Программное обеспечение является фундаментальным строительным блоком цифровых технологий. Он лежит в основе всех наших цифровых устройств и услуг и используется для создания важнейших приложений и инновационных решений, на которые полагаются предприятия во всех секторах нашей экономики.

Программное обеспечение имеет важное значение для повседневной работы предприятий

Открытый запрос доказательств

Кодекс практики для поставщиков программного обеспечения: приглашаем к рассмотрению

От:: Департамент науки, инноваций и технологий и виконт Камроуз
Опубликовано: 15 мая 2024 г.
Последнее обновление: 24 мая 2024 г. — Посмотреть все обновления

Краткое содержание

Правительство просит представителей отрасли высказать мнение о проекте кодекса практики для поставщиков программного обеспечения, направленного на повышение устойчивости и безопасности программного обеспечения.

Этот призыв к доказательствам заканчивается в
23:59, 9 августа 2024 г.

Запросить описание доказательств

Обновление: 24 мая 2024 г.

Дата закрытия конкурса отзывов перенесена на 23:59 9 августа 2024 года.

В рамках Национальной киберстратегии стоимостью 2,6 миллиарда фунтов стерлингов по защите и продвижению Великобритании в Интернете правительство работает над повышением киберустойчивости всей экономики Великобритании. Это включает в себя повышение устойчивости и безопасности программного обеспечения для укрепления цифровых цепочек поставок.

Следуя призыву правительства высказать свое мнение по вопросам устойчивости и безопасности программного обеспечения для предприятий и организаций, правительство предприняло широкое взаимодействие с заинтересованными сторонами для разработки пакета политических мер . Вмешательства в этом пакете предназначены для предотвращения распространенных ошибок при разработке и распространении программного обеспечения, а также для улучшения обмена информацией между поставщиками программного обеспечения и их клиентами. Решение этих проблем снизит вероятность и влияние атак на цепочки поставок программного обеспечения и других инцидентов, которые продолжают затрагивать организации во всех секторах нашей экономики.

В настоящее время правительство публикует проект Кодекса практики для поставщиков программного обеспечения. Этот добровольный кодекс практики устанавливает фундаментальные меры безопасности и устойчивости, которых следует ожидать от всех организаций, которые разрабатывают или продают программное обеспечение, используемое предприятиями и другими организациями. Кодекс норм направлен на укрепление основ многих видов цифровых технологий, на которые опираются все отрасли нашей экономики.

В рамках данного запроса мнений необходимо получить отзывы о предлагаемом проекте Кодекса практики для поставщиков программного обеспечения, включая информацию о том, как его следует реализовать.

Ответьте на призыв к просмотру .

Для получения дополнительной информации, пожалуйста, прочитайте сообщение для прессы.

Правительство также проводит призыв высказать свое мнение по вопросам кибербезопасности ИИ , который связан с этим призывом высказать свое мнение по программному обеспечению. Пожалуйста, посетите страницу кибербезопасности AI для получения более подробной информации.

Дополнительную информацию о том, как настоящий Кодекс практики для поставщиков программного обеспечения соответствует Кодексу практики кибербезопасности ИИ, можно найти на странице Кодекса практики кибербезопасности .

Документы

Приглашение высказать свое мнение по Кодексу практики для поставщиков программного обеспечения

HTML

Уведомление о конфиденциальности – запрос на просмотр информации о безопасности программного обеспечения

PDF , 172 КБ , 5 страниц

Способы реагирования

Ответить онлайн

или

Электронная почта по адресу:

cyber.resilience.consultations@dsit.gov.uk

Написать в:

Приглашаем вас высказать свое мнение по вопросам безопасности программного обеспечения — зона 4–50,
Департамент науки, инноваций и технологий,
100 Парламентская улица
, Лондон,
SW1A 2BQ.

Опубликовано 15 мая 2024 г.
Последнее обновление 24 мая 2024 г. + показать все обновления

WikiVisa — ВикиВиза — VikiVisa

Открытый запрос доказательств

Приглашение высказать свое мнение по Кодексу практики для поставщиков программного обеспечения

Обновлено 24 мая 2024 г.

Министерское предисловие

Виконт Камроуз, парламентский заместитель государственного секретаря по искусственному интеллекту и интеллектуальной собственности.

Программное обеспечение является фундаментальным строительным блоком цифровых технологий. Он лежит в основе всех наших цифровых устройств и услуг и используется для создания важнейших приложений и инновационных решений, на которые полагаются предприятия во всех секторах нашей экономики. Программное обеспечение имеет важное значение для повседневной работы предприятий: от текстовых процессоров до программного обеспечения для учета рабочего времени и платежей, от операционных технологий до автоматизации процессов с использованием искусственного интеллекта . Что касается инноваций, предприятия используют программное обеспечение для доставки на рынок новых продуктов и услуг, что открывает огромные экономические и социальные возможности для Великобритании. По этой причине внедрение цифровых технологий, основанных на программном обеспечении, в нашей экономике имеет решающее значение для реализации амбиций, изложенных в Национальной киберстратегии и Цифровой стратегии Великобритании . Это ключ к работе правительства по обеспечению процветания Великобритании, национальной безопасности, глобальной конкурентоспособности и геополитического положения в мире.

Программное обеспечение стало настолько широко распространено в повседневных организационных операциях и процессах, что мы едва замечаем его присутствие, однако скомпрометированное или неисправное программное обеспечение может привести к остановке деятельности организаций. Наша зависимость от программного обеспечения делает его привлекательной мишенью для злоумышленников. В июне 2023 года атака на программное обеспечение для передачи файлов MOVEit , широко используемую программу для бизнес-операций, позволила злоумышленникам получить доступ к личным данным сотрудников и сотрудников широкого круга британских организаций. Это вызвало значительные нарушения и продемонстрировало, насколько масштабным может быть воздействие взломанного программного обеспечения.

В январе правительство наметило пакет политических мер по обеспечению безопасности и устойчивости программного обеспечения в наших цифровых цепочках поставок в ответ на призыв высказать свое мнение по вопросам устойчивости и безопасности программного обеспечения для предприятий и организаций. Первым шагом в этом пакете политик является четкое изложение ожиданий относительно того, как организации, продающие и разрабатывающие программное обеспечение, должны обеспечивать устойчивость продаваемого ими программного обеспечения. Это является ответом на сильный аппетит к вмешательству правительства для устранения несоответствий в безопасности и устойчивости программного обеспечения на рынке.

Поэтому я рад представить этот призыв к выработке мнений по добровольному Кодексу практики для поставщиков программного обеспечения, который предназначен для обеспечения того, чтобы безопасность программного обеспечения стала основополагающей в подходах поставщиков программного обеспечения к разработке и распространению своих продуктов и услуг. Этот Кодекс основан на работе в других областях политики правительства Великобритании, уделяя особое внимание различным аспектам технологического ландшафта, чтобы помочь повысить киберустойчивость и снизить киберриск в его источнике, как это изложено в Национальной киберстратегии. Режим безопасности потребительских товаров в Великобритании вступил в силу, когда 29 апреля 2024 года вступили в силу разделы Части 1 Закона о безопасности продуктов и телекоммуникационной инфраструктуре ( PSTI ) 2022 года. Этот режим возлагает юридическую ответственность на соответствующих лиц, включая производителей, за обеспечение интернет-безопасности. Подключаемые продукты и встроенное программное обеспечение безопасны по своей конструкции. Это сделает потребительские подключаемые продукты более защищенными от кибератак.

Правительство также тесно сотрудничает с промышленностью, чтобы обеспечить наличие добровольных кодексов практики, которые помогут организациям разрабатывать и использовать как существующие, так и новые технологии. Кодекс практики, изложенный в ходе этой консультации, станет важной частью этой более широкой картины, которая в настоящее время также включает Кодекс практики для операторов магазинов приложений и разработчиков приложений , а также Кодекс практики киберуправления , который недавно прошел общественные консультации.

Правительство должно принять меры для обеспечения применения передовых методов кибербезопасности для защиты как основ технологических продуктов, как указано в предлагаемом Кодексе практики для поставщиков программного обеспечения, так и новых технологий, таких как искусственный интеллект . Чтобы совместно справиться с этими рисками, правительство одновременно объявляет конкурс мнений по кибербезопасности ИИ . В призыве к выработке мнений по ИИ изложен предлагаемый Кодекс практики с целью разработки международного стандарта, устанавливающего базовые требования безопасности для разработчиков ИИ и системных операторов.

Результаты обоих этих конкурсов окажут существенное влияние на улучшение безопасности во всей цепочке поставок программного обеспечения и повышение доверия к организациям, внедряющим цифровые продукты и услуги. Два недавно предложенных Кодекса практики демонстрируют и развивают ведущую роль, которую Великобритания играет во всем мире в разработке новой политики кибербезопасности и устойчивости, особенно во внедрении принципов безопасного проектирования в качестве основы более безопасного глобального рынка технологий.

Кодекс практики для поставщиков программного обеспечения является продуктом широкого взаимодействия с рядом заинтересованных сторон и был разработан совместно с лидерами отрасли и академическими лидерами, а также техническими экспертами Национального центра кибербезопасности. Я хотел бы поблагодарить все те организации и отдельных лиц, которые поделились своими взглядами по этим важным вопросам. Ваш вклад имел жизненно важное значение для формирования проекта Кодекса практики.

Ваши ответы на вопросы в этом призыве к мнениям помогут правительству укрепить наши цифровые цепочки поставок, защитив самый основополагающий аспект используемых нами технологий: программное обеспечение. Я призываю принять участие любые отечественные или международные организации, которые разрабатывают, продают или закупают программное обеспечение, а также организации или частных лиц, заинтересованных в киберустойчивости, управлении рисками цепочки поставок или безопасности и отказоустойчивости программного обеспечения. Мы приветствуем мнения представителей всех секторов и предприятий любого размера, включая ученых и исследователей. Заранее благодарю вас за ваш ценный вклад.

Виконт Камроуз

Министр искусственного интеллекта и интеллектуальной собственности

Управляющее резюме

В январе 2024 года Департамент науки, инноваций и технологий ( DSIT ) опубликовал ответ правительства на призыв высказать свое мнение по вопросам устойчивости и безопасности программного обеспечения для предприятий и организаций . В этом ответе изложен предлагаемый правительством пакет мер политики, целью которого является повышение базовых ожиданий в отношении безопасности программного обеспечения и повышение устойчивости программного обеспечения по всей Великобритании.

Этот документ предоставляет предприятиям возможность высказать свое мнение по основному предложенному правительством политическому мероприятию, которое было разработано в ответ на взаимодействие с заинтересованными сторонами: Кодексу практики для поставщиков программного обеспечения.

Кодекс практики для поставщиков программного обеспечения описывает фундаментальные меры безопасности и устойчивости, которых разумно ожидать от всех организаций, которые разрабатывают и/или продают программное обеспечение корпоративным клиентам. Он включает в себя рекомендации о том, как следует разрабатывать, создавать, развертывать и обслуживать программное обеспечение, а также о том, как поставщики могут эффективно взаимодействовать с клиентами, приобретающими их программное обеспечение. Применяя этот Кодекс практики, поставщики программного обеспечения значительно повысят киберустойчивость своих продуктов и услуг.

Кодекс практики состоит из 21 положения, основанного на 4 принципах:

Принцип 1: Безопасное проектирование и разработка : этот принцип гарантирует, что продукт или услуга будут надлежащим образом безопасны при их предоставлении.
Принцип 2: Безопасность среды сборки : этот принцип гарантирует, что будут предприняты соответствующие шаги для минимизации риска компрометации среды сборки и защиты целостности и качества программного обеспечения.
Принцип 3: Безопасное развертывание и обслуживание : этот принцип гарантирует, что продукт или услуга остаются безопасными на протяжении всего срока службы, чтобы свести к минимуму вероятность и влияние уязвимостей.
Принцип 4: Общение с клиентами : этот принцип гарантирует, что организации-поставщики предоставляют клиентам достаточную информацию для обеспечения эффективного управления рисками и инцидентами.

Кодекс практики, разработанный совместно с лидерами отрасли, учеными и техническими экспертами из Национального центра кибербезопасности, был разработан для поддержки любой организации, которая разрабатывает и/или продает программное обеспечение для продажи организационным клиентам (B2B). Сюда входят организации, которые продают исключительно программные продукты или услуги, или организации, продающие цифровые продукты или услуги, содержащие программное обеспечение. Правительство и соавторы учли, что организации различаются по размеру, возможностям и ресурсам, и организациям придется проводить оценку рисков, чтобы определить наиболее эффективный способ следовать этому Кодексу практики. Тем не менее, Кодекс практики дает ясность в отношении ключевых основополагающих принципов, которые представляют собой передовой опыт, помогающий поставщикам программного обеспечения безопасно разрабатывать и распространять программное обеспечение.

Технические средства контроля и рекомендации по внедрению будут опубликованы вместе с Кодексом практики. В нем будет установлен минимальный набор объективных средств контроля, которые поставщик программного обеспечения должен продемонстрировать, чтобы обеспечить уверенность в устойчивости своего программного продукта или услуги, а также рекомендации для поддержки организаций в определении наилучших вариантов их реализации.

Целью данного запроса мнений является сбор мнений о потребности рынка в Кодексе практики для поставщиков программного обеспечения, аудитории, на которую должна быть рассчитана эта политика, а также о пригодности Кодекса и предлагаемых вспомогательных материалов.

Глава 1 Введение

Фон

1.1 Следуя призыву правительства высказать свое мнение по вопросам устойчивости и безопасности программного обеспечения для предприятий и организаций, DSIT предпринял широкое взаимодействие с заинтересованными сторонами для разработки пакета политических мер . Вмешательства в этом пакете предназначены для предотвращения распространенных ошибок при разработке и распространении программного обеспечения, а также для улучшения обмена информацией между поставщиками программного обеспечения и их клиентами. Решение этих проблем снизит вероятность и влияние атак на цепочки поставок программного обеспечения и других инцидентов, которые продолжают затрагивать организации во всех секторах нашей экономики.

1.2 Добровольный Кодекс практики для поставщиков программного обеспечения устанавливает фундаментальные меры безопасности и устойчивости, которых следует ожидать от всех организаций, которые разрабатывают или продают программное обеспечение, используемое предприятиями и другими организациями. Кодекс норм направлен на укрепление основ многих видов цифровых технологий, на которые опираются все отрасли нашей экономики.

1.3 Настоящий запрос мнений направлен на получение отзывов о предлагаемой разработке Кодекса практики для поставщиков программного обеспечения, включая информацию о том, как его следует реализовать. Правительство также ищет информацию о вспомогательных материалах и будущих мерах, которые могут потребоваться для поддержки как поставщиков программного обеспечения, внедряющих Кодекс практики, так и организаций, желающих использовать этот Кодекс практики в своих процессах закупок. Правительство будет использовать информацию, полученную в результате этого запроса мнений, чтобы гарантировать, что эта политика является соразмерной, эффективной и направлена на решение ключевых проблем тех, кто больше всего пострадал.

Объем

1.4 Кодекс практики для поставщиков программного обеспечения будет поддерживать любую организацию, разрабатывающую и/или продающую программное обеспечение для продажи предприятиям и другим организациям. Сюда входят организации, продающие исключительно программные продукты или услуги, или организации, продающие цифровые продукты или услуги, содержащие программное обеспечение. Примеры рассматриваемых организаций включают независимых поставщиков программного обеспечения, организации, продающие устройства IoT , или облачные сервисы, которые включают предоставление программного обеспечения.

1.5 Кодекс рассматривает риски, связанные с любым типом программного обеспечения, включая прикладное или системное программное обеспечение. Однако настоящий Кодекс практики наиболее актуален для продажи и распространения проприетарного программного обеспечения, поскольку он устанавливает обязанности поставщиков программного обеспечения в контексте взаимоотношений между предприятиями. Когда дело доходит до программного обеспечения с открытым исходным кодом, разработчик/сопровождающий не несет официальных обязательств по постоянному обслуживанию и безопасности продуктов, которыми должны управлять конечные пользователи или частные разработчики, использующие открытый исходный код в продуктах, предназначенных для продажи. Таким образом, аспекты настоящего Кодекса, описывающие отношения между поставщиком программного обеспечения и закупающей организацией, могут не иметь отношения к открытому исходному коду. Разработчики программного обеспечения с открытым исходным кодом могут найти некоторые аспекты настоящего Кодекса практики полезными, если они захотят его использовать, и мы призываем разработчиков программного обеспечения с открытым исходным кодом соблюдать принципы настоящего Кодекса практики и сопутствующих указаний, где это возможно.

1.6 Этот добровольный Кодекс практики предназначен для предоставления рекомендаций и четких ожиданий в отношении безопасности и отказоустойчивости программного обеспечения, поставляемого организациям и предприятиям поставщиками программного обеспечения. Для целей настоящего Кодекса поставщики программного обеспечения включают следующие группы заинтересованных сторон:

Акционер	Описание
Разработчики и дистрибьюторы программного обеспечения. Примеры организаций такого типа включают, помимо прочего: Независимых поставщиков программного обеспечения; Поставщики программного обеспечения как услуги ( SaaS ); Поставщики цифровых продуктов или услуг с программным компонентом (например, организации, разрабатывающие и распространяющие продукты IoT , или некоторые поставщики управляемых услуг)	Для целей настоящего Кодекса практики любые организации, которые разрабатывают и продают программные продукты или услуги, классифицируются как «разработчики и дистрибьюторы программного обеспечения». Все принципы настоящего Кодекса практики будут актуальны для разработчиков и дистрибьюторов программного обеспечения.
Реселлеры программного обеспечения . Примеры организаций такого типа могут включать, помимо прочего: организации, основной функцией которых является перепродажа программного обеспечения; Организации, которые предоставляют цифровые услуги и продукты и перепродают программное обеспечение в рамках этого предложения (например, некоторые поставщики управляемых услуг)	Для целей настоящего Кодекса норм организации, которые продают программное обеспечение, но не разрабатывают его сами, классифицируются как «торговые посредники программного обеспечения». Для реселлеров программного обеспечения в сферу ответственности организации входят только принципы 3 и 4. Однако реселлерам следует также поощрять разработчиков распространяемого ими программного обеспечения следовать принципам настоящего Кодекса.
Только разработчики программного обеспечения . Примеры таких типов организаций включают в себя: Организации, которые разрабатывают собственное программное обеспечение для частного использования; Индивидуальные разработчики программного обеспечения	Для целей настоящего Кодекса норм организации, которые разрабатывают программное обеспечение, но не распространяют его среди организаций-заказчиков, классифицируются как «только разработчики программного обеспечения». Только для разработчиков программного обеспечения будут актуальны принципы 1 и 2, а также принцип 3, если он находится в сфере ответственности организации/частного лица.

Обоснование

1.7 В рамках Национальной киберстратегии правительство стремится более эффективно предотвращать кибератаки и противостоять им путем улучшения управления киберрисками в организациях Великобритании. Отсутствие безопасности программного обеспечения представляет собой огромный риск для устойчивости и безопасности британских организаций, а также для услуг, на которые граждане Великобритании полагаются ежедневно. Ответы на прошлогодний призыв высказать свое мнение по вопросам устойчивости и безопасности программного обеспечения для предприятий и организаций продемонстрировали, насколько важна безопасность и эффективная работа программного обеспечения для организационной устойчивости Великобритании. 73% респондентов сообщили, что случайные уязвимости в программном обеспечении оказывают «высокое» или «очень сильное» влияние на безопасность и отказоустойчивость их организаций.

1.8 В настоящее время уровни безопасности и устойчивости на рынке программного обеспечения неодинаковы, и существует значительная поддержка дальнейшего вмешательства правительства и отрасли ^{[сноска 1]} для устранения этих несоответствий и повышения планки устойчивости программного обеспечения для укрепления наших цифровых цепочек поставок. Организации и предприятия в Великобритании сталкиваются со сложной и динамичной средой кибербезопасности, и в период с 2019 по 2022 год среднегодовой рост атак на цепочки поставок программного обеспечения составил 742%. Усиление безопасности на протяжении всего жизненного цикла программного обеспечения может помочь свести к минимуму возможности, с которыми сталкиваются злоумышленники. скомпрометировать организации, а также может ограничить масштаб ущерба в случае возникновения атак.

