имеет решающее значение 5) Конец жизненного цикла для принятия обоснованных решений о закупках • Процессом окончания срока службы продукта B. Этап после покупки следует управлять осторожно, чтобы избежать На этапе рассматриваются несколько важнейших рисков безопасности, связанных с аспектов управления цифровыми продуктами и услугами неподдерживаемыми или устаревшими технологиями. после приобретения. Эти аспекты имеют решающее значение для обеспечения постоянной безопасности, • Организациям следует планировать безопасную соответствия требованиям и операционной эффективности. утилизацию или передачу продукта в конце срока его службы, гарантируя, что все данные будут 1) Управление рисками надлежащим образом обрабатываться и что продукт • Организации должны обеспечивать непрерывное будет выведен из эксплуатации способом, управление рисками для устранения новых и обеспечивающим безопасность эволюционирующих угроз. • Регулярные оценки и обновления необходимы для адаптации к изменениям в ландшафте угроз и Больше материалов: Boosty | Sponsr | TG
VII. ВНУТРЕННИЕ ЗАКУПКИ управление ими осуществляется на приемлемом
уровне. Это помогает понять, как продукт или Внутренние закупки подразделяются на три этапа: перед услуга впишутся в существующую инфраструктуру закупкой, закупка и после закупки. На каждом этапе и какие корректировки могут потребоваться. рассматриваются конкретные аспекты, которые организациям необходимо учитывать внутри компании при 4) Владелец продукта закупке цифровых продуктов и услуг. • Потребности бизнеса и толерантность к риску: Владелец продукта должен оценить, соответствует A. Этап пред-покупки ли продукт потребностям бизнеса, не превышая Этап направлен на обеспечение соответствия толерантность организации к риску. Это включает в внутренних аспектов организации закупкам цифровых себя оценку уровня секретности, которому должна продуктов и услуг. Этот этап включает консультации и соответствовать покупка. оценки в различных отделах организации, чтобы убедиться • Контракт и снижение рисков: контракт должен в том, что рассматриваемый продукт или услуга охватывать приемлемый уровень риска и включать соответствует организационным потребностям и соответствующие меры по снижению рисков. стандартам безопасности. Владелец продукта играет решающую роль в 1) Высшее руководство обеспечении соответствия условий контракта и разработке плана снижения рисков • Оценка и утверждение рисков: Высшее руководство несёт ответственность за установление B. Этап покупки порогового значения организационного риска и утверждение закупок на основе комплексной Этап включает критические оценки и решения, которые оценки рисков. Это включает в себя понимание обеспечивают соответствие процесса закупок целям потенциальных рисков, связанных с продуктом или организации и требованиям безопасности. услугой, и обеспечение того, чтобы они находились 1) Высшее руководство в приемлемых пределах. • Принятие решений и принятие рисков: Высшее • Включение плана реагирования на инциденты: руководство несёт ответственность за для высшего руководства крайне важно обеспечить окончательную доработку решений о закупках. Это включение продукта или услуги в план включает принятие любых остаточных рисков, реагирования на инциденты организации, что выявленных в процессе закупок, и обеспечение того, указывает на готовность к потенциальным чтобы эти риски находились в пределах инцидентам безопасности. допустимого риска организации. 2) Политика • Утверждение контрактов: Высшее руководство • Соответствие политике: Закупки должны играет решающую роль в рассмотрении и оцениваться в соответствии с существующими утверждении окончательных контрактов, политиками, чтобы убедиться в отсутствии гарантируя, что все условия соответствуют конфликтов. Это включает проверку того, что требованиям организации и что контракты уровень риска, связанный с продуктом или услугой, обеспечивают надлежащую защиту и ценность. не превышает принятые организацией пороговые 2) Системное администрирование значения риска. • Проверка технических спецификаций: • Соответствие нормативным и законодательным Системным администраторам поручено проверять, требованиям: Продукт или услуга должны соответствуют ли технические спецификации соответствовать всем соответствующим закупаемых продуктов или услуг требованиям требованиям к регистрации и аудиту, которые могут организации. Это включает в себя подтверждение быть продиктованы законодательными или правильности реализации всех системных регулирующими стандартами. Это обеспечивает конфигураций, интеграций и пользовательских соответствие требованиям и способствует плавной настроек. интеграции продукта или услуги в деятельность • Проверки безопасности и соответствия организации. требованиям: они гарантируют соответствие новых 3) Инфраструктура и безопасность систем существующим политикам и стандартам • Совместимость средств контроля безопасности: безопасности. Системные администраторы также Существующие средства контроля безопасности, играют определённую роль в настройке новых структуры или стандарты, которых придерживается систем для поддержания безопасности и организация, должны быть совместимы с новым операционной эффективности. продуктом или услугой. Для оценки этой 3) Инфраструктура и безопасность совместимости следует завершить оценку • Интеграция и совместимость: основное внимание воздействия на безопасность. уделяется обеспечению того, чтобы новые системы • Моделирование угроз: следует разработать закупок беспрепятственно интегрировались с тщательную модель угроз для выявления существующей инфраструктурой без ущерба для соответствующих угроз и рисков, гарантируя, что безопасности или производительности. Это Больше материалов: Boosty | Sponsr | TG
