Администрация президента США Джо Байдена выпустила новое руководство, которое предписывает всем американским федеральным агентствам в течение ближайших 3-х месяцев осуществить полную инвентаризацию софта, используемого ими в своей профессиональной деятельности.
Национальный институт стандартов и технологий (NIST) представил руководство о том, как именно госструктуры США могут максимально качественно защитить информационные госсистемы с использованием программного обеспечения, выбранного из соответствующего списка «безопасного софта».
Глава Административно-бюджетного управления (OBM) администрации Джо Байдена Шаланда Янг заявила, что все американские федеральные агентства обязаны ввести свою работу инструкции, выпущенные NIST, в отношении любого стороннего программного обеспечения, которое ими используется. При этом регламент не распространяется на софт, который был разработан самими федеральными агентствами.
В соответствии с одним из основных принципов из инструкции NIST, федеральные агентства США обязаны запросить у разработчиков ПО демонстрацию, как именно те оценили все риски обеспечения безопасной разработки их софта. Кроме того, федеральным агентством США запрещается пользоваться программным обеспечением, которое не соответствует инструкциям NIST.
Разработчики софта обязаны предоставлять федеральным агентствам США письмо о функционале безопасности своих решений, последних изменениях и множество другой информации. Помимо этого, поставщикам IT-продуктов также необходимо официально подтверждать соблюдение безопасных методов разработки.
Американские федеральные агентства могут потребовать от разработчиков ПО спецификации программного обеспечения – Software Bill of Materials, SBOM. Также американские органы в течение 4-х месяцев обязаны разработать процедуры доведения новых требований до поставщиков программного обеспечения, а в течение 270 ближайших дней собрать письма разработчиков о критическом софте.
Крис Деруша, федеральный директор по информационной безопасности США, подчеркнул, что основная цель этих усилий – обеспечения того, чтобы миллионы строк кода, которые лежат в основе профессиональной деятельности американских федеральных агентств, были созданы с учетом действующих отраслевых стандартов кибербезопасности.
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Telegram | Дзен | YouTube | Rutube | Пульс.