1.9 В настоящем Кодексе практики изложены основные меры безопасности и устойчивости, необходимые для снижения вероятности и последствий наиболее распространенных кибератак на программное обеспечение. Кодекс предназначен для старших руководителей организаций-поставщиков программного обеспечения, чтобы они в полной мере понимали, что требуется от их организации для адекватного внедрения этих мер безопасности и устойчивости. Эти старшие руководители могут гарантировать, что соответствующие команды в своих организациях предпримут необходимые шаги для принятия этих мер, и будут иметь необходимые для этого ресурсы, инструменты и знания.

1.10. Способы управления соблюдением требований и способы реализации принципов будут различаться в разных организациях в зависимости от их размера и структуры, а также продуктов и услуг, которые производит каждая организация. Таким образом, принципы разработаны так, чтобы быть гибкими и адаптируемыми, а не предписывающими, но сосредоточены на фундаментальных принципах, которые, если они будут соблюдены, составят разумный и надежный подход к безопасности программного обеспечения для любого поставщика программного обеспечения.

Методология

1.11 Кодекс был разработан в сотрудничестве с NCSC и отраслевыми экспертами. В период с октября 2023 года по февраль 2024 года была проведена серия семинаров по совместному проектированию. Учитывая сложность и масштабы цепочек поставок программного обеспечения, группа совместного проектирования состояла из самых разных заинтересованных сторон, включая мелких и крупных поставщиков, представителей киберпространства и продаж. и эксперты по закупкам из промышленности и научных кругов, представительных органов и заказчиков программного обеспечения.

1.12 Кодекс норм был разработан для устранения ключевых рисков, выявленных общественностью в ответ на запрос мнений, проведенный в прошлом году. Кодекс фокусируется на методах разработки, управлении уязвимостями и передаче информации для помощи в управлении рисками во всех цепочках поставок. Это отражает тот факт, что респонденты, принявшие участие в запросе мнений, были обеспокоены высоким влиянием, которое безопасность разработки программного обеспечения и низкий уровень прозрачности и коммуникации в цепочках поставок оказывают на организационную устойчивость. Респонденты также назвали случайные уязвимости в коде программного обеспечения самой большой проблемой, связанной с устойчивостью и безопасностью программного обеспечения, которая решается положениями, поощряющими более эффективный мониторинг и управление уязвимостями программного обеспечения.

1.13 Кодекс практики для поставщиков программного обеспечения был разработан для ограничения нагрузки на организации, работающие за рубежом, что является ключевой проблемой для заинтересованных сторон, в том числе тех, кто участвует в совместной разработке Кодекса. Международные подходы к безопасности программного обеспечения были приняты во внимание при разработке Кодекса практики, включая Систему безопасной разработки программного обеспечения правительства США ( SSDF ), которая формирует основу новых федеральных требований правительства США к закупкам, а также нормативных требований, изложенных в предложенных ЕС Закон о киберустойчивости ^{[сноска 2]} . Там, где это возможно, руководство отражает передовой опыт, признанный на международном уровне, в том числе изложенный в вмешательствах США и ЕС.

Глава 2: Деятельность DSIT

2.1 Все кодексы практики кибербезопасности, разработанные DSIT, являются частью более широкого подхода правительства по совершенствованию базовых методов кибербезопасности и киберустойчивости на всей территории Великобритании. Кодексы практики содержат рекомендации, начиная от разработки базовых рекомендаций по кибербезопасности, которым должны следовать все организации, и постепенно переходя к рекомендациям, ориентированным на конкретный продукт или предметную область, из-за растущего риска и меняющегося ландшафта угроз. Модульный подход был разработан, чтобы помочь организациям легко определить, какие Кодексы – а в рамках этих Кодексов и какие положения – актуальны для них в соответствии как с их бизнес-функциями, так и с типами технологий, которые они используют или производят.

2.2 В случае настоящего Кодекса мы ожидаем, что рассматриваемые организации должны, как минимум, также соблюдать положения Кодекса практики киберуправления , который устанавливает базовые ожидания для всех организаций, использующих цифровые технологии. Ожидается, что организации, подпадающие под действие настоящего Кодекса, также оценят, требуют ли их обстоятельства рассмотрения соблюдения дополнительных Кодексов, опубликованных правительством Великобритании, которые могут охватывать конкретные продукты или услуги, имеющие к ним отношение.

2.3 Как отмечалось выше, существует явное совпадение между работой над программным обеспечением и работой над ИИ , поскольку, как и все цифровые технологии, программное обеспечение является ключевым компонентом технологии ИИ . Правительство предлагает принять меры, состоящие из двух частей, для устранения рисков кибербезопасности для ИИ . Это будет в форме проекта добровольного Кодекса практики, который будет принят в глобальную организацию по разработке стандартов для дальнейшей разработки. В настоящее время также продолжается призыв высказать свое мнение по вопросу кибербезопасности ИИ , который включает в себя проект Кодекса.

Подход Великобритании к кибербезопасности

2.4 Великобритания, как мировой лидер в области кибербезопасности, стремится создать безопасную онлайн-среду для своих граждан. Основополагающим элементом этого подхода является обеспечение безопасности как существующих, так и новых технологий. Устанавливая базовые ожидания в области кибербезопасности и включая их в разработку цифровых технологий на начальном этапе, мы закладываем основу для усилий по защите пользователей и предприятий от развивающихся киберугроз, а также по предоставлению потребителям уверенности в технологиях, которые они используют. Однако безопасность также необходимо учитывать на протяжении всего жизненного цикла технологии, а также необходимо признавать и оценивать отдельные проблемы безопасности, связанные с отдельными технологиями.

2.5 DSIT возглавил несколько инициатив, в которых реализован подход «задуманная безопасность», что способствует стратегическому преимуществу Великобритании и глобальному лидерству в области кибербезопасности. К ним относятся:

Создание первых в мире обязательных и осуществимых требований безопасности для потребительских технологий посредством Закона о безопасности продуктов и телекоммуникационной инфраструктуры ( PSTI ). ^{[сноска 3]} Эта работа основана на Кодексе практики потребительского Интернета вещей Великобритании , опубликованном в 2018 году.
Предоставление первого в мире Кодекса практики конфиденциальности и безопасности приложений и магазинов приложений, который внедряется всеми крупными операторами магазинов приложений. ^{[сноска 4]}
Основываясь на исследовании Capability Hardware Enhanced RISC Instructions ( CHERI ), проведенном Кембриджским университетом, мы работали с Arm над разработкой прототипа процессора, который объединяет возможности CHERI для обеспечения детальной защиты памяти. Это является частью нашей программы Digital Security by Design. ^{[сноска 5]}

2.6. Задуманный безопасный подход – это лишь первый шаг на пути к киберустойчивости всей Великобритании. Чтобы опираться на это, мы также должны сосредоточиться на развитии необходимых навыков кибербезопасности. Это предполагает более тесное согласование наших инициатив по развитию кибернавыков с потребностями секторов критической национальной инфраструктуры ( CNI ), конкретными рисками, связанными с новыми и появляющимися технологиями, которые внедряются, а также с мерами устойчивости, которые мы ожидаем от организаций во всей экономике. При этом мы стремимся воспитать квалифицированную рабочую силу, способную реализовать базовые ожидания в области кибербезопасности, которые мы устанавливаем в различных секторах экономики.

2.7 Еще одной ключевой частью создания более киберустойчивой Великобритании является выявление и смягчение киберрисков по мере их распространения в цифровых цепочках поставок. Предоставляя рекомендации, мы можем помочь предприятиям и организациям лучше управлять рисками, связанными с цифровыми продуктами и услугами, на которые они полагаются. . Наша работа в этом направлении включает в себя:

Сертификация Cyber Essentials — поддерживаемая правительством схема подтверждения того, что организации предприняли минимальные шаги для защиты от наиболее распространенных кибератак.
Структура кибероценки, которая представляет собой структуру, которая поддерживает организации, стремящиеся оценить киберриски для основных функций. Это нацелено на критически важные организации, например, в секторах CNI .
Кодекс практики киберуправления, который устанавливает базовые ожидания для всех организаций, использующих цифровые технологии.

2.8 Наша способность защищать предприятия и сообщества от киберугроз зависит от нашей способности развивать технологические и человеческие возможности, а также распознавать и устранять сложные риски на макроуровне. Отдавая приоритет безопасности по дизайну, развитию навыков и целенаправленным мерам, которые повышают устойчивость во всех секторах нашей экономики, мы стремимся проложить путь к более безопасному киберпространству в Великобритании.

Глава 3. Как организации, закупающие программное обеспечение, должны использовать настоящий Кодекс практики

3.1 Предприятия и другие организации могут использовать настоящий Кодекс практики для поставщиков программного обеспечения, чтобы лучше понять, чего они могут обоснованно ожидать от своих поставщиков программного обеспечения. Эта осведомленность может помочь организациям-клиентам направлять соответствующие запросы своим поставщикам в процессе закупок, а также установить четкое понимание обязанностей клиентов и поставщиков по обеспечению безопасности и отказоустойчивости на протяжении всего срока службы продукта.

В процессе закупки

3.2 Организации, приобретающие программное обеспечение, могут обращаться к настоящему Кодексу практики и вспомогательным материалам, чтобы получить представление о рисках, связанных с приобретаемым ими программным обеспечением. Они могут использовать это понимание и вспомогательные материалы, которые будут предоставлены правительством Великобритании, чтобы потребовать от своих поставщиков программного обеспечения принятия разумных мер для обеспечения безопасности и отказоустойчивости программного обеспечения, которое они приобретают. Технические средства контроля были разработаны в соответствии с принципами и положениями Кодекса практики и могут использоваться закупочными организациями, чтобы задавать правильные вопросы о методах обеспечения безопасности и устойчивости своих поставщиков.

3.3 Правительство также разрабатывает дальнейшую политику поддержки лучшего управления рисками при закупках программного обеспечения. Среди прочего, это может включать стандартизированные договорные положения, механизм обеспечения гарантий или сертификации, а также дополнительные рекомендации или образовательные мероприятия по безопасности программного обеспечения для специалистов, не связанных с киберпространством, таких как группы по закупкам.

Практика и обязанности по управлению рисками в цепочке поставок

3.4 Кодекс практики для поставщиков программного обеспечения фокусируется на обязанностях организаций, разрабатывающих и продающих программное обеспечение, в области кибербезопасности, что включает в себя обеспечение безопасности самих продуктов и предоставление организациям-клиентам адекватной информации для обеспечения эффективного управления рисками. Поставщики должны выполнять эти обязанности, однако организации, закупающие и использующие эти продукты и услуги, также несут определенную ответственность за устойчивость и безопасность своих собственных организаций. Они также несут ответственность за использование информации, предоставляемой поставщиками, в рамках своих собственных процессов управления рисками. Организации, приобретающие программное обеспечение, несут ответственность за понимание собственной подверженности рискам и за принятие соответствующего подхода, основанного на оценке рисков, для определения продуктов и услуг, отвечающих их потребностям в безопасности.

3.5 Организации, закупающие программное обеспечение, должны обеспечить следующее:

Следуйте Кодексу практики киберуправления

Кодекс практики киберуправления объединяет важнейшие области управления, которыми директора должны управлять, в одном месте, в простой для использования форме для организаций любого размера.
Он устанавливает вопросы кибербезопасности в качестве ключевого направления для всех организаций, ставя их на один уровень с другими основными рисками, такими как финансовые и юридические. В рамках этого кодекс рекомендует директорам четко определить роли и обязанности в своих организациях, усилив защиту клиентов и гарантируя их способность работать безопасно и надежно.

Принимайте эффективные решения на уровне совета директоров относительно уровня риска кибербезопасности, приемлемого для организации.

Это включает в себя понимание того, какая информация и активы, которыми владеет ваша организация, необходимо защищать при работе с поставщиками. Дополнительные рекомендации см. в руководстве NCSC по безопасности цепочки поставок .

Определить подходящие механизмы для оценки и проверки поставщиков соразмерно их уровню риска и тому, как он соотносится с уровнем риска, приемлемым для закупающей организации.

Это может включать ссылку на настоящий Кодекс практики для поставщиков программного обеспечения и/или другие Кодексы практики, разработанные DSIT в отношении различных типов цифровых продуктов (например, Интернета вещей и искусственного интеллекта ).

Имейте в виду, что разные отрасли и функции программного обеспечения будут иметь разные потребности в безопасности.

Это необходимо будет отразить в процессах внутренней безопасности организации, а также в процессах закупок и переговорах с поставщиками.
Например, организации, классифицируемые как операторы основных услуг в секторах CNI , должны внедрить систему кибероценки NCSC ( CAF ) в рамках своих обязанностей в соответствии с правилами NIS .

Глава 4: Добровольный кодекс практики для поставщиков программного обеспечения

4.1 Кодекс практики для поставщиков программного обеспечения содержит 21 положение, разделенное на 4 принципа. В рамках каждого принципа положения описываются либо как действия, которые высшее руководство «должно» совершать, либо как действия, которые оно «должно» совершать. «Должен» указывает на требование добровольного Кодекса, а «следует» указывает на рекомендацию по добровольному Кодексу.

4.2. Положения, классифицированные как «должны», можно разумно ожидать от любой организации, разрабатывающей и продающей программное обеспечение, независимо от размера и зрелости. От организаций, разрабатывающих и продающих программное обеспечение, разумно ожидать тех действий, которые отнесены к категории «следует», но существует признание того, что их может быть сложнее выполнить или продемонстрировать. Ожидается, что организации будут работать над достижением «должного», даже если немедленная реализация невозможна.

Принцип 1: Безопасное проектирование и разработка

Этот принцип заключается в обеспечении надлежащей безопасности программного продукта или услуги при их предоставлении.

Старший ответственный сотрудник в организациях-поставщиках обязан выполнять следующие действия:

1.1 Убедитесь, что организация следует установленной системе безопасной разработки.

1.2 Убедитесь, что организация понимает состав своих программных продуктов и услуг и что риски, связанные с использованием и обслуживанием сторонних компонентов, включая компоненты с открытым исходным кодом, оцениваются на протяжении всего жизненного цикла.

1.3 Убедитесь, что в организации имеется четкий процесс тестирования программного обеспечения перед его распространением.

1.4 Убедитесь, что организация следует принципам безопасности по умолчанию ^{[сноска 6]} на протяжении всего жизненного цикла разработки продукта.

Старший ответственный сотрудник в организациях-поставщиках должен выполнять следующие действия:

1.5 Обеспечить соблюдение принципов безопасности при проектировании ^{[сноска 7]} на протяжении всего процесса разработки.

1.6 Поощрять использование соответствующих инструментов и технологий безопасности, чтобы гарантировать безопасность параметров по умолчанию на протяжении всего процесса разработки и распространения.

Принцип 2: Обеспечение безопасности окружающей среды

Этот принцип заключается в обеспечении принятия соответствующих мер для минимизации риска компрометации среды сборки и защиты целостности и качества программного обеспечения.

Старший ответственный сотрудник в организациях-поставщиках обязан выполнять следующие действия:

2.1 Обеспечьте защиту среды сборки от несанкционированного доступа.

Старший ответственный сотрудник в организациях-поставщиках должен выполнять следующие действия:

2.2 Обеспечить контроль и регистрацию изменений в среде.

2.3 Убедитесь, что вы используете конвейер сборки, которому доверяете.

Принцип 3: Безопасное развертывание и обслуживание

Этот принцип заключается в том, чтобы гарантировать, что продукт или услуга остаются безопасными на протяжении всего срока службы, чтобы свести к минимуму вероятность и влияние уязвимостей.

Старший ответственный сотрудник в организациях-поставщиках обязан выполнять следующие действия:

3.1 Обеспечить безопасное распространение программного обеспечения среди клиентов.

3.2 Убедитесь, что организация внедряет и публикует эффективный процесс раскрытия уязвимостей.

3.3 Убедитесь, что в организации имеются процессы для упреждающего обнаружения и управления уязвимостями в компонентах программного обеспечения, которые она использует, и в программном обеспечении, которое она разрабатывает, включая документированный процесс для оценки серьезности уязвимостей и определения приоритетности реагирования.

3.4 Обеспечить надлежащее информирование об уязвимостях соответствующих сторон.

3.5 Убедитесь, что организация своевременно предоставляет обновления безопасности, исправления и уведомления своим клиентам.

Старшие руководители организаций-поставщиков должны сделать следующее:

3.6 Публично заявить, что организация будет приветствовать исследователей в области безопасности для тестирования программных продуктов и услуг, предоставляемых организацией, в рамках процесса раскрытия уязвимостей.

Принцип 4: Общение с клиентами

Этот принцип заключается в том, чтобы организации-поставщики предоставляли клиентам достаточную информацию для обеспечения эффективного управления рисками и инцидентами.

Старший ответственный сотрудник в организациях-поставщиках программного обеспечения должен выполнять следующие действия:

4.1 Обеспечить, чтобы организация предоставляла клиенту информацию в доступной форме с указанием уровня поддержки и сопровождения продаваемого программного продукта/услуги.

4.2 Убедитесь, что организация в доступной форме уведомляет клиентов как минимум за 1 год о том, что продукт или услуга больше не будут поддерживаться или обслуживаться поставщиком.

4.3 Обеспечить доступность информации для клиентов надлежащим и своевременным образом о заметных инцидентах, которые могут оказать существенное влияние на организации клиентов.

Старший ответственный сотрудник в организациях-поставщиках должен выполнять следующие действия:

4.4 Обеспечить, чтобы информация высокого уровня о стандартах безопасности и устойчивости, структурах, организационных обязательствах и процедурах, которым следует организация, была доступна клиентам.

4.5 Убедитесь, что организация активно поддерживает пострадавших клиентов во время и после инцидента кибербезопасности, чтобы сдержать и смягчить последствия инцидента. То, как это будет сделано, должно быть задокументировано и согласовано в контрактах с заказчиком.

4.6 Предоставить организациям-заказчикам руководство по безопасному использованию, интеграции и настройке программного продукта или услуги.

Мониторинг и оценка

4.3 Кодекс практики для поставщиков программного обеспечения был разработан для обеспечения гибкости за счет подхода, основанного на принципах. Руководство по внедрению предоставит группам специалистов в организациях-поставщиках программного обеспечения рекомендации о том, как определить наиболее подходящий вариант внедрения для их организаций, оставляя место для инновационных решений безопасности. Это также позволяет организациям учитывать затраты и преимущества различных методов и инструментов для достижения результатов, изложенных в принципах и технических средствах контроля. Такая гибкость имела первостепенное значение для отраслевых партнеров, участвовавших в процессе совместного проектирования, и занимает центральное место в инновационном подходе правительства к политике кибербезопасности и устойчивости.

4.4 Мы собираем отзывы в рамках этого конкурса мнений по добровольному Кодексу практики. В связи с данным Кодексом норм правительство разрабатывает дополнительные инструменты и рекомендации, направленные на поддержку организаций, закупающих программное обеспечение, для внедрения принципов и положений настоящего Кодекса норм в их процессы закупок. Эти меры помогут создать рыночный спрос на лучшие практики, поощряя тех, кто покупает программное обеспечение, просить своих поставщиков соответствовать ожиданиям, изложенным в этом добровольном Кодексе практики.

4.5 Будущие меры будут включать стандартизированные договорные положения, которые организации смогут использовать в своих контрактах с поставщиками программного обеспечения. Продолжается работа по изучению вариантов аккредитации или гарантии соответствия настоящему Кодексу практики, а также по изучению спроса путем ориентации на определенные группы клиентов, например, посредством государственных закупок. . Правительство также изучает возможность дальнейшей поддержки поставщиков программного обеспечения, включая более конкретные рекомендации по более сложным областям безопасности программного обеспечения и сотрудничество с другими правительственными структурами для укрепления потока навыков для разработки программного обеспечения и безопасности. Более подробная информация о более широком пакете информации об устойчивости и безопасности программного обеспечения изложена в ответе правительства по устойчивости и безопасности программного обеспечения.

4.6 DSIT рассмотрит два аспекта кодекса: его эффективность и внедрение. Правительство признает, что эффективность трудно измерить, но будут приложены все усилия для сбора информации о том, наблюдается ли улучшение безопасности программного обеспечения. Для измерения степени внедрения необходимо будет провести обзор или опрос среди поставщиков и закупщиков программного обеспечения, чтобы понять, имеет ли код, являющийся добровольным, необходимый охват, чтобы оставаться добровольным. Они будут отслеживаться и оцениваться для оценки необходимости дальнейших мер, таких как регулирование, в течение двух лет после реализации.

