Обещание безопасности благодаря дизайну | СНГА

краткое содержание

Это добровольное обязательство, ориентированное на корпоративные программные продукты и услуги, включая локальное программное обеспечение, облачные сервисы и программное обеспечение как услугу (SaaS). Обещание не распространяется на физические продукты, такие как устройства IoT и потребительские товары, хотя компании, которые хотят продемонстрировать прогресс в этих областях, могут это сделать.

Принимая участие в этом обязательстве, производители программного обеспечения обязуются приложить добросовестные усилия для достижения перечисленных ниже целей в течение следующего года. Если производитель программного обеспечения сможет добиться ощутимого прогресса в достижении цели, он должен публично задокументировать, как он достиг этого прогресса, в течение одного года с момента подписания обязательства. Если производитель программного обеспечения не может добиться ощутимого прогресса, ему предлагается в течение одного года с момента подписания обязательства поделиться с CISA тем, как производитель работает над достижением цели и какими проблемами он сталкивается. В духе радикальной прозрачности производителю рекомендуется публично документировать свой подход, чтобы другие могли ему научиться. Это обязательство является добровольным и не имеет юридической силы.

Обязательство структурировано с семью целями. Каждая цель содержит ключевые стандарты, к которым производители обязуются стремиться, а также контекст и примеры достижения цели и демонстрации измеримого прогресса. Чтобы обеспечить разнообразие подходов, производители программного обеспечения, участвующие в Обязательстве, имеют право по своему усмотрению определять, как они могут наилучшим образом удовлетворить и продемонстрировать основные критерии для каждой цели. Демонстрация измеримого прогресса по продуктам производителя может принимать различные формы – например, принятие мер в отношении всех продуктов производителя или выбор группы продуктов, над которыми нужно работать в первую очередь, и публикация дорожной карты для других продуктов.

CISA признает и аплодирует производителям программного обеспечения, которые уже достигли или перевыполнили эти цели. В таком случае, когда производитель программного обеспечения действительно достигает целевого показателя или превосходит его, он должен публично описать, как он это делает. В этих случаях CISA приветствует дополнительные усилия по превышению целей обязательства.

Это обязательство призвано дополнить и развить существующие передовые методы обеспечения безопасности программного обеспечения, в том числе разработанные CISA, NIST и другими федеральными агентствами, а также лучшие международные и отраслевые практики. CISA продолжает поддерживать принятие дополнительных мер, повышающих безопасность за счет дизайна.