включает в себя проведение детальных проверок предоставлены возможности SOAR (управление
совместимости и планирование любых безопасностью, автоматизация и реагирование). Эта необходимых обновлений инфраструктуры. интеграция помогает обнаруживать инциденты безопасности и реагировать на них. • Текущие оценки безопасности: после интеграции крайне важно постоянно оценивать состояние • Процедуры управления данными: Процедуры безопасности интегрированных систем для управления данными, включая удаление, оперативного выявления любых возникающих редактирование и резервное копирование, должны рисков и смягчения их последствий. быть установлены и соблюдаться для защиты целостности и конфиденциальности данных. 4) Владелец продукта • Включение плана реагирования на инциденты: • Соответствие потребностям бизнеса: Владелец Новый продукт или услуга должны быть включены продукта гарантирует, что закупаемые продукты в план реагирования на инциденты организации, или услуги соответствуют потребностям бизнеса и гарантируя наличие конкретных стратегий стратегическим целям. Это включает в себя реагирования. проверку соответствия функций и возможностей продукта указанным требованиям. 3) Инфраструктура и безопасность • Периодический пересмотр разрешений: • Управление жизненным циклом продукта: Организации следует периодически проверять владелец отвечает за надзор за жизненным циклом разрешения и учётные записи с привилегиями, продукта от закупки до развёртывания и далее, чтобы гарантировать, что средства контроля гарантируя, что продукт продолжает удовлетворять доступа остаются надлежащими и безопасными. потребности организации по мере их развития • Проверка сертификатов безопасности C. Этап после покупки производителя: Сертификаты безопасности производителя следует периодически проверять на Этап включает в себя обеспечение того, чтобы наличие обновлений, чтобы убедиться, что продукт приобретённые цифровые продукты и услуги по-прежнему продолжает соответствовать требуемым стандартам соответствовали целям организации в области безопасности. безопасности, оперативным и стратегическим целям. Этот этап требует постоянных оценок и управленческих практик • Управление устаревшими и новыми технологиями: Организация план поддержки для для устранения любых возникающих рисков или изменений управления как устаревшими, так и новыми в среде организации или продукта. технологиями, гарантирующий учёт рисков 1) Высшее руководство безопасности и эксплуатации. • Постоянное принятие и анализ рисков: Высшее 4) Владелец продукта руководство должно установить процесс для • Соблюдение производителем требований: постоянного или периодического принятия и Владелец продукта должен убедиться, что анализа рисков продукта. Это включает в себя производитель продолжает соблюдать требования обеспечение того, чтобы управление рисками по безопасности и эксплуатации, сделанные на продукта осуществлялось в реестре рисков этапе покупки. организации, а планы обеспечения безопасности системы и непрерывности бизнеса обновлялись и • Периодические проверки контрактов: Контракты принимались. и соглашения об уровне обслуживания с производителем следует периодически • Управление устаревшими технологиями: пересматривать, чтобы обеспечить постоянное Высшее руководство также должно учитывать соответствие требованиям и учитывать любые риски, связанные с устаревшими технологиями, изменения в потребностях организации или обеспечивая их документирование и надлежащее характеристиках продукта. управление в рамках системы управления рисками организации. • Оценка рисков изменений: Любые изменения в продукте, включая обновления или изменения 2) Системное администрирование конфигурации, должны подвергаться оценке • Мониторинг обновлений системы безопасности: рисков, чтобы убедиться, что они не привносят Системные администраторы отвечают за настройку новых уязвимостей или не ставят под угрозу систем мониторинга и уведомлений об безопасность. исправлениях, CVE и обновлениях продуктов, включая те, которые связаны со всей цепочкой • Разработка планов обеспечения непрерывности поставок. Это гарантирует, что организация по- и безопасности: Владелец продукта должен прежнему осведомлена о новых уязвимостях или обеспечить разработку и поддержание планов обновлениях и может реагировать на них. обеспечения непрерывности бизнеса и системной безопасности с учётом как нормативных, так и • Интеграция с SIEM и SOAR: Продукт должен законодательных требований быть интегрирован в систему организации SIEM (информация о безопасности и управление событиями), и, если применимо, должны быть