Глава 5: Вспомогательные материалы

5.1 Правительство намерено опубликовать технические средства контроля и рекомендации по внедрению вместе с Кодексом практики для поставщиков программного обеспечения. Хотя старшие руководители по-прежнему несут ответственность за обеспечение соблюдения принципов Кодекса в своих организациях, технический контроль и руководство по внедрению предназначены для оказания дополнительной поддержки группам, ответственным за выполнение положений Кодекса.

Технический контроль

5.2 Средства технического контроля определяют минимальный набор действий, которые поставщик программного обеспечения должен продемонстрировать, чтобы обеспечить уверенность в устойчивости программного обеспечения своего продукта или услуги. Организации-поставщики программного обеспечения смогут использовать эти технические средства контроля, чтобы продемонстрировать свое соответствие положениям Кодекса практики. Они объединяют то, что считается хорошей практикой в разработке программного обеспечения и должно быть достижимо для организаций любого размера и сектора.

5.3 Средства контроля объективны и ориентированы на результат, что дает организациям гибкость для внедрения инноваций и внедрения решений безопасности, соответствующих их продуктам и услугам. Внедрение этих мер контроля уменьшит уязвимости в программных продуктах, обеспечивая базовую устойчивость к наиболее распространенным угрозам и уязвимостям.

5.4 Демонстрация этих средств контроля поможет покупателям обрести уверенность в том, что программные продукты и услуги, которые они выбирают и используют, не повысят риск успешной кибератаки. Технический контроль предусмотрен для всех положений, обозначенных в Кодексе практики как «должен».

5.5 Технический контроль осуществляется следующим образом:

Положение Кодекса практики	Технический контроль
Принцип 1: Безопасное проектирование и разработка
1.1 Убедитесь, что организация следует установленной системе безопасной разработки.	— Следуйте безопасной системе разработки. (Соответствие концепции безопасного жизненного цикла разработки ( SDLC ) документировано. Подробная информация о том, что SDLC должна включать как минимум, представлена в сопроводительном руководстве по внедрению.)
1.2 Убедитесь, что организация понимает состав своих программных продуктов и услуг и что риски, связанные с использованием и обслуживанием сторонних компонентов, включая компоненты с открытым исходным кодом, оцениваются на протяжении всего жизненного цикла.	— Проведите инвентаризацию сторонних компонентов и регулярно проверяйте их на наличие известных уязвимостей. (Организация демонстрирует понимание состава и происхождения своих продуктов и услуг, включая компоненты третьих сторон. Они должны оцениваться на регулярной основе на протяжении всего жизненного цикла продукта.)
1.3 Убедитесь, что в организации имеется четкий процесс тестирования программного обеспечения перед его распространением.	— Иметь определенный план тестирования. (Для всех требований существует однозначный план тестирования с полным охватом кодовой базы. Тестирование проводится на регулярной основе.)
1.4 Убедитесь, что организация следует принципам безопасности по умолчанию на протяжении всего жизненного цикла разработки продукта.	Обязательная многофакторная аутентификация для привилегированных пользователей продукта или услуги. (Программные продукты и службы по умолчанию развертываются с многофакторной проверкой подлинности для привилегированных пользователей.) Никаких паролей по умолчанию. (Программные продукты и службы развертываются с уникальными паролями, которые невозможно сбросить до значения по умолчанию.) Проверьте входные данные. (Ввод данных через интерфейсы прикладного программирования (API) или между сетями в службах и продуктах проверяются.) Надежно храните учетные данные и конфиденциальные данные. (Любые учетные данные надежно хранятся внутри/в службах и продуктах. Жестко запрограммированные учетные данные в программном обеспечении не принимаются.)
Принцип 2: Обеспечение безопасности окружающей среды
2.1 Обеспечьте защиту среды сборки от несанкционированного доступа.	— Внедрение управления идентификацией и доступом в средах разработки и сборки. (Существуют соответствующие политики и процессы идентификации и управления доступом.) Обязательно установите многофакторную аутентификацию для разработчиков. (Системы требуют, чтобы разработчик зарегистрировался для многофакторной аутентификации, чтобы успешно активировать свою учетную запись.)
Принцип 3: Безопасность и обслуживание распределения
3.1 Обеспечить безопасное распространение программного обеспечения среди клиентов.	— Распространяйте программное обеспечение и обновления только через проверенные каналы. (Программный продукт или услуга, а также любые обновления и исправления для этого программного обеспечения предоставляются таким образом, чтобы клиенты могли проверить происхождение и целостность программного обеспечения.)
3.2 Обеспечить, чтобы организация внедряла и публиковала эффективный процесс раскрытия уязвимостей для поддержки прозрачной и открытой культуры внутри организации.	— Внедрить политику раскрытия уязвимостей. (Организация публикует политику раскрытия уязвимостей, которая обеспечивает публичное контактное лицо, чтобы исследователи безопасности и другие лица могли сообщать о проблемах. О обнаруженных уязвимостях затем сообщается соответствующим сторонам (описано в руководстве по внедрению) и принимаются своевременные меры. .)
3.3 Убедитесь, что в организации имеются процессы для упреждающего обнаружения и управления уязвимостями в компонентах программного обеспечения, которые она использует, и в программном обеспечении, которое она разрабатывает, включая документированный процесс для оценки серьезности уязвимостей и определения приоритетности реагирования.	— Проактивное обнаружение и устранение уязвимостей. (В организации внедрены процессы для постоянного выявления уязвимостей, принятия мер по их устранению и своевременного сообщения о них соответствующим сторонам.)
3.4 Обеспечить надлежащее информирование об уязвимостях соответствующих сторон.	— Проактивное обнаружение и устранение уязвимостей. (В организации внедрены процессы для постоянного выявления уязвимостей, принятия мер по их устранению и своевременного сообщения о них соответствующим сторонам.)
3.5 Убедитесь, что организация своевременно предоставляет обновления безопасности, исправления и уведомления своим клиентам.	— Своевременно предоставлять обновления и исправления безопасности. (Своевременные обновления и исправления предоставляются клиентам без дополнительной оплаты.)
Принцип 4: Общение с клиентами
4.1 Убедитесь, что организация предоставляет информацию в доступной форме с указанием уровня поддержки и сопровождения продаваемого программного продукта/услуги.	— Опубликовать политику прекращения использования. (Опубликована политика прекращения эксплуатации, в которой четко указан минимальный период времени, в течение которого продукт/услуга будет получать обновления программного обеспечения, а также причины продолжительности периода поддержки.)
4.2 Убедитесь, что организация в доступной форме уведомляет клиентов как минимум за 1 год о том, что продукт или услуга больше не будут поддерживаться или обслуживаться поставщиком.	— Опубликовать политику прекращения использования. (Опубликована политика прекращения эксплуатации, в которой четко указан минимальный период времени, в течение которого продукт/услуга будет получать обновления программного обеспечения, а также причины продолжительности периода поддержки.)
4.3 Обеспечить доступность информации для клиентов надлежащим и своевременным образом о заметных инцидентах, которые могут оказать существенное влияние на организации клиентов.	— Опубликовать план/политику реагирования на инциденты. (Опубликована политика реагирования на инциденты, включая контактное лицо.)

Руководство по внедрению

5.6 Будут предоставлены рекомендации по внедрению, которые помогут соответствующим командам рабочего уровня в организациях-поставщиках программного обеспечения реализовать принципы Кодекса практики и продемонстрировать технические средства контроля.

5.7 Руководство по внедрению будет основано на техническом руководстве, разработанном экспертами NCSC и его партнерами. Он будет разработан, чтобы помочь поставщикам программного обеспечения понять, как они могут реализовать средства контроля наиболее эффективным способом, и будет содержать соответствующие ресурсы, включая существующие руководства и стандарты, которые можно использовать. Мы ожидаем, что поставщики не только продвигают культуру прозрачности, чтобы помочь своим клиентам понять риски кибербезопасности, но и используют это руководство в контексте своих собственных оценок рисков, процессов управления рисками и управления. Поступая таким образом, поставщики могут определить правильное покрытие и наиболее подходящий способ достижения результатов Кодекса практики для своей организации.

5.8 Для каждого положения Кодекса практики для поставщиков программного обеспечения в руководстве по внедрению будут подробно описаны следующие аспекты:

Цели : Как выглядит хороший результат.
Описание : Более подробная информация о предоставлении и техническом контроле, а также контексте, в котором они должны быть реализованы, включая более подробное объяснение рисков и угроз, а также потенциальных последствий, если они не будут смягчены.
Варианты реализации : меры, которые поставщики могут принять для достижения целей.
Оценка рисков : вопросы, помогающие поставщикам понять, как принимать наилучшие решения для снижения рисков в их организациях.
Указатели : ссылки на существующие ресурсы, такие как руководства и стандарты.

5.9 Пример того, как будет выглядеть настоящее руководство по реализации частей принципа 1, представлен в Приложении B.

Глава 6: Как реагировать на призыв высказывать мнения

6.1 Пожалуйста, воспользуйтесь этой возможностью, чтобы сформировать нашу будущую работу, ответив на онлайн-опрос . Чтобы помочь нам проанализировать ответы, пожалуйста, по возможности используйте систему онлайн-консультаций.

6.2 Если вы не можете отправить свой ответ с помощью онлайн-опроса, вы также можете отправить ответ по электронной почте на адрес cyber.resilience.consultations@dsit.gov.uk или бумажную копию по почте по адресу:

Кодекс практики для поставщиков программного обеспечения требует мнений
Команда киберустойчивости – 4/48
DSIT
100 Парламентская улица
Лондон
SW1A 2BQ

6.3 Прием отзывов будет открыт в течение 12 недель, начиная с 15 мая 2024 г. Дата окончания приема ответов — 23:59 9 августа 2024 г.

6.4 При ответе вы также можете предоставить контактную информацию, если вы готовы обратиться к департаменту за дополнительной информацией или разъяснениями по поводу вашей точки зрения.

6.5 Если вам требуется доступ к консультации на валлийском языке или в альтернативном формате (например, шрифтом Брайля, крупным шрифтом или аудио), свяжитесь с нами по адресу cyber.resilience.consultations@dsit.gov.uk .

6.6 Предоставленная вами информация будет использоваться для формирования будущей политики и может быть передана с этой целью правительственным ведомствам и агентствам Великобритании. В таких случаях личная информация будет удалена. Копии ответов, полные или краткие, могут быть опубликованы после даты окончания приема заявок на участие в опросе на веб-сайте Департамента. Вы также можете прочитать уведомление о конфиденциальности, связанное с этим призывом к просмотру.

Свобода информации

6.7 Информация, предоставленная в ходе данного запроса мнений, включая личную информацию, может быть опубликована или раскрыта в соответствии с режимами доступа к информации, в первую очередь Законом о свободе информации 2000 года ( FOIA ) и Законом о защите данных 2018 года ( DPA ).

6.8 Департамент науки, инноваций и технологий будет обрабатывать ваши персональные данные в соответствии с DPA , и в большинстве случаев это будет означать, что ваши персональные данные не будут раскрыты третьим лицам. Эта консультация соответствует принципам консультаций правительства Великобритании.

6.9 Если вы хотите, чтобы предоставленная вами информация обрабатывалась конфиденциально, имейте в виду, что в соответствии с Законом о свободе информации государственные органы обязаны соблюдать установленный законом Кодекс практики, который, среди прочего, касается обязательств конфиденциальности. В связи с этим было бы полезно, если бы вы объяснили нам, почему вы хотите, чтобы эта информация рассматривалась конфиденциально. Если мы получим запрос на раскрытие этой информации, мы в полной мере учтем ваше объяснение, но не можем гарантировать, что конфиденциальность будет сохранена при любых обстоятельствах.

Приложение A: Полный свод правил

Принцип 1: Безопасное проектирование и разработка

Этот принцип гарантирует, что программный продукт или услуга будут надлежащим образом защищены при их предоставлении.

Старший ответственный сотрудник в организациях-поставщиках обязан выполнять следующие действия:

1.1 Убедитесь, что организация следует установленной системе безопасной разработки.

1.4 Убедитесь, что организация следует принципам безопасности по умолчанию на протяжении всего жизненного цикла разработки продукта.

Старший ответственный сотрудник в организациях-поставщиках должен выполнять следующие действия:

1.5 Обеспечить соблюдение принципов безопасности на протяжении всего процесса разработки.

Принцип 2: Обеспечение безопасности окружающей среды

Этот принцип гарантирует, что будут предприняты соответствующие шаги для минимизации риска компрометации среды сборки и защиты целостности и качества программного обеспечения.

Старший ответственный сотрудник в организациях-поставщиках обязан выполнять следующие действия:

2.1 Обеспечьте защиту среды сборки от несанкционированного доступа.

Старший ответственный сотрудник в организациях-поставщиках должен выполнять следующие действия:

2.2 Обеспечить контроль и регистрацию изменений в среде.

2.3 Убедитесь, что вы используете конвейер сборки, которому доверяете.

Принцип 3: Безопасное развертывание и обслуживание

Этот принцип гарантирует, что продукт или услуга остаются безопасными на протяжении всего срока службы, чтобы свести к минимуму вероятность и влияние уязвимостей.

Старший ответственный сотрудник в организациях-поставщиках обязан выполнять следующие действия:

3.1 Обеспечить безопасное распространение программного обеспечения среди клиентов.

3.2 Убедитесь, что организация внедряет и публикует эффективный процесс раскрытия уязвимостей.

3.4 Обеспечить надлежащее информирование об уязвимостях соответствующих сторон.

Старшие руководители организаций-поставщиков должны сделать следующее:

Принцип 4: Общение с клиентами

Этот принцип гарантирует, что организации-поставщики предоставляют клиентам достаточную информацию для обеспечения эффективного управления рисками и инцидентами.

Старшие ответственные должностные лица в организациях-поставщиках программного обеспечения должны делать следующее:

Старшие ответственные сотрудники в организациях-поставщиках должны делать следующее:

Приложение B: Пример руководства по внедрению

Ниже приведен пример того, как будет разработано и структурировано руководство по внедрению. Работа над соответствующим руководством по внедрению продолжается, но руководство будет опубликовано вместе с Кодексом практики и техническими средствами контроля, подробно описанными выше.

Принцип 1: Безопасное проектирование и разработка

Хорошая разработка безопасности означает создание технологий, которые остаются пригодными к использованию и устойчивыми на протяжении всего срока службы, даже перед лицом кибератаки. Достижение этого результата должно начинаться на этапе проектирования и разработки, чтобы потребности пользователей и безопасность были заложены в продукт или услугу. Обеспечение того, чтобы инженерные процессы и методы минимизировали как вероятность, так и возможное влияние компрометации безопасности, играет важную роль в обеспечении уверенности в компетентности поставщика и производстве продуктов и услуг.

Разработчики не обязательно являются экспертами по безопасности, и доступный им набор инструментов безопасности может затруднить решение технических сложностей кибербезопасности, что приведет к ошибкам реализации, которых можно было бы избежать. Поэтому при выборе набора инструментов, доступного разработчикам, следует учитывать его удобство использования и обслуживания, а также функциональность и стоимость. Эта поддержка разработчиков может осуществляться через доступ к экспертам, обучение, позитивную культуру и процессы безопасности, а также наличие современных инструментов.

Благодаря реализации положений Кодекса практики поставщиков программного обеспечения программный продукт или услуга не только по умолчанию станут более киберустойчивыми, но также станут более стабильными и простыми в обслуживании.

1.1 Убедитесь, что организация следует установленной системе безопасной разработки.

Технический контроль : Следуйте безопасной системе разработки.

Использование безопасной среды разработки в ваших инженерных проектах обеспечит последовательный и повторяемый способ поддержки разработчиков, чтобы гарантировать, что безопасность будет рассмотрена в нужное время. Это упреждающие подходы к обеспечению безопасности продукта или услуги, включающие в себя человеческие, процессы и технологические аспекты. Если не соблюдать безопасную структуру разработки, важные решения по кибербезопасности могут #отсутствовать# и неизбежно должны будут приниматься в конце процесса разработки и/или приведут к увеличению затрат во время развертывания.

Возможно, вы захотите опубликовать описание того, какую платформу вы используете и какие элементы управления были реализованы. Вы должны быть в состоянии продемонстрировать соответствие безопасной среде разработки во всех действиях по разработке и развертыванию.

Хорошая безопасная среда разработки должна включать как минимум следующие темы:

Моделирование угроз — методы, используемые для понимания того, как продукт или услуга могут быть атакованы или иным образом потерпеть неудачу.
Сбор требований – понимание и запись безопасности и потребностей пользователей.
Управление и роли – как контролируется и направляется подход к обеспечению безопасного проектирования и разработки.
Стратегия тестирования – последовательные подходы к проверке, обладающие достаточной строгостью и охватом.
Управление данными – понимание того, какие данные существуют и как их следует надлежащим образом защищать на протяжении всего их жизненного цикла.
Управление конфигурацией — последовательные подходы к отслеживанию изменений, реализации контроля версий и обеспечению воспроизводимости.

Какую безопасную среду разработки вы решите использовать, это бизнес-решение, основанное на том, что лучше всего соответствует культуре и существующим процессам вашей организации. Существует множество готовых сред безопасной разработки, примеры включают в себя:

Структура безопасной разработки программного обеспечения NIST: https://csrc.nist.gov/projects/ssdf
Жизненный цикл разработки безопасности Microsoft: https://www.microsoft.com/en-us/securityengineering/sdl
Жизненный цикл разработки безопасного программного обеспечения OWASP: [https://owasp.org/www-pdf-archive/Jim_Manico_(Hamburg) -_Securiing_the_SDLC.pdf](https://owasp.org/www-pdf-archive/Jim_Manico (Hamburg)_ -_Securiing_the_SDLC.pdf) и модель (owaspsamm.org)
Жизненный цикл безопасной разработки Cisco: https://www.cisco.com/c/dam/en_us/about/doing_business/trust-center/docs/cisco-secure-development-lifecycle.pdf

Полезные ссылки:

CyBoK для безопасного жизненного цикла программного обеспечения

Обеспечение безопасности цепочки поставок программного обеспечения: рекомендуемое практическое руководство для разработчиков (cisa.gov)

https://www.ncsc.gov.uk/collection/risk-management/threat-modelling

https://www.ncsc.gov.uk/collection/risk-management/cyber-security-governance

https://www.ncsc.gov.uk/information/gdpr

https://www.security.gov.uk/guidance/secure-by-design/principles/

https://www.gov.uk/service-manual

1.2 Убедитесь, что организация понимает состав своих программных продуктов и услуг и что риски, связанные с использованием и обслуживанием сторонних компонентов, включая компоненты с открытым исходным кодом, оцениваются на протяжении всего жизненного цикла.

Технический контроль : проводите инвентаризацию сторонних компонентов и регулярно проверяйте их на наличие известных уязвимостей.

Часто поставщики программного обеспечения полагаются на поставщиков и сторонние библиотеки (например, в рамках своей деятельности по использованию существующих возможностей интерфейса прикладного программирования (API)) для доставки своих продуктов и услуг. Эти зависимости могут быть сложными, и эффективно обеспечить безопасность цепочки поставок может быть сложно, поскольку уязвимости могут быть присущи, внедрены или использованы в любой точке внутри нее.

В последние годы значительно увеличилось количество кибератак, вызванных уязвимостями в цепочке поставок . Эти атаки могут привести к разрушительным, дорогостоящим и долгосрочным последствиям для пострадавших организаций, их цепочек поставок и клиентов.

При разработке программного обеспечения цепочки зависимостей относятся к набору пакетов (включая внутренние, прямые сторонние и транзитивные зависимости), которые требуются программному продукту или услуге для функционирования. Злоумышленник может воспользоваться этими зависимостями, и успешная атака может привести к выполнению вредоносного кода из пакета, контролируемого злоумышленником, или к использованию уязвимости, которая была ошибочно введена первоначальными разработчиками.

Чтобы снизить эти риски, поставщик программного обеспечения должен первым делом узнать, что находится в вашей цепочке поставок программного обеспечения. Вы должны понимать, какие компоненты вы используете во всех своих продуктах или услугах. Этот перечень должен быть документирован, использоваться для обеспечения соблюдения требований безопасности, регулярной проверки на наличие известных уязвимостей и использования для любых событий управления инцидентами, которые могут произойти.

Вы должны убедиться, что:

Вы фиксируете сторонние компоненты, из которых состоит ваш продукт. Ваш программный продукт или услуга будет состоять из множества сторонних компонентов: либо внутренних, либо внешних коммерческих компонентов. Компоненты сторонних производителей могут поступать от поставщика, с которым у вас заключены договорные отношения, или они могут представлять собой бесплатное программное обеспечение с открытым исходным кодом (FOSS). Выбор этих компонентов первоначально будет сосредоточен на возможностях и простоте интеграции, однако важно учитывать такие атрибуты безопасности, как происхождение программного обеспечения, частота обновлений, количество сопровождающих и географическое расположение участников. Инвентаризация может иметь любой формат, соответствующий процессам и культуре организации. Спецификация цепочки поставок (SBOM) — это подход, который можно использовать для этой цели.
Вы разделяете требования безопасности со своими поставщиками. Инвентаризация всех интегрированных сторонних компонентов является важным первым шагом, но одного этого недостаточно для обеспечения безопасности вашей цепочки поставок. Ваш инвентарь должен быть проверен и регулярно обновляться по мере необходимости.

При необходимости вы должны иметь возможность поделиться своими запасами со своими клиентами, чтобы им был предоставлен проверенный и актуальный список всех сторонних компонентов в вашем программном продукте и услуге для обеспечения безопасности их собственной цепочки поставок. . Выбор наилучшего формата, который позволит вашим разработчикам и клиентам эффективно использовать информацию, является важным фактором при записи и документировании инвентаризации сторонних компонентов.

Компоненты регулярно проверяются на уязвимости на протяжении всего срока службы продукта. Не все ваши компоненты будут поставляться по договору с поставщиком, который дает вам уверенность в том, что он принимает меры безопасности в цепочке поставок. Поэтому, чтобы обеспечить безопасность вашей цепочки поставок, необходимо проводить регулярное тестирование всех ваших сторонних компонентов и зависимостей. Вы должны быть в состоянии продемонстрировать, что для каждого компонента было проведено адекватное тестирование (более подробное объяснение того, что это означает, можно найти в разделе 1.3).

Если новая уязвимость или атака будут обнаружены вне вашего обычного графика тестирования, вы должны иметь возможность расставить приоритеты и своевременно протестировать их, чтобы минимизировать риск использования уязвимости.

Вы своевременно проводите все необходимые ремонтные работы. Будем надеяться, что уязвимости, которые можно использовать, не будут обнаружены, но это неизбежная часть разработки программного обеспечения и кибербезопасности. Реагировать на эти случаи и эффективно общаться с другими так же важно, как и делать открытия. Вам следует своевременно выполнять любые необходимые исправления (например, разрабатывать и выпускать обновления и исправления) и сообщать о них своим клиентам. Более подробную информацию об этом можно найти в разделе 4.

Полезные ссылки:

https://www.ncsc.gov.uk/collection/supply-chain-security/ Third-party-software-providers

https://www.ncsc.gov.uk/collection/assess-supply-chain-cyber-security

Несколько спецификаций определяют формат SBOM: 1. Проекты Linux Foundation «Обмен данными программных пакетов (SPDX)». 2. OWASP «ЦиклонDX». 3. NIST «Теги идентификации программного обеспечения (SWID)».

Приложение C: Анкета для опроса мнений

Демография

Вопрос 1. Вы отвечаете как физическое лицо или от имени организации?

Индивидуальный
Организация

Вопрос 2. [если индивидуально] Какое из следующих утверждений лучше всего описывает вас?

Кибербезопасность/ИТ-специалист
Профессиональный
Разработчик программного обеспечения
Тестировщик программного обеспечения
Старший руководитель в компании
Эксперт по потребителям
Академический
Заинтересованный представитель общественности
Государственный чиновник (включая регулирующего органа)
Другое [если выбрано, появится текстовое поле «Укажите»]

Вопрос 3. [если Q1 = организация] Какое из следующих утверждений лучше всего описывает вашу организацию? Выберите все подходящие [флажки]

Организация/Бизнес
Занимается продажей или разработкой программного обеспечения
Разрабатывает стандартное программное обеспечение для бизнес-рынка.
Разрабатывает стандартное программное обеспечение для потребительского рынка.
Компания разрабатывает программное обеспечение на заказ для клиентов.
Планирует разработку программного обеспечения
Компания не планирует производить программное обеспечение
Перепродает программное обеспечение (с дополнительными функциями или без них).
Организация, которая закупает программное обеспечение
Поставщик кибербезопасности
Образовательное учреждение
Правительство
Другое [если выбрано, появится текстовое поле «Укажите»]

Q4 [если Q3 = «Организация/предприятие, занимающееся продажей или разработкой программного обеспечения»] Какое из этих утверждений применимо к вашей организации? Выбрать все, что подходит.

Разрабатывает стандартное программное обеспечение для бизнес-рынка.
Разрабатывает стандартное программное обеспечение для потребительского рынка.
Компания разрабатывает программное обеспечение на заказ для клиентов.
Планирует разработку программного обеспечения
Компания не планирует производить программное обеспечение
Перепродает программное обеспечение (с дополнительными функциями или без них).

Q5.[если Q1 = организация], Каков размер вашей организации?

Микро (менее 10 сотрудников)
Малый (10-49 сотрудников)
Средний (50-499 сотрудников)
Крупный (более 500 сотрудников)

Q6.[если Q1 = физическое лицо], Где вы находитесь?

Великобритания
Европа (кроме Великобритании)
Северная Америка
Южная Америка
Африка
Азия
Океания (Австралия и соседние страны)
Другое [если выбрано, появится текстовое поле «Укажите»]

Q7.[если Q1= организация], Где находится штаб-квартира вашей организации?

Великобритания
Европа (кроме Великобритании)
Северная Америка
Южная Америка
Африка
Азия
Океания (Австралия и соседние страны)
Другое [если выбрано, появится текстовое поле «Укажите»]

Вопросы, относящиеся к Главе 1: Введение

Вопрос 8: Согласны ли вы с каким-либо из следующих утверждений? [флажки]

В настоящее время рынок работает с соответствующими уровнями безопасности по принципам проектирования.
Правительство должно разработать руководство, которое покажет поставщикам программного обеспечения, как выглядит «хорошая» кибербезопасность.
Должна существовать схема гарантии/сертификации программного обеспечения.
Для всего программного обеспечения должны быть предусмотрены обязательные правила безопасности.

Вопрос 9. Существуют ли какие-либо типы организаций, для которых настоящий Кодекс практики не подходит? [открытый текст]

Вопрос 10. Согласны ли вы с тем, что старшие руководители организаций-поставщиков программного обеспечения должны быть целевой аудиторией настоящего Кодекса практики?

Да
Нет
Не знаю

Вопросы, относящиеся к Главе 3: Как организациям, закупающим программное обеспечение, следует использовать настоящий Кодекс практики

Вопрос 11. Если бы он был доступен, насколько вероятно, что ваша организация воспользуется добровольным Кодексом практики, позволяющим поставщикам программного обеспечения информировать

а) Закупки?

Скорее всего
Вероятный
Нейтральный
Скорее всего, не
Определенно не буду использовать
Не знаю

б) Процессы управления поставщиками?

Скорее всего
Вероятный
Нейтральный
Скорее всего, не
Определенно не буду использовать
Не знаю

Вопросы по главе 4: Добровольный кодекс практики для поставщиков программного обеспечения

Следующие вопросы будут касаться конкретно Кодекса практики, разработанного и предложенного DSIT . Вопросы будут сосредоточены на отдельных действиях, предусмотренных Кодексом.

Принцип 1: Безопасное проектирование и разработка

Старший ответственный сотрудник в организациях-поставщиках обязан выполнять следующие действия:

Убедитесь, что организация следует установленной безопасной системе разработки.

Вопрос 12: Согласны ли вы с этим положением?

Да – я думаю, что это действие следует включить в качестве «должен»
Да – я думаю, что это действие следует включить в список «должно»
Нет – я считаю, что это действие не следует включать в настоящий Кодекс практики.
Я не знаю

Принцип 1: Безопасное проектирование и разработка

Старший ответственный сотрудник в организациях-поставщиках обязан выполнять следующие действия:

Убедитесь, что организация понимает состав своих программных продуктов и услуг и что риски, связанные с использованием и обслуживанием сторонних компонентов, включая компоненты с открытым исходным кодом, оцениваются на протяжении всего жизненного цикла.

Вопрос 13: Согласны ли вы с этим действием?

Да – я думаю, что это действие следует включить в качестве «должен»
Да – я думаю, что это действие следует включить в список «должно»
Нет – я считаю, что это действие не следует включать в настоящий Кодекс практики.
Я не знаю

Принцип 1: Безопасное проектирование и разработка

Старший ответственный сотрудник в организациях-поставщиках обязан выполнять следующие действия:

Убедитесь, что в организации имеется четкий процесс тестирования программного обеспечения перед его распространением.

Вопрос 14: Согласны ли вы с этим действием?

Да – я думаю, что это действие следует включить в качестве «должен»
Да – я думаю, что это действие следует включить в список «должно»
Нет – я считаю, что это действие не следует включать в настоящий Кодекс практики.
Я не знаю

Принцип 1: Безопасное проектирование и разработка

Старший ответственный сотрудник в организациях-поставщиках обязан выполнять следующие действия:

Убедитесь, что организация следует принципам безопасности по умолчанию на протяжении всего жизненного цикла разработки продукта.

Вопрос 15: Согласны ли вы с этим действием?

Да – я думаю, что это действие следует включить в качестве «должен»
Да – я думаю, что это действие следует включить в список «должно»
Нет – я считаю, что это действие не следует включать в настоящий Кодекс практики.
Я не знаю

Принцип 1: Безопасное проектирование и разработка

Старший ответственный сотрудник в организациях-поставщиках должен выполнять следующие действия:

Обеспечьте соблюдение принципов безопасности на протяжении всего процесса разработки.

Вопрос 16: Согласны ли вы с этим действием?

Да – я думаю, что это действие следует включить в качестве «должен»
Да – я думаю, что это действие следует включить в список «должно»
Нет – я считаю, что это действие не следует включать в настоящий Кодекс практики.
Я не знаю

Принцип 1: Безопасное проектирование и разработка

Старший ответственный сотрудник в организациях-поставщиках должен выполнять следующие действия:

Поощряйте использование соответствующих инструментов и технологий безопасности, чтобы гарантировать безопасность параметров по умолчанию на протяжении всего процесса разработки и распространения.

Вопрос 17: Согласны ли вы с этим действием?

Да – я думаю, что это действие следует включить в качестве «должен»
Да – я думаю, что это действие следует включить в список «должно»
Нет – я считаю, что это действие не следует включать в настоящий Кодекс практики.
Я не знаю

Мы задали Вам вопросы по следующим положениям принципа 1:

Принцип 1: Безопасное проектирование и разработка

Этот принцип обеспечивает должную безопасность продукта или услуги при их предоставлении.

Старший ответственный сотрудник в организациях-поставщиках обязан выполнять следующие действия:

1.1 Убедитесь, что организация следует установленной системе безопасной разработки.

Старший ответственный сотрудник в организациях-поставщиках должен выполнять следующие действия:

1.5 Обеспечить соблюдение принципов безопасности на протяжении всего процесса разработки.

Вопрос 18: Считаете ли вы, что в этом Принципе чего-то не хватает? Если да, то? [открытый текст]

Вопрос 19: Есть ли у вас какие-либо другие комментарии или отзывы относительно этого Принципа? [открытый текст]

Принцип 2: Обеспечение безопасности окружающей среды

Старшие ответственные должностные лица в организациях-поставщиках должны выполнять следующие действия:

Убедитесь, что среда сборки защищена от несанкционированного доступа.

Вопрос 20: Согласны ли вы с этим действием?

Да – я думаю, что это действие следует включить в качестве «должен»
Да – я думаю, что это действие следует включить в список «должно»
Нет – я считаю, что это действие не следует включать в настоящий Кодекс практики.
Я не знаю

Принцип 2: Обеспечение безопасности окружающей среды

Старшие ответственные сотрудники в организациях-поставщиках должны делать следующее:

Убедитесь, что изменения в среде контролируются и регистрируются.

Вопрос 21: Согласны ли вы с этим действием?

Да – я думаю, что это действие следует включить в качестве «должен»
Да – я думаю, что это действие следует включить в список «должно»
Нет – я считаю, что это действие не следует включать в настоящий Кодекс практики.
Я не знаю

Принцип 2: Обеспечение безопасности окружающей среды

Старшие ответственные сотрудники в организациях-поставщиках должны делать следующее:

Убедитесь, что вы используете конвейер сборки, которому доверяете.

Вопрос 22: Согласны ли вы с этим действием?

Да – я думаю, что это действие следует включить в качестве «должен»
Да – я думаю, что это действие следует включить в список «должно»
Нет – я считаю, что это действие не следует включать в настоящий Кодекс практики.
Я не знаю

Принцип 2: Обеспечение безопасности окружающей среды

Старшие ответственные должностные лица в организациях-поставщиках должны выполнять следующие действия:

2.1 Обеспечьте защиту среды сборки от несанкционированного доступа.

Старшие ответственные сотрудники в организациях-поставщиках должны делать следующее:

2.2 Обеспечить контроль и регистрацию изменений в среде.

2.3 Убедитесь, что вы используете конвейер сборки, которому доверяете.

Вопрос 23: Считаете ли вы, что в этом Принципе чего-то не хватает? Если да, то? [открытый текст]

Вопрос 24: Есть ли у вас какие-либо другие комментарии или отзывы относительно этого Принципа? [открытый текст]

Принцип 3: Безопасное развертывание и обслуживание

Старший ответственный сотрудник в организациях-поставщиках обязан выполнять следующие действия:

Обеспечьте безопасное распространение программного обеспечения среди клиентов.

Вопрос 25: Согласны ли вы с этим действием?

Да – я думаю, что это действие следует включить в качестве «должен»
Да – я думаю, что это действие следует включить в список «должно»
Нет – я считаю, что это действие не следует включать в настоящий Кодекс практики.
Я не знаю

Принцип 3: Безопасное развертывание и обслуживание

Старший ответственный сотрудник в организациях-поставщиках обязан выполнять следующие действия:

Убедитесь, что в организации имеются процессы для превентивного обнаружения и управления уязвимостями в компонентах программного обеспечения, которые она использует, и в программном обеспечении, которое она разрабатывает, включая документированный процесс для оценки серьезности уязвимостей и определения приоритетности реагирования.

Вопрос 26: Согласны ли вы с этим действием?

Да – я думаю, что это действие следует включить в качестве «должен»
Да – я думаю, что это действие следует включить в список «должно»
Нет – я считаю, что это действие не следует включать в настоящий Кодекс практики.
Я не знаю

Принцип 3: Безопасное развертывание и обслуживание

Старший ответственный сотрудник в организациях-поставщиках обязан выполнять следующие действия:

Убедитесь, что организация внедряет и публикует эффективный процесс раскрытия уязвимостей.

Вопрос 27: Согласны ли вы с этим действием?

Да – я думаю, что это действие следует включить в качестве «должен»
Да – я думаю, что это действие следует включить в список «должно»
Нет – я считаю, что это действие не следует включать в настоящий Кодекс практики.
Я не знаю

Принцип 3: Безопасное развертывание и обслуживание

Старший ответственный сотрудник в организациях-поставщиках обязан выполнять следующие действия:

Убедитесь, что организация своевременно предоставляет обновления безопасности, исправления и уведомления своим клиентам.

Q28 Согласны ли вы с этим действием?

Да – я думаю, что это действие следует включить в качестве «должен»
Да – я думаю, что это действие следует включить в список «должно»
Нет – я считаю, что это действие не следует включать в настоящий Кодекс практики.
Я не знаю

Принцип 3: Безопасное развертывание и обслуживание

Старший ответственный сотрудник в организациях-поставщиках обязан выполнять следующие действия:

Убедитесь, что об уязвимостях надлежащим образом сообщается соответствующим сторонам.

Вопрос 29: Согласны ли вы с этим действием?

Да – я думаю, что это действие следует включить в качестве «должен»
Да – я думаю, что это действие следует включить в список «должно»
Нет – я считаю, что это действие не следует включать в настоящий Кодекс практики.
Я не знаю

Принцип 3: Безопасное развертывание и обслуживание

Старшие руководители организаций-поставщиков должны сделать следующее:

Публично заявите, что организация будет приветствовать исследователей в области безопасности для тестирования программных продуктов и услуг, предоставляемых организацией, в рамках процесса раскрытия уязвимостей.

Вопрос 30: Согласны ли вы с этим действием?

Да – я думаю, что это действие следует включить в качестве «должен»
Да – я думаю, что это действие следует включить в список «должно»
Нет – я считаю, что это действие не следует включать в настоящий Кодекс практики.
Я не знаю

Принцип 3: Безопасное развертывание и обслуживание

Старший ответственный сотрудник в организациях-поставщиках обязан выполнять следующие действия:

3.1 Обеспечить безопасное распространение программного обеспечения среди клиентов.

3.2 Убедитесь, что организация внедряет и публикует эффективный процесс раскрытия уязвимостей.

3.4 Обеспечить надлежащее информирование об уязвимостях соответствующих сторон.

Старшие руководители организаций-поставщиков должны сделать следующее:

Вопрос 31: Считаете ли вы, что в этом Принципе чего-то не хватает? Если да, то? [открытый текст]

Вопрос 32: Есть ли у вас какие-либо другие комментарии или отзывы относительно этого Принципа? [открытый текст]

Принцип 4: Общение с клиентами

Убедитесь, что организация предоставляет информацию клиенту в доступной форме с указанием уровня поддержки и обслуживания продаваемого программного продукта/услуги.

Вопрос 33: Согласны ли вы с этим действием?

Да – я думаю, что это действие следует включить в качестве «должен»
Да – я думаю, что это действие следует включить в список «должно»
Нет – я считаю, что это действие не следует включать в настоящий Кодекс практики.
Я не знаю

Принцип 4: Общение с клиентами

Убедитесь, что организация в доступной форме уведомляет клиентов как минимум за 1 год о том, что продукт или услуга больше не будут поддерживаться или обслуживаться поставщиком.

Вопрос 34: Согласны ли вы с этим действием?

Да – я думаю, что это действие следует включить в качестве «должен»
Да – я думаю, что это действие следует включить в список «должно»
Нет – я считаю, что это действие не следует включать в настоящий Кодекс практики.
Я не знаю

Принцип 4: Общение с клиентами

Целью этого принципа является обеспечение того, чтобы организации-поставщики предоставляли клиентам достаточную информацию для обеспечения эффективного управления рисками и инцидентами.

Обеспечить доступность клиентам надлежащим и своевременным образом о заметных инцидентах, которые могут оказать существенное влияние на организации клиентов.

Вопрос 35: Согласны ли вы с этим действием?

Да – я думаю, что это действие следует включить в качестве «должен»
Да – я думаю, что это действие следует включить в список «должно»
Нет – я считаю, что это действие не следует включать в настоящий Кодекс практики.
Я не знаю

Принцип 4: Общение с клиентами

Старшие ответственные сотрудники в организациях-поставщиках должны делать следующее:

Убедитесь, что информация высокого уровня о стандартах безопасности и устойчивости, структурах, организационных обязательствах и процедурах, которым следует организация, доступна клиентам.

Вопрос 36: Согласны ли вы с этим действием?

Да – я думаю, что это действие следует включить в качестве «должен»
Да – я думаю, что это действие следует включить в список «должно»
Нет – я считаю, что это действие не следует включать в настоящий Кодекс практики.
Я не знаю

Принцип 4: Общение с клиентами

Старшие ответственные сотрудники в организациях-поставщиках должны делать следующее:

Убедитесь, что организация активно поддерживает пострадавших клиентов во время и после инцидента кибербезопасности, чтобы сдержать и смягчить последствия инцидента. То, как это будет сделано, должно быть задокументировано и согласовано в контрактах с заказчиком.

Вопрос 37: Согласны ли вы с этим действием?

Да – я думаю, что это действие следует включить в качестве «должен»
Да – я думаю, что это действие следует включить в список «должно»
Нет – я считаю, что это действие не следует включать в настоящий Кодекс практики.
Я не знаю

Принцип 4: Общение с клиентами

Старшие ответственные сотрудники в организациях-поставщиках должны делать следующее:

Предоставьте организациям клиентов рекомендации по безопасному использованию, интеграции и настройке программного продукта или услуги.

Вопрос 38: Согласны ли вы с этим действием?

Да – я думаю, что это действие следует включить в качестве «должен»
Да – я думаю, что это действие следует включить в список «должно»
Нет – я считаю, что это действие не следует включать в настоящий Кодекс практики.
Я не знаю

Принцип 4: Общение с клиентами

Старшие ответственные сотрудники в организациях-поставщиках должны делать следующее:

Вопрос 39: Считаете ли вы, что в этом Принципе чего-то не хватает? Если да, то? [открытый текст]

Вопрос 40: Есть ли у вас какие-либо другие комментарии или отзывы относительно этого Принципа? [открытый текст]

Вопрос 41 [если вопрос 3 = «Организация/предприятие, занимающееся продажей или разработкой программного обеспечения»]: Как поставщик/разработчик/торговый посредник программного обеспечения считаете ли вы возможным внедрение настоящего Кодекса норм?

Да
Нет
Не знаю

Вопрос 42 [если вопрос 3 = «Организация/предприятие, занимающееся продажей или разработкой программного обеспечения»]: С какими барьерами столкнется ваша организация, если ее попросят внедрить настоящий Кодекс в качестве поставщика программного обеспечения?

Никаких барьеров. Действия, перечисленные в настоящем Кодексе норм, находятся в пределах возможностей моей организации.
Внедрение этого Кодекса практики будет слишком дорогим.
Персонал не обладает необходимыми навыками для применения настоящего Кодекса практики.
Действия, описанные в настоящем Кодексе практики, слишком сложно масштабировать по всей организации.
В моей организации нет необходимого персонала для внедрения настоящего Кодекса практики.
Старшие руководители моей организации вряд ли будут следовать этому Кодексу практики.
Другое [пожалуйста уточните]
Н/Д — моя организация не занимается разработкой и продажей программного обеспечения.

Q43[если Q3 = «Организация/предприятие, занимающееся продажей или разработкой программного обеспечения»]:: Как поставщик/разработчик/торговый посредник программного обеспечения, может ли настоящий Кодекс стать чрезмерным препятствием для инноваций?

Да
Нет
Не знаю

Вопрос 44 [если вопрос 3 = «Организация, закупающая программное обеспечение»]: Как организация, закупающая программное обеспечение, считаете ли вы, что было бы целесообразно использовать настоящий Кодекс норм в ваших процессах закупок?

Да
Нет
Не знаю

Вопрос 45. С какими препятствиями столкнется ваша организация, если ее попросят потребовать от поставщиков программного обеспечения для вашей организации соблюдения настоящего Кодекса норм?

Никаких барьеров. Моя организация не столкнется с какими-либо серьезными проблемами при использовании настоящего Кодекса практики в процессах закупок.
Этот Кодекс практики будет слишком дорогим для включения в процессы закупок.
Этот Кодекс практики будет несовместим с процессами закупок в моей организации.
Сотрудники, ответственные за закупки, не будут обладать необходимыми навыками для использования настоящего Кодекса при ведении переговоров с поставщиками.
Персонал не обладает необходимыми навыками, чтобы понять какие-либо подтверждения или доказательства, предоставленные поставщиками программного обеспечения о соблюдении настоящего Кодекса норм.
Другое [пожалуйста уточните]

Вопросы по главе 5: Вспомогательные материалы

Вопрос 46. Подходят ли предлагаемые технические средства контроля для оценки соблюдения Кодекса практики поставщиков программного обеспечения?

Да
Нет
Не знаю

Q46b [если Q44 = «нет»]: Почему он не подходит? [открытый текст]

Вопрос 49: Есть ли у вас какие-либо другие комментарии по поводу технических средств контроля, описанных выше, и примера руководства по реализации (прилагается в разделе B)? [Открытый текст]

Вопрос 50 [если вопрос 3 = «Организация, закупающая программное обеспечение»]: Как заказчику, закупающему программное обеспечение, какие еще вспомогательные материалы были бы вам полезны, чтобы вы могли потребовать от своих поставщиков соблюдения настоящего Кодекса практики? [флажки]

Стандартизированные договорные положения
Руководство по оценке соблюдения Кодекса поставщиками
Стандартизированные формы подтверждения соответствия поставщиков Кодексу
Обучение некиберспециалистов
Схема обеспечения или сертификация
Лаборатории тестирования безопасности продуктов
Н/Д — моя организация не закупает программное обеспечение
Другое [пожалуйста уточните]

Вопрос 51 [если вопрос 3 = «Организация/предприятие, занимающееся продажей или разработкой программного обеспечения»]: Как поставщику программного обеспечения, какие еще вспомогательные материалы были бы вам полезны, чтобы вы могли следовать Кодексу практики?

Схема гарантии или сертификации
Лаборатории тестирования безопасности продуктов
Дальнейшие рекомендации по управлению использованием программного обеспечения с открытым исходным кодом в процессе разработки.
Меры по повышению квалификации для обеспечения притока талантов в области разработки программного обеспечения
Другое [пожалуйста уточните]

Опрос закрыт

Вопрос 52: Есть ли у вас еще какие-либо отзывы о нашем Кодексе практики? [открытый текст]

98% респондентов, ответивших на призыв правительства высказать свое мнение по вопросам устойчивости и безопасности программного обеспечения, считали, что существует необходимость более активного вмешательства правительства и/или отрасли для устранения рисков, связанных с безопасностью разработки программного обеспечения, при этом 65% полагают, что для обеспечения безопасности потребуются и то, и другое. и устойчивость в распространении программного обеспечения. ↩
Предложение о РЕГЛАМЕНТЕ ЕВРОПЕЙСКОГО ПАРЛАМЕНТА И СОВЕТА о требованиях горизонтальной кибербезопасности для продуктов с цифровыми элементами и внесении изменений в Регламент, ЕС, 2022 г. ↩
Режим безопасности продуктов и телекоммуникационной инфраструктуры Великобритании (безопасность продуктов) , Министерство науки, инноваций и технологий, 2023 г. ↩
Кодекс практики для операторов магазинов приложений и разработчиков приложений (обновлен) , Департамент науки, инноваций и технологий, 2023 г. ↩
Инструкции RISC с расширенными возможностями аппаратного обеспечения ( CHERI ) , Кембриджский университет, факультет компьютерных наук и технологий. ↩
Технология, безопасная по умолчанию, обеспечивает максимальную безопасность, даже если вы даже не знаете о ее существовании или не включаете ее. Более подробную информацию о принципах безопасности по умолчанию можно найти здесь: https://www.ncsc.gov.uk/information/secure-default ↩
«Безопасность по дизайну» означает, что программные продукты и услуги созданы таким образом, чтобы обеспечить разумную защиту от успешного получения доступа злоумышленниками в киберпространстве. Это включает в себя выявление ключевых рисков и встраивание средств защиты в конструкцию продукта. ↩

WikiVisa — ВикиВиза — VikiVisa

Программный документ

Приглашаем вас высказать свое мнение по вопросам устойчивости и безопасности программного обеспечения для предприятий и организаций.

Опубликовано 6 февраля 2023 г.

Министерское предисловие

Цифровые технологии играют решающую и постоянно растущую роль в экономике Великобритании и в повседневной жизни граждан. Рост цифровизации открывает огромные экономические и социальные возможности, и Великобритания имеет хорошие возможности для того, чтобы в полной мере воспользоваться этим. Внедрение цифровых технологий в нашу экономику имеет решающее значение для реализации амбиций, которые мы изложили в Национальной киберстратегии и Цифровой стратегии Великобритании, чтобы обеспечить процветание Великобритании, национальную безопасность, глобальную конкурентоспособность и геополитическое положение в мире.

Для достижения наших целей мы должны обеспечить, чтобы потребители и предприятия чувствовали себя уверенно в цифровых технологиях, а это означает, что основы наших технологий должны быть безопасными. Программное обеспечение является одним из фундаментальных строительных блоков цифровой среды: оно лежит в основе рабочих функций всех наших устройств и того, как они взаимодействуют друг с другом в подключенных средах. Недавние инциденты, такие как атака SolarWinds в 2020 году и обнаружение уязвимости Log4j , продемонстрировали широкое влияние, которое небезопасное программное обеспечение может оказать на предприятия, благотворительные организации, образовательные учреждения и другие организации, работающие в Великобритании и во всем мире. Повышение устойчивости программного обеспечения является важной частью более широкого укрепления киберустойчивости организаций. Это поможет снизить киберугрозу для экономики и предотвратить вред бизнесу, гражданам Великобритании и клиентам Великобритании по всему миру.

Правительство Великобритании уже добилось значительного прогресса в защите нации в Интернете посредством законодательства, рекомендаций и работы правоохранительных органов и Национального центра кибербезопасности. Хотя эти усилия продолжают улучшать кибер- и цифровую устойчивость Великобритании, технологии продолжают быстро развиваться, и киберугрозы развиваются вместе с ними. Поэтому крайне важно, чтобы мы приняли меры, чтобы правительство и промышленность опережали угрозу и располагали строительными блоками для безопасной цифровой экономики.

Я рад представить этот призыв к мнениям как важный первый шаг к пониманию того, как устранить риски программного обеспечения и помочь создать более устойчивую цифровую среду. Правительство не может сделать это в одиночку, поэтому сотрудничество с партнерами будет иметь решающее значение. Пожалуйста, выскажите свое мнение о том, где мы можем поделиться опытом и ресурсами для устранения киберрисков, связанных с программным обеспечением, а также о том, в чем должна заключаться ответственность. Нам также необходимо будет тесно сотрудничать с нашими международными партнерами, учитывая, что программное обеспечение и наша цифровая среда являются глобальными, и многие кибератаки произошли за пределами Великобритании. Это важная дискуссия, и я с нетерпением жду продолжения дискуссий о том, какие действия будут наиболее эффективными и где правительству и промышленности следует расставить приоритеты.

Я призываю все организации, заинтересованные в безопасности программного обеспечения и цифровых цепочках поставок, принять участие в этой консультации, включая тех, кто закупает, использует, разрабатывает, обслуживает или перепродает программное обеспечение, а также ученых, международных заинтересованных сторон и другие заинтересованные стороны.

Джулия Лопес

Государственный министр СМИ, данных и цифровой инфраструктуры

Департамент цифровых технологий, культуры, СМИ и спорта

Как ответить

Пожалуйста, воспользуйтесь этой возможностью, чтобы сформировать нашу будущую работу, ответив на онлайн-опрос . Чтобы помочь нам проанализировать ответы, пожалуйста, по возможности используйте систему онлайн-консультаций.

Если вы не можете отправить свой ответ с помощью онлайн-опроса, вы также можете отправить ответ по электронной почте на адрес cyber-review@dcms.gov.uk или бумажную копию по почте по адресу:

Приглашение на просмотр программного обеспечения
Команда кибербезопасности — 4/48
DCMS
100 Парламентская улица
Лондон
SW1A 2BQ

Прием заявок на участие будет открыт в течение 12 недель, начиная с 6 февраля 2023 года. Крайняя дата приема ответов — 23:45 1 мая 2023 года.

Предоставляя свой ответ, вы также можете предоставить контактную информацию, если вы открыты для того, чтобы отдел запросил дополнительную информацию или разъяснение вашей точки зрения.

Если вам требуется доступ к консультации на валлийском языке или в альтернативном формате (например, шрифтом Брайля, крупным шрифтом или аудио), свяжитесь с нами по адресу cyber-review@dcms.gov.uk .

Предоставленная вами информация будет использоваться для формирования будущей политики и может быть передана с этой целью правительственным ведомствам и агентствам Великобритании. В таких случаях личная информация будет удалена. Копии ответов, полные или краткие, могут быть опубликованы после даты окончания приема заявок на участие в опросе на веб-сайте Департамента. Вы также можете прочитать уведомление о конфиденциальности, связанное с этим призывом к просмотру.

Свобода информации

Информация, предоставленная в ходе этого запроса мнений, включая личную информацию, может быть опубликована или раскрыта в соответствии с режимами доступа к информации, в первую очередь Законом о свободе информации 2000 года (FOIA) и Законом о защите данных 2018 года (DPA).

Департамент цифровых технологий, культуры, СМИ и спорта будет обрабатывать ваши персональные данные в соответствии с DPA, и в большинстве случаев это будет означать, что ваши персональные данные не будут раскрыты третьим лицам. Эти консультации соответствуют принципам консультаций правительства Великобритании .

Если вы хотите, чтобы предоставленная вами информация обрабатывалась конфиденциально, имейте в виду, что в соответствии с Законом о свободе информации государственные органы обязаны соблюдать установленный законом кодекс практики, который, среди прочего, касается обязательств конфиденциальности. В связи с этим было бы полезно, если бы вы объяснили нам, почему вы хотите, чтобы эта информация рассматривалась конфиденциально. Если мы получим запрос на раскрытие этой информации, мы в полной мере учтем ваше объяснение, но не можем гарантировать, что конфиденциальность будет сохранена при любых обстоятельствах.

Введение

Влияние программного обеспечения

Влияние быстрой цифровизации ощущается во всех секторах нашей экономики и общества, и очень важно, чтобы этот цифровой мир, в котором мы живем и работаем, был устойчив к киберугрозам и потрясениям. Частью этой устойчивости является обеспечение безопасности используемых нами технологий — цифровых продуктов и услуг. Но мы также должны обратить внимание на организации, участвующие в разработке, распространении, обслуживании и использовании этих продуктов и услуг, и помочь им лучше управлять рисками, связанными с цифровыми технологиями. Эти организации несут ответственность за защиту себя, других организаций в своих цепочках поставок и конечных клиентов от кибер-вреда и сбоев.

В цифровой среде программное обеспечение является повсеместным и ценным ресурсом и стало основой нашего ведения бизнеса. Это стало важным для экономики Великобритании, и отдельные предприятия полагаются на программное обеспечение и цифровые возможности, которые оно предоставляет, для поддержки роста и инноваций, а также для продолжения повседневных деловых операций. Программное обеспечение имеет решающее значение для всех цифровых взаимодействий: каждая цифровая услуга или продукт основаны на том или ином программном коде. Это настолько фундаментально, что часто воспринимается как нечто само собой разумеющееся. Программное обеспечение обеспечивает улучшенную функциональность и новые возможности для оцифровки организаций всех размеров и секторов. Это создает большие возможности для всех организаций, использующих цифровые технологии в той или иной форме.

Рынок программного обеспечения сам по себе также является ключевым фактором роста экономики Великобритании: прогнозируется, что выручка на рынке программного обеспечения достигнет 27,09 млрд фунтов стерлингов в 2023 году, а ежегодные темпы роста, как ожидается, составят 3,92%, в результате чего объем рынка достигнет 27,09 млрд фунтов стерлингов. 31,06 млрд фунтов стерлингов к 2027 году. Поддержка рынка программного обеспечения и его клиентов для повышения безопасности разработки, распространения, обслуживания и использования программного обеспечения поможет защитить рост индустрии программного обеспечения. Это также повысит репутацию Великобритании как места для разработки программного обеспечения и поддержит рост и инновации британских предприятий, которые полагаются на программное обеспечение в своей повседневной работе.

Однако эти возможности сопряжены со значительными рисками. Многие организации просто верят, что программное обеспечение, на которое они полагаются (сознательно или неосознанно), безопасно и безопасно в использовании, но сложность программного обеспечения, а также способы его производства и интеграции настолько велики, что уязвимости неизбежны. Если безопасность и отказоустойчивость не учитываются должным образом, разработка, распространение и использование программного обеспечения могут быть использованы злоумышленниками. В этом призыве к мнениям мы не только ищем мнения об устойчивости программного обеспечения, используемого в корпоративных условиях как формы технологии, но также об устойчивости, практиках и поведении организаций, составляющих экосистему программного обеспечения, от его первоначальной разработки до до его конечного использования.

Рисками, связанными с программным обеспечением, особенно трудно управлять, учитывая, в какой степени пакеты программного обеспечения, а также системы, которые они обеспечивают, зависят от множества компонентов программного обеспечения. По этой причине в жизненном цикле программного пакета, от разработки до распространения и использования, участвует широкий круг лиц и организаций. Разработчики программного обеспечения обычно используют программные компоненты, созданные другими. Многие из этих сторонних компонентов имеют открытый исходный код, что является ключевым фактором инноваций и эффективности на рынке программного обеспечения, но эти компоненты могут нуждаться в постоянном обслуживании из-за ограниченности ресурсов. Это означает, что уязвимость в одном программном компоненте может косвенно повлиять на тысячи, если не миллионы пользователей. Аналогичным образом, сложный характер жизненного цикла программного обеспечения и цифровых цепочек поставок, включая разработчиков программного обеспечения, поставщиков, реселлеров, поставщиков услуг и клиентов, означает, что те, кто больше всего пострадает от взлома, часто ограничены в том, насколько они могут напрямую управлять риском. . Эти факторы создают сложную систему, которую используют те, кто хочет причинить вред.

Несколько недавних громких киберинцидентов, связанных с программным обеспечением, а также тенденции к менее сложным атакам, подчеркнули, насколько важно систематически и своевременно устранять эти риски. За последние 3 года средний годовой рост наблюдаемых атак на цепочки поставок программного обеспечения составил 742%. Сюда входят десятки тысяч инцидентов меньшего масштаба, а также атаки, которые стали широко известны благодаря масштабу или характеру своих последствий. Громкие инциденты, такие как атаки на SolarWinds (2020 г.) и Kaseya (2021 г.) , появление уязвимостей, затрагивающих программный компонент Log4j (2021 г.) , а также недавний сбой в работе ИТ-систем нашей Национальной службы здравоохранения, вызванный атакой на одну из ее поставщики программного обеспечения (2022 г.) демонстрируют спектр рисков, связанных с программным обеспечением. Эти и другие атаки демонстрируют, что инциденты происходят из-за целого ряда проблем. Это может быть взлом сетей поставщика программного обеспечения, использование скомпрометированного открытого исходного кода или отсутствие видимости компонентов программного обеспечения, препятствующее своевременному исправлению. Устранение этих рисков имеет решающее значение для создания стабильной и безопасной цифровой среды для нашего бизнеса и граждан.

Чтобы эффективно устранить ряд рисков, влияющих на программное обеспечение, правительство не может работать в одиночку. Как указано в Национальной киберстратегии, для эффективного устранения киберрисков необходим подход с участием всего общества. Разработчики и поставщики программного обеспечения, те, кто его закупает и использует, а также старшие руководители этих организаций — все они несут свою роль и несут ответственность за обеспечение безопасности программного обеспечения. На протяжении всей этой работы мы хотим тесно сотрудничать с представителями промышленности, чтобы использовать их опыт и ресурсы, одновременно сосредотачивая усилия правительства там, где они необходимы больше всего.

Цель и объем запроса мнений

Благодаря этому призыву к мнениям мы хотим лучше понять природу рисков программного обеспечения в целом для британских организаций, а также то, на чем правительству следует сосредоточиться на их смягчении. Эта работа основывается на ряде других работ, проводимых DCMS и другими государственными ведомствами, которые касаются программного обеспечения и подробно описаны ниже. Этот призыв к выработке мнений идет дальше, поскольку использует целостный и систематический подход, который фокусируется на рисках программного обеспечения на протяжении всего жизненного цикла программного обеспечения, то есть на всем спектре процессов, связанных с разработкой, распространением, использованием и обслуживанием пакетов программного обеспечения и связанных с ними систем. до момента, включительно, до момента, когда он больше не будет использоваться или обслуживаться. Сюда входит разработка и использование отдельных компонентов программного обеспечения и встроенного программного обеспечения. Сюда также входит программное обеспечение, разработанное разработчиками как открытого, так и проприетарного программного обеспечения. Это означает, что для понимания и устранения рисков, связанных с программным обеспечением, необходимо учитывать (1) саму технологию, (2) взаимодействие организаций с этой технологией и (3) то, как организации работают вместе.

Чтобы обеспечить такой целостный подход, в объем программного обеспечения, рассматриваемого в этом запросе мнений, входят любой код, инструкции или программы, используемые для управления компьютерами или выполнения конкретных задач. На данном этапе в объем поставки входит программное обеспечение, продаваемое отдельно, а также программное обеспечение, продаваемое вместе с аппаратным обеспечением или как часть цифровой услуги. Сюда входит программное обеспечение, написанное для информационных технологий (ИТ), а также операционных технологий (ОТ) и программного обеспечения как услуги (SaaS), управляемых из облака, а также программное обеспечение, хранящееся локально. На этом этапе в этой работе также рассматриваются все уровни программного обеспечения: от облачного и прикладного программного обеспечения до встроенного программного обеспечения и встроенного программного обеспечения, используемого в аппаратных компонентах. Сюда входит, например, программное обеспечение, используемое в чипах материнских плат, процессорах или видеокартах, которые являются важнейшими элементами технологии, которую мы используем, но которые конечные клиенты могут не осознавать.

Эта работа сосредоточена на программном обеспечении, используемом на предприятии, а не на общем использовании потребителями. Сюда входит разработка и распространение программного обеспечения специально для использования на предприятии или в бизнес-среде, а также использование любого программного обеспечения предприятиями и организациями. Такое внимание к корпоративному контексту связано с тем, что многие из наиболее серьезных киберинцидентов, связанных с программным обеспечением, используют сложную природу цифровых цепочек поставок, в которых предприятия и организации играют гораздо более важную роль, чем отдельные потребители.

Мы понимаем, что существуют проблемы с рассмотрением такого широкого охвата, однако широта и разнообразие вопросов, связанных с разработкой, распространением и использованием программного обеспечения, требуют такого систематического подхода и гарантируют, что правительство направляет свои ресурсы в те области, где оно может окажет наибольшее влияние.

Многие термины, используемые в отношении программного обеспечения, стали означать разные вещи для разных аудиторий или подразумевали предполагаемые знания. Чтобы обеспечить ясность объема и ответов, здесь изложены определения ключевых терминов для целей этого конкурса.

Цифровые цепочки поставок определяются как цепочка организаций, участвующих в производстве, распространении, обслуживании, использовании и использовании цифровых продуктов и услуг. Внутри этих цепочек поставок компании также обычно связаны друг с другом цифровыми соединениями, которые могут включать передачу данных между организациями или совместное использование доступа к сетям и системам. Эти соединения облегчают повседневную работу, но также предоставляют злоумышленникам маршрут перехода от одного объекта к другому.

Поставщики программного обеспечения определяются как организации, которые производят и продают программное обеспечение либо как независимый продукт, либо как часть другого продукта, например аппаратного обеспечения или цифровой услуги.

Реселлеры программного обеспечения определяются как предприятия, которые предлагают программные продукты, системы и услуги другим предприятиям. Реселлеры обычно не разрабатывают программное обеспечение и обычно продают лицензии, ограничивающие использование для определенных целей, а не базовый код, который остается у поставщика или разработчика программного обеспечения.

Потребуется ряд одновременных политических мер, чтобы способствовать повышению устойчивости организаций к рискам безопасности программного обеспечения и всесторонне поднять планку безопасности программного обеспечения. Этот призыв к мнениям послужит основой для нашей работы по определению приоритетности наиболее важных проблем, связанных с устойчивостью программного обеспечения, разработанного, распространяемого и используемого в Великобритании, и определения того, где конкретные меры могут оказать наибольшее влияние на решение этих проблем. Эти меры будут разработаны в дополнение к другой соответствующей работе по политике цифровой и кибербезопасности.

Ссылки на другие работы правительства Великобритании

Правительство Великобритании проводит широкий спектр работ, направленных на повышение киберустойчивости по всей Великобритании, как это изложено в Национальной киберстратегии . Большая часть этой работы поддерживает или оказывает влияние, прямо или косвенно, на разработку, предоставление или использование программного обеспечения как в потребительской, так и в корпоративной среде. Однако в этом положении остаются пробелы, и существует необходимость выработать более четкое систематическое понимание рисков на протяжении всего жизненного цикла программного обеспечения и обеспечить их адекватное снижение. Тогда мы сможем лучше понять, где необходимы дальнейшие действия, чтобы опираться на предыдущую работу и снизить риски программного обеспечения, с которыми сталкиваются предприятия и другие организации.

Разработка программного обеспечения

Ряд работ посвящен разработке программного обеспечения и его безопасности, хотя и используется для определенных целей. DCMS недавно опубликовала Кодекс практики для операторов магазинов приложений и разработчиков приложений, целью которого является обеспечение лучшей защиты потребителей от вредоносных и плохо разработанных приложений. DCMS и Департамент бизнеса, энергетики и промышленной стратегии также опубликовали в 2022 году программный документ о инновационном подходе к регулированию ИИ . ИИ — это технология, которая опирается и управляется программным обеспечением, и в документе изложены ранние предложения по шести межотраслевым принципам, которые лягут в основу нормативной базы для ИИ, включая необходимость обеспечения того, чтобы ИИ был технически безопасным и функционировал так, как задумано. В 2023 году должен быть опубликован официальный документ по искусственному интеллекту, в котором будут расширены и развиты эти принципы. Обе эти части работы предназначены для решения конкретных типов программного обеспечения или программного обеспечения, которое используется в основном потребителями, а не организациями. Целью этого призыва к выработке мнений обо всем программном обеспечении, используемом на предприятии, на всех этапах его жизненного цикла, является более широкая перспектива. Обдумывая наши следующие шаги и разрабатывая дальнейшие меры политики, мы обеспечим совместное рассмотрение мнений всех правительств.

Программное обеспечение также тесно взаимосвязано с разработкой и использованием продуктов. Правительство предпринимает важные шаги, чтобы потребовать от производителей разработки более безопасных технологических продуктов для использования в Великобритании. Чтобы лучше защитить потребителей в больших масштабах, Закон о безопасности продуктов и телекоммуникационной инфраструктуре (PSTI) , получивший королевское одобрение в конце 2022 года, возлагает на производителей юридическую ответственность за обеспечение безопасности потребительских продуктов и встроенного программного обеспечения с возможностью подключения к Интернету, а также встроенных функций безопасности. чтобы потребителям было проще безопасно эксплуатировать и обслуживать устройства. Этот закон основан на Кодексе норм для потребительского Интернета вещей 2018 года, который также содержит дополнительные рекомендации как по разработке безопасных продуктов, так и по безопасному использованию встроенного программного обеспечения.

Опираясь на нашу работу по защите потребителей, DCMS и NCSC работают над обеспечением лучшей защиты подключенных устройств, используемых в корпоративных условиях. NCSC в сотрудничестве с DCMS разработала соответствующие рекомендации, в том числе Принципы безопасности корпоративных устройств и принципы обеспечения технологий NCSC , которые помогают производителям и конечным пользователям лучше защищать себя. В мае 2022 года DCMS опубликовала исследование, в котором подробно описываются проблемы кибербезопасности и другие серьезные проблемы, связанные с безопасностью таких продуктов. В настоящее время мы проводим дальнейшие исследования в этой области и планируем объявить опрос мнений позднее в 2023 году, результаты которого будут проанализированы вместе с результатами этого запроса мнений.

В совокупности эти меры способствуют улучшению безопасной разработки технологий в корпоративных и потребительских средах и фокусируются на программном обеспечении, специально распространяемом или предназначенном для определенных аппаратных устройств. Однако принимаемые на сегодняшний день меры в настоящее время не предназначены для решения проблем, связанных с программным обеспечением, не зависящим от оборудования или платформы, а также с программным обеспечением, разработанным для OT-устройств. Вопросы в этом запросе мнений касаются всего программного обеспечения, включая программное обеспечение, разработанное и распространяемое с конкретным оборудованием или услугами, а также программное обеспечение, разработанное и распространяемое отдельно. Независимая разработка программного обеспечения составляет основную часть корпоративной технологической экосистемы и является областью, в которой мы продолжаем наблюдать рост атак на цепочку поставок программного обеспечения.

Этот призыв к мнениям направлен на изучение того, как мы можем использовать существующие меры для устранения других рисков, влияющих на разработку, распространение и использование программного обеспечения на протяжении всего жизненного цикла программного обеспечения. Например, требуется дополнительная работа по определению лучших практик безопасного написания программного кода, в то же время позволяющих внедрять инновации.

Распространение и закупка программного обеспечения

Мы признаем необходимость решения проблем, связанных с тем, как организации за пределами стадии разработки распространяют программное обеспечение и управляют им. Действия тех, кто продает, обслуживает, закупает, использует или интегрирует программное обеспечение в другие продукты, в равной степени влияют на вероятность и серьезность рисков программного обеспечения. Существующие меры государственного вмешательства в кибербезопасность в цепочках поставок охватят некоторые, но не все организации, ответственные за продажу и распространение программного обеспечения. В частности, этот запрос мнений основан на выводах конкурса 2021 года по вопросам кибербезопасности в цепочках поставок и поставщиков управляемых услуг и дополняет предложение DCMS о законодательстве по повышению киберустойчивости Великобритании, в котором мы предлагаем обновить сеть и информацию. Положения о системах (NIS) 2018 года, призванные расширить сферу применения управляемых услуг и улучшить управление киберрисками для критически важной национальной инфраструктуры. Эти предложения являются важным шагом в обеспечении того, чтобы поставщики цифровых продуктов и услуг предпринимали пропорциональные шаги для защиты себя и своих клиентов от нарушений, но они не будут охватывать все организации, которые разрабатывают, продают и перепродают программное обеспечение. Отзывы представителей отрасли, в том числе полученные в результате запроса мнений в 2021 году, показали, что цепочки поставок программного обеспечения, а также способы разработки, продажи и закупок программного обеспечения и связанных с ним систем остаются поводом для беспокойства. Предлагаемые обновления правил NIS не предназначены для решения этих проблем, поэтому этот призыв к мнениям знаменует собой исследовательский этап для нас, чтобы оценить, какие дальнейшие действия необходимы со стороны правительства для решения проблем безопасности программного обеспечения.

Как отражено в предлагаемых обновлениях правил ННГ, обеспечение безопасности цепочек поставок критически важных секторов является высоким приоритетом для правительства Великобритании. Предложения DCMS по новым правилам и кодексу практики телекоммуникационной безопасности , а также предложения Управления финансового надзора о дополнительных мерах по регулированию критически важных третьих сторон финансового сектора также предпринимают шаги для обеспечения безопасности критически важных секторов национальной инфраструктуры. Эти меры возложат на критически важные организации и их поставщиков (включая поставщиков программного обеспечения) обязательства по принятию мер по защите конечных пользователей от перебоев в работе критически важных услуг. Это важный шаг в защите цепочек поставок Великобритании от киберрисков, но этот призыв к мнению выходит за рамки критически важных секторов и рассматривает, как мы можем наилучшим образом защитить экономику в целом и предприятия всех размеров во всех секторах.

С точки зрения клиентов, государственный сектор находится в мощном положении, позволяющем подать положительный пример того, как правильно управлять рисками поставщиков при закупках программного обеспечения. С этой целью Кабинет министров играет важную роль в обеспечении руководства и направления закупок цифровых технологий в государственном секторе в « Пособии по цифровым технологиям, данным и технологиям», а также в постоянной работе по совершенствованию практики государственных закупок. Хотя этот призыв к обмену мнениями не касается практики государственных закупок, мы продолжим тесно сотрудничать с группами в правительстве, чтобы гарантировать, что мы можем делиться передовым опытом и учиться на результатах друг друга.

Использование программного обеспечения

Для организаций частного сектора, использующих программное обеспечение, NCSC играет ключевую роль, консультируя организации всех размеров и секторов о том, как управлять рисками поставщиков и обеспечивать их собственную устойчивость за счет безопасного использования цифровых технологий, таких как программное обеспечение. Сюда входят рекомендации по таким темам, как управление уязвимостями , закупка облачных услуг и управление поставщиками , а также более широкие инициативы по обеспечению устойчивости организации, такие как Cyber Essentials и набор инструментов для управления советами директоров . Аналогичным образом, Центр защиты национальной инфраструктуры (CPNI) также подготовил руководство по безопасности цепочки поставок . Многие из них не относятся конкретно к безопасности программного обеспечения, но оказывают влияние на повышение компетентности в области кибербезопасности в британских организациях и могут быть использованы, когда мы посмотрим, что еще необходимо, чтобы помочь организациям предотвратить атаки на программное обеспечение.

Эти рекомендации и другие инициативы имеют жизненно важное значение для разъяснения того, что такое «хорошая практика». Однако мы понимаем, что, возможно, потребуется сделать больше, чтобы помочь организациям внедрить эти принципы и рекомендации. В Части 3 мы просим высказать свое мнение о том, какие виды будущих действий правительства будут наиболее целесообразными.

Наконец, нам нужны специалисты во всех организациях, которые будут более квалифицированы в области кибербезопасности и передовых методов, чтобы гарантировать, что вопросы безопасности учитываются на всех этапах разработки, распространения, закупок и конечного использования. Сюда входят специалисты, не связанные с киберпространством, такие как специалисты по управлению проектами и коммерческие команды, а также команды по ИТ и кибербезопасности. Работа, проводимая DCMS, NCSC и отраслевыми партнерами, такими как Совет по кибербезопасности Великобритании, по развитию навыков кибербезопасности и повышению профессионализма, окажет положительное влияние на то, как решаются различные проблемы, связанные с устойчивостью программного обеспечения.

Также продолжается работа над определением роли, которую инфраструктура хранения и обработки данных играет в обеспечении безопасности и устойчивости наших основных услуг и экономики. В июле 2022 года в ходе конкурса мнений по инфраструктуре хранения и обработки данных были собраны отзывы о рисках и обязанностях, связанных с крупномасштабными услугами хранения и обработки данных. Эта работа дополняет наше внимание к программному обеспечению, поскольку целью обеих является создание более безопасных и отказоустойчивых технологий, при использовании которых организации будут чувствовать себя уверенно. Эти две части работы просто сосредоточены на разных частях технологической экосистемы.

Чтобы комплексно устранять риски кибербезопасности на протяжении всего жизненного цикла программного обеспечения и не допускать использования злоумышленниками слабых мест там, где они могут, мы должны применять систематический, целостный и дальновидный подход к пониманию рисков. Очевидно, что цепочки поставок программного обеспечения по-прежнему содержат слабые места, которыми пользуются злоумышленники. Этот призыв к мнениям основан на уже упомянутой выше работе правительства Великобритании по изучению устойчивости различных этапов жизненного цикла программного обеспечения и организаций, участвующих на этих этапах, и выявлению наиболее проблемных областей. Тогда мы сможем определить, на чем лучше всего сосредоточить наши усилия для повышения киберустойчивости программного обеспечения в целом.

Международный контекст

Чтобы устранить риски программного обеспечения для британских организаций, мы не можем смотреть только на то, что происходит в Великобритании. Цифровые цепочки поставок являются международными и на них влияет работа разработчиков и поставщиков по всему миру, а многие крупнейшие компании-разработчики программного обеспечения работают в нескольких странах. Кроме того, другие международные партнеры также принимают меры по устранению рисков, связанных с программным обеспечением.

Примечательно, что и США, и ЕС активно работают над решением аналогичных проблем, связанных с программным обеспечением. В 2021 году администрация Байдена опубликовала Указ об улучшении национальной кибербезопасности , и с тех пор правительство США разработало структуру безопасной разработки программного обеспечения NIST , которая используется для реализации новых федеральных требований к закупкам и аттестации . Целью этого является улучшение видимости компонентов программного обеспечения и обеспечение большей безопасности при разработке программного обеспечения. Многие организации, работающие в США, уже принимают меры для удовлетворения этих требований.

Совсем недавно Европейская комиссия опубликовала предложения по Закону о киберустойчивости , который предлагает регулировать продукты с цифровыми элементами, включая как аппаратные, так и программные продукты, которые не подпадают под действие другого законодательства ЕС. Целью этого является создание более безопасных аппаратных и программных продуктов и обеспечение их выхода на рынок с меньшим количеством уязвимостей.

Этот активный международный контекст создает как большие возможности, так и некоторые проблемы, особенно для тех организаций, которые действуют под несколькими юрисдикциями. Мы будем тесно сотрудничать со странами-единомышленниками, чтобы обмениваться передовым опытом и применять скоординированный подход, где это необходимо.

Структура запроса на просмотры

Часть 1 этого запроса мнений направлена на получение информации о киберрисках, связанных с программным обеспечением. Цель этого раздела — помочь правительству понять влияние этих рисков на организационную устойчивость, а также последующую срочность и приоритетность их устранения.

Во второй части рассматриваются шаги, которые организации уже предпринимают или могут предпринять для лучшего управления рисками, связанными с программным обеспечением. Вопросы в этом разделе больше ориентированы на различные типы организаций, причем некоторые из них предназначены специально для разработчиков программного обеспечения, поставщиков или закупочных организаций. Это даст нам представление о зрелости управления рисками программного обеспечения в Великобритании и выделит лучшие практики, которые правительство могло бы продвигать.

Целью части 3 является сбор мнений о потенциальных мерах политики, направленных на шесть различных областей риска. Цель этого раздела — получить информацию о том, как правительство могло бы в дальнейшем поддерживать и/или стимулировать британские компании лучше справляться с рисками безопасности, связанными с разработкой, распространением, закупками и использованием программного обеспечения.

В совокупности ответы на эти три части послужат основой для нашей работы по повышению киберустойчивости, связанной с программным обеспечением. Это поможет нам определить приоритетность политических мер, которые окажут наибольшее положительное воздействие. Части одинаково важны и не располагаются в порядке приоритета.

Мы поощряем участие ряда организаций и отдельных респондентов. Некоторые вопросы предназначены для конкретных типов респондентов, таких как закупочные организации, поставщики программного обеспечения или разработчики программного обеспечения, но есть и ряд более общих вопросов. Маловероятно, что какой-либо один респондент сможет ответить на все вопросы, но мы призываем вас ответить на столько вопросов, сколько актуально для вас или вашей организации. Помимо участия промышленности из любого сектора, мы также заинтересованы в участии экспертов в данной области, в том числе из академических кругов, НПО и государственного сектора (национального или международного).

Организационно-демографические вопросы для тех, кто откликнулся на призыв высказать мнения:

1. Вы отвечаете как физическое лицо или от имени организации?

а. Индивидуальный

б. Организация

2. [если в вопросе 1 выбран вариант «индивидуальный»] Какое из следующих утверждений лучше всего описывает вас? (Выбрать все, что подходит)

а. Разработчик программного обеспечения

б. Поставщик программного обеспечения и/или системы

в. Реселлер программного обеспечения и/или систем

д. Специалист по кибербезопасности

е. Потребитель программных услуг, продуктов или систем

ф. Работодатель программного обеспечения или специалисты по кибербезопасности

г. Профессионал в другой сфере

час Академический

я. Студент

Дж. Заинтересованы в карьере в области программного обеспечения и/или кибербезопасности.

к. Заинтересованный представитель широкой общественности

л. Другое [Свободный текст]

3. [если в вопросе 1 выбрано «организация»] Какое из следующих утверждений лучше всего описывает вашу организацию?

а. Разработчик программного обеспечения

б. Поставщик программного обеспечения и/или системы

в. Реселлер программного обеспечения и/или систем

д. Поставщик управляемых услуг ^{[сноска 1]}

е. Поставщик облачных услуг ^{[сноска 2]}

ф. Бизнес, который использует программное обеспечение, разработанное или поддерживаемое другими.

г. Организация, которая нанимает, нанимает или использует специалистов по программному обеспечению и/или кибербезопасности.

час Поставщик обучения программному обеспечению и/или кибербезопасности или поставщик сертификации/квалификации

я. Программное обеспечение, кибербезопасность и/или цифровая профессиональная организация.

Дж. Академическое или образовательное учреждение

к. Организация, интересующаяся программным обеспечением и/или кибербезопасностью

л. Профессиональная организация или торговая организация, не специализирующаяся на кибербезопасности, интересующаяся программным обеспечением и/или кибербезопасностью (пожалуйста, укажите свой сектор) [свободный текст]

м. Другое [Свободный текст]

4. [если в вопросе 1 выбрано «организация»] Сколько человек, включая вас, работает в вашей организации по всей Великобритании? Пожалуйста, оцените, если вы не уверены.

а. До 10 лет

б. 10–49

в. 50–249

д. 250–499

е. 500-999

ф. 1000 или более

г. Не уверен

5. [если в вопросе 1 выбрано «организация»] Как называется организация, от имени которой вы отвечаете? [Открытый текст]

6. Рады ли вы, что с вами связались, чтобы обсудить ваш ответ и подтверждающие доказательства? Да нет

7. [Если на вопрос 6 выбран ответ «да»] Пожалуйста, укажите ниже имя контактного лица и адрес электронной почты. [Открытый текст]

Часть 1. Риски программного обеспечения

Наше понимание рисков программного обеспечения

Влияние недостаточной безопасности на протяжении всего жизненного цикла программного обеспечения вызывает растущую обеспокоенность как у промышленности, так и у правительства, особенно в контексте громких киберинцидентов, произошедших в последние годы. Эти атаки подчеркивают системный риск, который программное обеспечение может представлять как для национальной безопасности, так и для непрерывности бизнеса во всей экономике. Эти риски усугубляются, когда безопасность не учитывается должным образом на протяжении всего жизненного цикла программного обеспечения, включая разработку, распространение, закупку, обслуживание и использование программного обеспечения, как это часто бывает.

Киберинциденты, связанные с программным обеспечением, могут произойти, когда злоумышленники используют слабые места на любом этапе жизненного цикла программного обеспечения. Недавние громкие инциденты демонстрируют некоторые способы использования сложности программного обеспечения и цифровых цепочек поставок. В конце 2021 года уязвимость Log4Shell затронула программное обеспечение, использующее широко используемый программный компонент с открытым исходным кодом Log4j. После того как об уязвимости было сообщено, всего за 72 часа было совершено более 800 000 атак , что подчеркивает, как известные уязвимости быстро становятся легкой мишенью для злоумышленников. Этот инцидент произошел из-за уязвимости, созданной при разработке кода, но самые большие проблемы были связаны с отсутствием видимости компонентов программного обеспечения в более широких пакетах программного обеспечения. Многие компании изо всех сил пытались выявить и исправить ошибку в своем программном обеспечении или не знали, что на них повлияла уязвимость.

Атака SolarWinds в 2020 году стала одной из самых громких атак, распространявшихся через распространение программного обеспечения. Эта атака показала, как злоумышленникам удалось незаметно перемещаться по цифровым цепочкам поставок, достигая критически важных клиентов в промышленности и правительстве. Затем злоумышленникам удалось внедрить вредоносный код, который автоматически распространялся среди клиентов через обновления программного обеспечения. Это позволило злоумышленникам получить конфиденциальную информацию, прежде чем они были обнаружены более девяти месяцев спустя . По оценкам правительства США, около 18 000 организаций загрузили вредоносное обновление , что привело к компрометации 9 федеральных агентств США и примерно 100 организаций частного сектора.

В 2021 году в ходе атаки на Kaseya VSA обновления программного обеспечения использовались как механизм быстрого распространения программ-вымогателей по цепочкам поставок. Атака поразила ряд ключевых поставщиков управляемых услуг, использующих это программное обеспечение, и через этих поставщиков распространилась на обширные клиентские базы по всему миру, многие из которых представляли собой небольшие организации, работающие в Великобритании. По оценкам , в общей сложности от этой атаки во всем мире пострадало от 800 до 1500 предприятий . В то время как SolarWinds наблюдала получение конфиденциальной информации от потребителей электроэнергии, включая правительство, атака Kaseya подчеркнула сбои в работе и финансовые последствия, которые такие атаки могут иметь для бизнеса. Последствия для многих малых предприятий, пострадавших от этой атаки, были особенно серьезными.

Масштаб атак подтверждает необходимость систематического и упреждающего подхода как со стороны промышленности, так и со стороны правительств. Необходимо убедиться, что мы понимаем полную картину рисков на протяжении всего жизненного цикла программного обеспечения, что поможет структурировать обсуждение того, где расставить приоритеты в наших усилиях по устранению рисков, связанных с программным обеспечением, в этом призыве к мнениям и в более широком смысле по мере нашего продвижения к разработке мер. .

Чтобы облегчить эти обсуждения, мы разработали следующую структуру, позволяющую лучше понять различные части ландшафта рисков программного обеспечения. Сюда входят 6 областей риска, в которых освещаются проблемы, связанные с различными этапами жизненного цикла программного обеспечения. Области риска 1 и 2 в первую очередь связаны с разработкой программного обеспечения; области риска 3 и 4 связаны в основном с распространением программного обеспечения и прозрачностью в цифровых цепочках поставок; а области риска 5 и 6 относятся к роли клиента. Эти области риска не являются взаимоисключающими, а помогают охарактеризовать различные типы проблем, которые влияют на устойчивость организаций к рискам программного обеспечения в целом. Будущие варианты политики могут помочь решить проблемы в более чем одной области риска одновременно.

Области риска программного обеспечения

Разработка

Тип

Категория

1. Безопасность разработки программного обеспечения

Эта категория относится к безопасности методов разработки программного обеспечения и обеспечению целостности программного кода. Целостность программного кода подкрепляется безопасными средами сборки, безопасными процессами разработки и надежными и надежными поставщиками. Сопутствующие риски включают:
● Случайные уязвимости в программном коде (во время первоначальной сборки и последующих обновлений). Это могут быть уязвимости, появившиеся при написании нового кода, или уязвимости, появившиеся в стороннем коде из-за неадекватной проверки этого кода. Безопасность также необходимо учитывать и расставлять приоритеты в инструментах и процессах разработки, например, входящих в комплекты для разработки программного обеспечения.
● Преднамеренная компрометация кода программного обеспечения (во время первоначальной сборки или последующих обновлений) разработчиком программного обеспечения или лицами, работающими на разработчика. Это включает в себя код, который намеренно разрабатывается с использованием бэкдоров, позволяющих разработчикам или другим лицам получать доступ к данным, изменять код или позже внедрять вредоносный код.
● Небезопасные среды разработки, уязвимые для атак. Если злоумышленникам удастся проникнуть в среду разработки, они могут внедрить вредоносный код в программное обеспечение, которое затем может распространиться по цепочкам поставок программного обеспечения посредством распространения программного обеспечения поставщиками программного обеспечения. Сюда входят нарушения, вызванные человеческими ошибками, такими как небезопасные пароли, а также другие технические проблемы.

Эта область риска распространяется на действия тех, кто разрабатывает программное обеспечение, в том числе многих, кто также продает программное обеспечение (вендоров). Это относится к разработке как открытого, так и закрытого (собственного) программного обеспечения.

Эти проблемы усугубляются непостоянным уровнем навыков безопасной разработки программного обеспечения в сообществе разработчиков, при этом безопасность обычно играет лишь небольшую роль в обучении.

В настоящее время рыночные стимулы для разработчиков и поставщиков программного обеспечения для повышения безопасности разработки программного обеспечения ограничены. Эта проблема еще больше усугубляется сложностью цифровых цепочек поставок, ограниченной прозрачностью и проблемами в коммуникации (см. риск 3). Например, это часто приводит к разрыву связи между конечными пользователями и разработчиками программного обеспечения, из-за чего конечным пользователям может быть сложно гарантировать, что они используют программное обеспечение от разработчиков, которые следуют методам безопасности, соответствующим их уровню риска.

2. Барьеры в сообществе открытого исходного кода

Сообщество разработчиков программного обеспечения с открытым исходным кодом является важным источником инноваций, его вклад привносит новые идеи, гибкость и оперативность в технологический сектор. Возложение дополнительной нагрузки на разработчиков открытого исходного кода может ограничить это нововведение, однако сообщество открытого исходного кода сталкивается с проблемами в разработке и сопровождении безопасного кода, что требует времени, инструментов и навыков и может потребовать дальнейшей поддержки.

Уровни финансирования в сообществе открытого исходного кода часто непоследовательны, особенно потому, что участие в разработке и сопровождении открытого исходного кода осуществляется преимущественно на добровольной основе. Нередко часто используемые компоненты кода обслуживаются одним человеком. Это означает, что у сопровождающего может не быть ресурсов для правильного и своевременного обновления и поддержки пакета, а также для адекватной проверки и обеспечения качества кода. Также существует риск того, что код станет неподдерживаемым.

Благодаря широкому распространению программного обеспечения с открытым исходным кодом как в качестве отдельных решений, так и в качестве компонентов коммерческих предложений, последствия этих проблем с ресурсами пронизывают цифровые цепочки поставок. Это может привести к появлению уязвимостей или помешать их устранению после обнаружения.

Программное обеспечение с открытым исходным кодом является фундаментально важным аспектом экосистемы программного обеспечения, и зависимость от этих компонентов с открытым исходным кодом в цифровых цепочках поставок растет. Многие пакеты программного обеспечения с открытым исходным кодом зависят от других компонентов с открытым исходным кодом, и для разработчиков проприетарного программного обеспечения является стандартной практикой импортировать код программного обеспечения с открытым исходным кодом в программное обеспечение, которое они продают.

Распределение

Тип

Категория

3. Безопасность и устойчивость при распространении программного обеспечения.

Эта область риска касается устойчивости тех, кто распространяет программное обеспечение, к кибератакам и того, как они справляются с киберинцидентами, когда они происходят. Клиенты могут подвергнуться киберрискам со стороны тех, кто продает или перепродает программное обеспечение или лицензии на программное обеспечение, а также тех, кто управляет программными услугами, если поставщик, реселлер или провайдер не обеспечивают надлежащую безопасность своих собственных систем и сетей. Это должно быть сделано таким образом, чтобы это было пропорционально риску дистрибьютора. Обеспечение должной устойчивости организаций, распространяющих программное обеспечение, к атакам снизит вероятность их использования в качестве точки входа в атаки на цепочку поставок программного обеспечения.

Если сети тех, кто предоставляет программное обеспечение или программные услуги, будут взломаны, данные клиентов, хранящиеся в этих сетях, могут быть раскрыты. Клиенты также могут столкнуться с сбоями, если будет затронут программный код или предоставление программных услуг, на которые они полагаются, или если атака, начавшаяся в сетях провайдера, распространится на собственные сети и системы клиента.

Эта зона риска ориентирована на тех, кто распространяет программное обеспечение. Это могут быть те же организации, что и разработчики программного обеспечения, но во многих случаях они разные. Если организация одновременно разрабатывает и продает программное обеспечение, в равной степени применимы риски, указанные в области риска 1 (безопасность разработки программного обеспечения) и здесь в области риска 3. Сюда входят риски, связанные с небезопасной средой сборки, если те, кто продает или перепродает программное обеспечение, имеют возможность разрабатывать или изменять код.

4. Прозрачность и передача материалов программного обеспечения, уязвимостей и управления инцидентами.

Часто клиенты имеют ограниченную информацию или вообще не имеют информации о содержимом или происхождении приобретаемого ими программного обеспечения, его компонентах или обновлениях этого программного обеспечения. Более того, иногда клиенты не уведомляются об инцидентах, влияющих на используемое ими программное обеспечение. Аналогичным образом, на безопасность программного обеспечения влияет отсутствие эффективных механизмов раскрытия уязвимостей тем, кто обслуживает программное обеспечение, или когда клиенты не знают, что они используют программное обеспечение, которое требует обновления или больше не обслуживается.

Из-за этих проблем клиентам особенно сложно разрешать инциденты, управлять затрагивающими их рисками и принимать обоснованные решения относительно приобретаемого ими программного обеспечения.

Некоторые организации, разрабатывающие и/или продающие программное обеспечение, реагируют медленно или неадекватно на уведомления об уязвимостях или инцидентах. В результате те, кто находится в последующих цепочках поставок, остаются незащищенными и не подозревают о рисках или угрозах, с которыми они могут столкнуться. В результате клиенты часто не могут принимать обоснованные решения о собственных мерах безопасности или предпринимать шаги для снижения любого дополнительного риска.

Эти вопросы прозрачности и коммуникации применимы на протяжении всего жизненного цикла программного обеспечения и связаны с тем, как те, кто разрабатывает, обслуживает, распространяет, закупает и использует программное обеспечение, взаимодействуют друг с другом. Таким образом, этот риск связан с каждой из других областей риска и с действиями, которые должны быть предприняты теми, кто участвует в жизненном цикле программного обеспечения.

Роль клиента

Тип

Категория

5. Закупки, гарантия поставщиков и управление поставщиками.

Организации-клиенты, которые приобретают и используют программное обеспечение, должны принимать меры по управлению рисками, связанными с программным обеспечением, но при этом могут столкнуться с проблемами. Это часто приводит к тому, что кибербезопасность не упоминается в процессах закупок и не включается в контракты. Это снижает стимулы для поставщиков программного обеспечения или других лиц обеспечивать более высокий уровень безопасности и означает, что организация может приобрести программное обеспечение, которое не соответствует требованиям безопасности ее компании. Клиенты также могут получить меньшую поддержку, чем они ожидали от своих поставщиков, если инцидент произойдет в результате того, что безопасность программного обеспечения не упоминается в контрактах.

Низкая осведомленность клиентов об обязанностях, связанных с программным обеспечением, является основным фактором этих рисков. Это особенно проблема для неспециалистов в области кибербезопасности, таких как отделы закупок или организации, в которых нет специалистов по кибербезопасности.

Многие организации и отделы закупок внутри организаций не знают, как правильно управлять киберрисками поставщиков. Когда организации не делают этого, они не только подвергают свои собственные организации потенциальному нарушению бизнеса, но также могут подвергнуть свои цепочки поставок или конечных пользователей вреду или утечке данных.

Кроме того, ресурсы, необходимые как организациям-клиентам, так и поставщикам, являются дополнительным препятствием для клиентов, следующих соответствующим практикам обеспечения кибербезопасности для потенциальных поставщиков и их продуктов или услуг. Это может привести к их исключению или игнорированию в процессах закупок и контрактах. Это снижает степень ответственности поставщика за соблюдение передовых методов обеспечения безопасности, в том числе связанных с программным обеспечением, и подвергает клиентов дополнительным рискам.

6. Обслуживание, настройка и использование программного обеспечения заказчиком.

После того как организация приобретает программный продукт или лицензию, неправильно настроенные параметры могут создать угрозу безопасности. Сюда входит настройка самого программного обеспечения или сетей и настроек облака. Если программное обеспечение не настроено должным образом, любые функции безопасности, согласованные в процессе закупок, могут не работать должным образом. Ошибки в конфигурации сети или облака также могут оставить уязвимость для злоумышленников, даже если само программное обеспечение имеет соответствующие функции безопасности.

Клиенты часто несут некоторую ответственность за обеспечение надлежащего обслуживания программного обеспечения, например, путем своевременного применения исправлений и надлежащего управления привилегиями пользователей. Клиенты должны гарантировать, что программное обеспечение потребляется и используется надлежащим образом, наряду с более широкими соображениями устойчивости организации.

Приведенные ниже вопросы предназначены для сбора мнений по обозначенным 6 областям риска. Мы собираем информацию о том, какие из этих областей риска необходимо решать наиболее срочно и какие области риска должны стать политическим приоритетом для правительства. Хотя все шесть из этих областей риска вызывают беспокойство, ответы на вопросы в этом разделе помогут правительству определить, какие из них оказывают наибольшее влияние на компании в Великобритании и, следовательно, должны быть приоритетными. Существующие и потенциальные решения для решения выявленных проблем рассматриваются в последующих разделах.

Вопросы по зонам риска:

8. Как вы думаете, в какой степени проблемы в каждой из описанных выше областей риска программного обеспечения влияют на безопасность и отказоустойчивость вашей организации? [Нет влияния / слабое влияние / среднее влияние / сильное влияние / очень сильное влияние / не знаю]

а. Безопасность разработки программного обеспечения

Случайные уязвимости в программном коде
Преднамеренная компрометация программного кода
Небезопасная среда разработки

б. Барьеры в сообществе открытого исходного кода

в. Безопасность и отказоустойчивость при распространении программного обеспечения

д. Прозрачность и передача материалов программного обеспечения, уязвимостей и управления инцидентами.

е. Закупки, гарантия поставщиков и управление поставщиками

ф. Обслуживание, настройка и использование программного обеспечения заказчиком

г. Пожалуйста, объясните свои ответы на вышеизложенное: [свободный текст]

9. В какой степени, по вашему мнению, проблемы в каждой из областей риска программного обеспечения, описанных выше, влияют на безопасность и устойчивость экономики Великобритании в целом? [Нет влияния / слабое влияние / среднее влияние / сильное влияние / очень сильное влияние / не знаю]

а. Безопасность разработки программного обеспечения

Случайные уязвимости в программном коде
Преднамеренная компрометация программного кода
Небезопасная среда разработки

б. Барьеры в сообществе открытого исходного кода

в. Безопасность и отказоустойчивость при распространении программного обеспечения

д. Прозрачность и передача материалов программного обеспечения, уязвимостей и управления инцидентами.

е. Закупки, гарантия поставщиков и управление поставщиками

ф. Обслуживание, настройка и использование программного обеспечения заказчиком

г. Пожалуйста, объясните свои ответы на вышеизложенное: [свободный текст]

10. Какие из этих областей риска вы считаете самой большой проблемой?

а. Безопасность разработки программного обеспечения

Случайные уязвимости в программном коде
Преднамеренная компрометация программного кода
Небезопасная среда разработки

б. Барьеры в сообществе открытого исходного кода

в. Безопасность и отказоустойчивость при распространении программного обеспечения

д. Прозрачность и передача материалов программного обеспечения, уязвимостей и управления инцидентами.

е. Закупки, гарантия поставщиков и управление поставщиками

ф. Обслуживание, настройка и использование программного обеспечения заказчиком

г. Не знаю

11. Пожалуйста, поясните свой ответ на вышеизложенное [Свободный текст]

12. Существуют ли другие риски, связанные с программным обеспечением, но не включенные в вышеуказанные области рисков?

а. Да

б. Нет

в. Не знаю

13. [если «да» на вопрос 12] О каких еще рисках вы говорите? [Открытый текст]

14. Как долго ваша организация могла бы продолжать свою повседневную деятельность, если бы какое-либо важное программное обеспечение или ИТ-услуги, от которых вы напрямую зависите, не могли быть использованы?

15. Как долго ваша организация сможет продолжать свою повседневную деятельность, если один из ваших наиболее важных поставщиков не сможет работать из-за проблем с их программным обеспечением?

Часть 2. Существующие отраслевые меры [при ответе от имени организации]

Чтобы лучше понять, где государственная поддержка и вмешательство должны быть приоритетными, нам необходимо понять, какие действия уже предпринимаются организациями для обеспечения безопасности программного обеспечения. Промышленность уже вносит ценный вклад в повышение устойчивости программного обеспечения, в первую очередь в создании передовой практики обеспечения безопасности разработки программного обеспечения с помощью ряда инфраструктур и предлагаемых процессов. Формальные стандарты также являются полезным инструментом, помогающим отрасли использовать передовой опыт и предоставляющим клиентам инструмент для обеспечения гарантий поставщиков. Некоторые организации уже следуют передовому опыту, возможно, не прибегая к конкретным системам, внедряя различные процессы и средства контроля в качестве стандартных в своих организациях.

Этот раздел поможет нам понять, в какой степени организации используют существующие ресурсы или следуют передовому опыту. Мы приглашаем вас оставить отзыв о том, какие меры отрасль уже принимает для повышения безопасности разработки, предоставления и использования программного обеспечения, а также о том, где могут возникнуть сбои рынка, требующие действий правительства в будущем. Эти вопросы будут сосредоточены на существующих вмешательствах со стороны правительства и промышленности, а также на средствах контроля и процессах, которые компании могут внедрить в рамках своей повседневной практики обеспечения организационной устойчивости. Это включает в себя внедрение существующих руководств или стандартов, таких как опубликованные принципы безопасности. NCSC, ISO 27001 или других отраслевых стандартов. Это также включает в себя реализацию конкретных технических или организационных мер, чтобы либо снизить вероятность или серьезность нарушения, либо улучшить способность организаций реагировать и восстанавливаться после него.

Вопросы по существующим отраслевым инициативам:

Фильтр: Вопросы для организаций, которые разрабатывают и/или продают программное обеспечение.

16. а. Соблюдаете ли вы или ваша организация определенные стандарты, рекомендации, рамки или схемы аккредитации при разработке программного обеспечения?

Да
Нет
Не знаю

б. Какие из следующих стандартов, руководств и рамок вы/ваша компания уже используете при разработке программного обеспечения? (Выбрать все, что подходит)

Руководство NCSC, например, руководство по безопасной разработке и развертыванию.
Безопасные структуры разработки или руководства, разработанные промышленностью
Формальные стандарты (национальные или международные)
Рамки безопасного развития, разработанные международными правительствами/агентствами
Другое [укажите подробности]
Никто

в. Если вы используете стандарты, на какие стандарты вы ссылаетесь? [открытый текст]

17. Какие из следующих мер безопасности и процессов реализует ваша организация?

а. Средства контроля общего состояния кибербезопасности и организационной устойчивости: (выберите все подходящие варианты)

Сертификация кибербезопасности (например, Cyber Essentials или ISO 27001) для обеспечения устойчивости организации.
Базовые меры кибербезопасности для обеспечения устойчивости организации (включающие как минимум следующее: межсетевые экраны, охватывающие всю ИТ-сеть, ограничения прав ИТ-администратора и доступа, современное производство вредоносного ПО и политику применения обновлений программного обеспечения в течение 14 дней).
Обучение сотрудников кибербезопасности и/или имитационные упражнения по фишингу для сотрудников

б. Средства контроля и процессы управления уязвимостями (выберите все, что применимо)

Стандарт разработки программного обеспечения, позволяющий минимизировать риск появления уязвимостей при разработке кода (т. е. использование языка, безопасного для памяти).
Этап обнаружения уязвимостей, включенный в жизненный цикл разработки программного обеспечения.
Политика и процесс раскрытия уязвимостей, которые позволяют исследователям уведомлять вас об уязвимостях в продуктах или системах вашей организации и устанавливают стандарты реагирования на такие уведомления.
Процесс эффективного и безопасного обновления продуктов и развертывания исправлений для клиентов.
Проведите инвентаризацию компонентов разрабатываемого вами программного обеспечения (спецификация программного обеспечения (SBOM) или другие формы инвентаризации компонентов)
Поделитесь с клиентами перечнем компонентов разрабатываемого вами программного обеспечения.
Поделитесь оповещением о возможности использования уязвимости (например, VEX ).

в. Средства управления разработкой программного обеспечения (выберите все подходящие варианты)

Примените стандарт или структуру кибербезопасности для защиты среды разработки.
Внутренние средства контроля и процессы для обеспечения безопасности среды разработки.
Иметь политику ограничения типов компонентов, включая проекты с открытым исходным кодом, которые могут использоваться при разработке программного обеспечения (например, не использовать проекты со сценариями установки или избегать проектов, которые были неактивны в течение определенного периода времени).
Используйте стандартный или установленный процесс проверки для оценки безопасности сторонних библиотек, используемых при разработке программного обеспечения.
Процесс мониторинга сторонних библиотек на предмет новых уязвимостей и своевременного исправления или устранения уязвимостей.
Осуществлять тестирование безопасности программного обеспечения на этапе разработки.

д. Средства управления выбором поставщиков (включая поставщиков и реселлеров программного обеспечения) для вашей организации (выберите все подходящие варианты)

Требовать от поставщиков наличия сертификации (например, Cyber Essentials)
Анкета для оценки риска поставщика
Требование к поставщикам внедрить некоторые или все меры контроля, перечисленные выше.
Требования и/или обязанности в области кибербезопасности, включенные в контракты с поставщиками
Требование к поставщикам программного обеспечения применять передовые методы разработки

Фильтр: Вопросы для организаций, использующих программное обеспечение.

18. а. Ссылается ли ваша организация на существующие руководства, рамки, стандарты или сертификаты при закупке программного обеспечения?

Да
Нет
Не знаю

б. Если да, то на что из следующего вы или ваша организация уже обращаетесь при закупке программного обеспечения? (Выбрать все, что подходит)

Руководство NCSC и/или CPNI
Сертификация (т.е. требование от поставщиков иметь определенные сертификаты или рассмотрение сертификации в процессе закупок)
Формальные стандарты (национальные или международные)
Рамки/руководства/стандарты, разработанные промышленностью
Другой
Никто

в. Если вы используете стандарты, сертификацию или руководства, на что вы ссылаетесь? (например, серия ISO 27001 по информационной безопасности, ISA/IEC 62443 по системам автоматизации и управления, стандарт обеспечения безопасности ISAE SOC 2 или Cyber Essentials и т. д.) [свободный текст]

19. Какие из следующих средств контроля или процессов вы или ваша организация используете? Средства контроля или процессы выбора поставщиков программного обеспечения (в число которых могут входить любые разработчики, поставщики, поставщики услуг или реселлеры, имеющие доступ к коду программного обеспечения) (выберите все подходящие варианты)

Анкета для оценки риска поставщика программного обеспечения
Требование к поставщикам программного обеспечения о внедрении средств контроля управления уязвимостями (например, о создании и/или совместном использовании инвентаризации компонентов программного обеспечения, политике реагирования на уязвимости или политике раскрытия уязвимостей).
Требование к поставщикам программного обеспечения применять передовые методы обеспечения безопасности во время разработки (пожалуйста, приведите примеры)
Другие меры безопасности или процессы (пожалуйста укажите)

б. Средства контроля или процессы, гарантирующие, что программное обеспечение настроено и используется безопасно? (Выбрать все, что подходит)

Политика исправлений
Аудит уязвимостей и/или установленный процесс управления уязвимостями
Проверка на проницаемость
Поддерживать инвентарь программного обеспечения
Измените настройки безопасности программного обеспечения по умолчанию в стандартной комплектации.
Другие меры безопасности или процессы (пожалуйста укажите)

20. Каковы основные причины, по которым ваша организация не принимает дальнейших мер по обеспечению кибербезопасности вашего программного обеспечения? (Выбрать все, что подходит)

а. Слишком дорого

б. Недостаточное руководство

в. Отсутствие доступных инструментов

д. Недостаток опыта в вашей организации для определения требований безопасности и/или принятия мер.

е. Проблемы в переговорах с поставщиками

ф. Другие приоритеты более важны для совета директоров.

г. Организация находится в процессе реализации дальнейших мер.

час Организация уже принимает достаточные меры для управления киберрисками.

я. Другое (пожалуйста укажите)

Часть 3. Будущие действия правительства

Как отмечалось в предыдущих разделах, риски кибербезопасности, связанные с программным обеспечением, используемым на предприятии (его разработка, распространение и использование), широки и разнообразны. Правительство уже проделывает большой объем работы, наряду с усилиями отрасли, чтобы помочь устранить различные части этих рисков и повысить киберустойчивость организаций по всей Великобритании. Однако сложность жизненного цикла программного обеспечения и процесса разработки, а также скорость развития угроз, связанных с программным обеспечением, означают, что необходимо сделать больше.

Во введении мы обрисовали некоторые ключевые элементы существующей или текущей работы правительства, которая помогает устранить некоторые риски, связанные с программным обеспечением на протяжении его жизненного цикла. Чтобы быть наиболее эффективными в наших усилиях по устранению рисков программного обеспечения и повышению киберустойчивости британских организаций, мы должны использовать многогранный подход, который расставляет приоритеты и направляет наши усилия на достижение максимального результата. Однако существующие действия правительства имеют некоторые ограничения, особенно в отношении рисков, связанных с распространением программного обеспечения и предоставлением услуг. В таких областях, как использование программного обеспечения клиентами, нам необходимо понять, как расширить охват разработанных нами руководств и кодексов мирового класса.

Предыдущие разделы запроса мнений были сосредоточены на определении того, какие аспекты широкого ландшафта рисков программного обеспечения вызывают наибольшую озабоченность участников и где организации уже принимают меры. Эта заключительная часть запроса мнений направлена на то, чтобы собрать мнения о действиях, которые правительство могло бы предпринять для решения проблем, изложенных в Части 1, и заполнить любые пробелы, оставленные существующей поддержкой и отраслевыми практиками, рассмотренными в Части 2. Посредством этих ответов мы желаем определить, где существует наибольшая потребность в дальнейших действиях. Ключом к этой оценке будет понимание вероятной эффективности этих вариантов с точки зрения ожидаемого воздействия вариантов по сравнению с проблемами реализации и необходимыми ресурсами.

Приведенные ниже вопросы структурированы в соответствии с областями риска, указанными в Части 1, с широкими вариантами политики, включенными для каждой. Эти варианты политики включают в себя сочетание руководств, инструментов, обучения, аккредитации и регулирования, соответствующих каждой области риска. Любые будущие действия должны основываться на совместной работе правительства и промышленности и максимальном использовании соответствующих ролей и возможностей обеих сторон. Таким образом, хотя большинство этих вариантов будут осуществляться под руководством правительства, мы будем тесно сотрудничать с отраслевыми и академическими партнерами на протяжении всего процесса их разработки и реализации. Другие варианты действительно могут определяться промышленностью. Перечисленные варианты не являются исчерпывающими, и несколько предлагаемых мер могут помочь устранить более чем одну область риска. Мы приглашаем респондентов поделиться идеями об альтернативных мерах государственного вмешательства, которые, по их мнению, могут быть эффективными.

Вопросы о будущих вмешательствах:

21. В какой из областей риска, по вашему мнению, существует необходимость более активного вмешательства государства и/или промышленности? [правительство / промышленность / оба / ни один]

а. Безопасность разработки программного обеспечения

б. Барьеры в сообществе открытого исходного кода

в. Безопасность и отказоустойчивость при распространении программного обеспечения

д. Прозрачность и передача материалов программного обеспечения, уязвимостей и управления инцидентами.

е. Закупки, гарантия поставщиков и управление поставщиками

ф. Обслуживание, настройка и использование программного обеспечения заказчиком

г. Поясните, пожалуйста, свои ответы на вышеизложенное

22. Считаете ли вы, что необходимы дальнейшие действия для устранения рисков программного обеспечения, которые не включены в области рисков, описанные выше?

а. Да

б. Нет

в. Не знаю

23. [если «да» на вопрос 23] Пожалуйста, поясните свой ответ. [Открытый текст]

24. Сквозные вмешательства

а. Как вы думаете, в какой степени следующие меры будут эффективны в устранении сквозных или других киберрисков, связанных с программным обеспечением? [Совсем не эффективно/отчасти эффективно/очень эффективно/Не знаю]

Международная координация руководства
Требования к государственным закупкам для поощрения внедрения (например, аккредитованные поставщики программного обеспечения, SBOM)
Аккредитация консультантов по кибербезопасности, специализирующихся на цифровых цепочках поставок (например, для поддержки разработчиков программного обеспечения во внедрении безопасных методов и/или для поддержки клиентов во внедрении безопасных методов в процессах закупок).

б. Поясните, пожалуйста, свои ответы на вышеизложенное

в. Какие еще межсекторальные меры правительства, по вашему мнению, были бы эффективны для устранения киберрисков, связанных с программным обеспечением?

25. Безопасность разработки программного обеспечения

а. В какой степени, по вашему мнению, следующие меры правительства будут эффективны в устранении рисков, связанных с разработкой безопасного программного обеспечения (как в контексте программного обеспечения с открытым исходным кодом, так и в контексте проприетарного программного обеспечения)? [Совсем не эффективно/отчасти эффективно/очень эффективно/Не знаю]

Руководство по передовому опыту (например, свод правил для разработчиков программного обеспечения, безопасные среды разработки программного обеспечения, инструменты самооценки и т. д.)
Международный стандарт практики разработки программного обеспечения
Аккредитация организаций, которые придерживаются лучших практик разработки программного обеспечения (например, кодекса практики, стандарта или структуры).
Поддержка разработки и продвижения инструментов, сканирующих программные пакеты и компоненты на наличие известных уязвимостей и индикаторов вредоносного взлома.
Аккредитация безопасного программного обеспечения и/или системных пакетов и компонентов (с открытым исходным кодом и проприетарного программного обеспечения)
Финансовая поддержка малого бизнеса или стартапов, разрабатывающих программное обеспечение в соответствии с лучшими практиками.

б. Поясните, пожалуйста, свои ответы на вышеизложенное

в. Какие еще меры государственного вмешательства, по вашему мнению, были бы эффективны для устранения этих рисков?

26. Барьеры в сообществе открытого исходного кода

а. Как вы думаете, в какой степени следующие меры правительства будут эффективны в устранении рисков, характерных для разработки программного обеспечения с открытым исходным кодом? [Совсем не эффективно/отчасти эффективно/очень эффективно/Не знаю]

Руководство о том, как повысить безопасность разработки программного обеспечения в сообществе открытого исходного кода
Финансирование отраслевых инициатив (например, направленных на поддержку критически важных компонентов с открытым исходным кодом или тех, которые разрабатывают инструменты безопасности для использования сообществом открытого исходного кода)
Создайте поддерживаемые правительством группы, занимающиеся обслуживанием критически важных компонентов программного обеспечения с открытым исходным кодом и поддержкой устранения инцидентов, затрагивающих критические компоненты.
Работать с промышленностью над разработкой инструмента картографирования, чтобы понять, какие компоненты с открытым исходным кодом являются наиболее важными.

б. Поясните, пожалуйста, свои ответы на вышеизложенное

27. Безопасность и устойчивость при распространении программного обеспечения.

а. Как вы думаете, в какой степени следующие меры правительства будут эффективны в борьбе с киберрисками, связанными с действиями тех, кто продает или перепродает программное обеспечение или лицензии на программное обеспечение, или тех, кто управляет программными услугами? [Совсем не эффективно/отчасти эффективно/очень эффективно/Не знаю]

Руководство по передовому опыту (например, для обеспечения безопасности продаваемого программного обеспечения, безопасности собственных сетей и информационных систем)
Аккредитация поставщиков программного обеспечения, реселлеров или поставщиков, которые следуют передовому опыту (например, сертификация или рынок доверенных поставщиков)
Регламент, требующий от поставщиков, реселлеров или поставщиков программного обеспечения следовать минимальным стандартам (например, аттестация реализуемых ими мер безопасности, уведомление клиентов об инцидентах и т. д.)

б. Поясните, пожалуйста, свои ответы на вышеизложенное

28. Прозрачность и передача материалов программного обеспечения, уязвимостей и управления инцидентами.

а. Как вы думаете, в какой степени следующие меры правительства будут эффективны в устранении рисков, связанных с видимостью и распространением материалов программного обеспечения, уязвимостями и управлением инцидентами? [Совсем не эффективно/отчасти эффективно/очень эффективно/Не знаю]

Техническое руководство по спецификациям программного обеспечения (SBOM) и аналогичным инструментам.
Руководство по передовой практике обеспечения прозрачности (например, аттестация, кодекс практики для поставщиков, рекомендуемые договорные положения и т. д.)
Сертификация разработчиков и поставщиков программного обеспечения, которые придерживаются передовой практики обеспечения прозрачности.
Создать безопасные механизмы для обмена информацией об уязвимостях и вредоносном коде между разработчиками программного обеспечения, исследователями и правительством.
Разработайте безопасную центральную базу данных SBOM, к которой можно будет обращаться для информирования об управлении рисками или уязвимостями и реагировании на инциденты.
Разработать нормативные акты, требующие от разработчиков и поставщиков программного обеспечения соблюдения минимального стандарта прозрачности (например, предоставить клиентам право проверять и запрашивать информацию, создать юридическое требование уведомлять клиентов об инцидентах, которые их затрагивают, и т. д.).

б. Поясните, пожалуйста, свои ответы на вышеизложенное

29. Закупки, гарантия поставщиков и управление поставщиками

а. Как вы думаете, в какой степени следующие меры будут эффективны в борьбе с киберрисками, связанными с закупками программного обеспечения, гарантиями поставщиков и управлением поставщиками? [Совсем не эффективно/отчасти эффективно/очень эффективно/Не знаю]

Инструменты, помогающие предприятиям реализовать рекомендации по обеспечению безопасности собственных цепочек поставок (например, рекомендуемые положения для включения в контракты)
Учебные ресурсы, предназначенные для групп по закупкам и управлению контрактами
Работать с промышленностью над разработкой и продвижением инструментов, которые помогают предприятиям обеспечивать безопасность собственных цепочек поставок.

б. Поясните, пожалуйста, свои ответы на вышеизложенное

30. Обслуживание, настройка и использование программного обеспечения заказчиком.

а. В какой степени, по вашему мнению, следующие меры будут эффективны для устранения киберрисков, связанных с текущим обслуживанием, настройкой и использованием программного обеспечения? [Совсем не эффективны/отчасти эффективны/очень эффективны/Не знаю]

Кампании по информированию и информированию о минимальных действиях, которые предприятия должны предпринять для обеспечения безопасности используемого ими программного обеспечения.
Учебные ресурсы, предназначенные для специалистов, не связанных с кибербезопасностью
Работайте с поставщиками программного обеспечения, чтобы свести к минимуму знания и действия, необходимые клиентам для защиты программных продуктов (например, создание подсказок для изменения паролей по умолчанию или обеспечение того, чтобы многофакторная аутентификация была отключена, а не включена).

б. Поясните, пожалуйста, свои ответы на вышеизложенное

31. Каковы, по вашему мнению, самые большие проблемы при реализации потенциальных мер, изложенных выше?

Следующие шаги

Риски, связанные с программным обеспечением в цифровых цепочках поставок, разнообразны и сложны. Невозможно и не будет соразмерно реализовывать все возможные варианты политики, проверенные в рамках этого призыва к мнениям. Мы будем отдавать приоритет тем вариантам политики, которые окажут наибольшее влияние на устранение рисков программного обеспечения в рамках имеющихся у нас ресурсов. Приоритизация будет определяться ответами на этот призыв к мнениям, и мы опубликуем наш официальный ответ летом 2023 года.

Мы будем работать во всем правительстве, чтобы обеспечить соответствие этих вариантов политики другим приоритетам правительства, включая Цифровую стратегию Великобритании, реализацию Закона PSTI и предлагаемые изменения в правилах о сетях и информационных системах. На протяжении всей этой работы мы стремимся тесно сотрудничать с отраслевыми, академическими и международными партнерами для определения, разработки и реализации конкретных действий, которые помогут повысить безопасность и устойчивость разработки, распространения и использования программного обеспечения в Великобритании.

Чтобы облегчить это обсуждение, мы можем напрямую связаться с респондентами по существу их ответов на вопросы опроса. В ходе сбора мнений мы проведем ряд семинаров, чтобы обеспечить обратную связь и обсуждение вопросов, затронутых выше, с ключевыми отраслевыми и международными заинтересованными сторонами.

Под управляемыми услугами правительство понимает услуги, которые предоставляются одним бизнесом другому бизнесу (т.е. третьей стороне); относятся к предоставлению ИТ-услуг, таких как системы, инфраструктура, сети и/или безопасность; полагаться на использование сетевых и информационных систем, будь то сети и информационные системы провайдера, его клиентов или третьих лиц; и обеспечивать регулярную и постоянную поддержку управления, активное администрирование и/или мониторинг ИТ-систем, ИТ-инфраструктуры, ИТ-сети и/или их безопасности. (Характеристики взяты из ответа правительства на ответ правительства на запрос высказать свое мнение по предложениям по повышению киберустойчивости Великобритании .) ↩
Под поставщиком облачных услуг (CSP) правительство подразумевает организации, предлагающие услуги облачных вычислений, обеспечивающие доступ к масштабируемому и эластичному пулу общих вычислительных ресурсов. Типичное предложение облачных услуг включает инфраструктуру как услугу (IaaS), программное обеспечение как услугу (SaaS) и/или платформу как услугу (PaaS). ↩

WikiVisa — ВикиВиза — VikiVisa

Кодекс программного обеспечения в Великобритании в 2024 году

Кодекс практики для поставщиков программного обеспечения: приглашаем к рассмотрению

Краткое содержание

Запросить описание доказательств

Документы

Приглашение высказать свое мнение по Кодексу практики для поставщиков программного обеспечения

Уведомление о конфиденциальности – запрос на просмотр информации о безопасности программного обеспечения

Способы реагирования

Электронная почта по адресу:

Написать в:

Поделиться этой страницей

Связанный контент

Министерское предисловие

Как ответить

Свобода информации

Введение

Влияние программного обеспечения

Цель и объем запроса мнений

Ссылки на другие работы правительства Великобритании

Разработка программного обеспечения

Распространение и закупка программного обеспечения

Использование программного обеспечения

Международный контекст

Структура запроса на просмотры

Организационно-демографические вопросы для тех, кто откликнулся на призыв высказать мнения:

Часть 1. Риски программного обеспечения

Наше понимание рисков программного обеспечения

Области риска программного обеспечения

Разработка

Распределение

Роль клиента

Вопросы по зонам риска:

Часть 2. Существующие отраслевые меры [при ответе от имени организации]

Вопросы по существующим отраслевым инициативам:

Фильтр: Вопросы для организаций, которые разрабатывают и/или продают программное обеспечение.

Фильтр: Вопросы для организаций, использующих программное обеспечение.

Часть 3. Будущие действия правительства

Вопросы о будущих вмешательствах:

Следующие шаги

О нас

NOTA BENE