В январе 2024 года Департамент науки, инноваций и технологий ( DSIT ) опубликовал ответ правительства на призыв представить мнения по поводу устойчивости и безопасности программного обеспечения для предприятий и организаций . В этом ответе изложен предлагаемый правительством пакет мер политики, направленный на повышение базовых ожиданий в отношении безопасности программного обеспечения и улучшение устойчивости программного обеспечения по всей Великобритании.

Открытый призыв к представлению доказательств

Кодекс практики для поставщиков программного обеспечения: призыв к мнениям

От: Департамент по науке, инновациям и технологиям и Ферьял Кларк, депутат
Опубликовано: 2 августа 2024 г.

Краткое содержание

Правительство ищет мнения представителей отрасли по проекту кодекса практики для поставщиков программного обеспечения с целью повышения устойчивости и безопасности программного обеспечения.

Этот призыв к представлению доказательств заканчивается
23:59 9 августа 2024 г.

Требование описания доказательств

Правительство работает над повышением киберустойчивости экономики Великобритании. Это включает повышение устойчивости и безопасности программного обеспечения для укрепления цифровых цепочек поставок.

После предыдущего призыва к мнениям по устойчивости и безопасности программного обеспечения для предприятий и организаций правительство предприняло широкомасштабное взаимодействие с заинтересованными сторонами для разработки пакета политических вмешательств . Меры в этом пакете направлены на предотвращение распространенных ошибок в разработке и распространении программного обеспечения, а также на улучшение обмена информацией между поставщиками программного обеспечения и их клиентами. Решение этих проблем снизит вероятность и влияние атак на цепочку поставок программного обеспечения и других инцидентов, которые продолжают влиять на организации во всех секторах нашей экономики.

Правительство в настоящее время публикует проект Кодекса практики для поставщиков программного обеспечения. Этот добровольный кодекс практики устанавливает основные меры безопасности и устойчивости, которые следует ожидать от всех организаций, которые разрабатывают или продают программное обеспечение, используемое предприятиями и другими организациями. Кодекс практики направлен на укрепление основ многих видов цифровых технологий, на которые полагаются все секторы нашей экономики.

Целью данного призыва к представлению мнений является получение отзывов о предлагаемом проекте Кодекса практики для поставщиков программного обеспечения, включая предложения о том, как его следует реализовать.

Ответьте на призыв к просмотру

Правительство также проводит призыв к мнениям по кибербезопасности ИИ , который связан с этим призывом к мнениям по программному обеспечению. Пожалуйста, посетите страницу кибербезопасности ИИ для получения более подробной информации.

Подробнее о том, как этот Кодекс практики для поставщиков программного обеспечения соотносится с Кодексом практики по кибербезопасности ИИ, можно прочитать на странице кодексов практики кибербезопасности .

Документы

Приглашаем высказать свое мнение по поводу Кодекса практики для поставщиков программного обеспечения

HTML

Уведомление о конфиденциальности — безопасность программного обеспечения, призыв к просмотру

PDF , 172 КБ , 5 страниц

Способы реагирования

Ответить онлайн

или

Отправить по электронной почте:

cyber.resilience.consultations@dsit.gov.uk

Написать в:

Приглашаем высказать свое мнение по безопасности программного обеспечения — 3-й этаж (CSDI)
Департамент науки, инноваций и технологий
22 Уайтхолл
Лондон
SW1A 2EG

Опубликовано 2 августа 2024 г.

Парламентский заместитель государственного секретаря по вопросам ИИ и цифрового правительства

Фериал Кларк, депутат

биография

Ферьял Кларк была назначена парламентским заместителем государственного секретаря в Министерстве науки, инноваций и технологий в среду 9 июля 2024 года. Она была избрана депутатом от Лейбористской партии от округа Энфилд-Норт в июле 2024 года.

Она изучала биоинформатику в Эксетерском университете.

Парламентская карьера

С ноября 2023 года по июль 2024 года она занимала пост теневого министра по сокращению преступности.

С сентября по ноябрь 2023 года она была теневым министром здравоохранения.

С декабря 2021 года по сентябрь 2023 года она была теневым министром первичной медико-санитарной помощи и безопасности пациентов.

Кларк была избрана депутатом от округа Энфилд-Норт на всеобщих выборах 2019 года. До этого она была советником округа Браунсвуд в лондонском районе Хакни с 2006 по 2014 год, когда ее избрали в округ Хокстон-Ист и Шордич. Она выросла до заместителя мэра Хакни и члена кабинета министров по вопросам здравоохранения, социальной помощи, досуга и парков.

Парламентский заместитель государственного секретаря по вопросам ИИ и цифрового правительства

Парламентский заместитель государственного секретаря по вопросам ИИ и цифрового правительства несет ответственность:

Институт безопасности искусственного интеллекта
Прозрачность и этика ИИ
Регулирование ИИ
Возможности ИИ
Обзор крупномасштабных вычислений
Информационная безопасность
Цифровые государственные услуги
Цифровой центр государственного управления
Политика цифровой идентификации
Трибунал по авторским правам
Ведомство по интеллектуальной собственности ( IPO )
Министр по делам корпораций

Подробнее об этой роли

Департамент науки, инноваций и технологий

Объявления

Подписки

Получать электронные письма

Кибербезопасность ИИ: призыв к мнениям
- 02 августа 2024 г.
- Открытый призыв к представлению доказательств
Кодекс практики для поставщиков программного обеспечения: призыв к мнениям
- 02 августа 2024 г.
- Открытый призыв к представлению доказательств

Просмотреть все объявления

WikiVisa — ВикиВиза — VikiVisa

Открытый призыв к представлению доказательств

Приглашаем высказать свое мнение по поводу Кодекса практики для поставщиков программного обеспечения

Опубликовано 2 августа 2024 г.

Управляющее резюме

В январе 2024 года Департамент науки, инноваций и технологий ( DSIT ) опубликовал ответ правительства на призыв представить мнения по поводу устойчивости и безопасности программного обеспечения для предприятий и организаций . В этом ответе изложен предлагаемый правительством пакет мер политики, направленный на повышение базовых ожиданий в отношении безопасности программного обеспечения и улучшение устойчивости программного обеспечения по всей Великобритании.

Этот документ предоставляет предприятиям возможность предоставить отзывы об основном предложенном правительством политическом вмешательстве, которое было разработано в ответ на взаимодействие с заинтересованными сторонами: Кодексе практики для поставщиков программного обеспечения.

Кодекс практики для поставщиков программного обеспечения описывает основные меры безопасности и устойчивости, которые следует разумно ожидать от всех организаций, которые разрабатывают и/или продают программное обеспечение для корпоративных клиентов. Он включает руководство о том, как программное обеспечение должно разрабатываться, создаваться, развертываться и поддерживаться, и как поставщики могут эффективно общаться с клиентами, которые закупают их программное обеспечение. При взаимодействии с этим Кодексом практики поставщики программного обеспечения значительно улучшат киберустойчивость своих продуктов и услуг.

Кодекс практики состоит из 21 положения, основанного на 4 принципах:

Принцип 1: Безопасное проектирование и разработка : этот принцип гарантирует, что продукт или услуга будут надлежащим образом защищены при предоставлении.
Принцип 2: Безопасность среды сборки : этот принцип гарантирует принятие соответствующих мер для минимизации риска нарушения среды сборки и защиты целостности и качества программного обеспечения.
Принцип 3: Безопасное развертывание и обслуживание : этот принцип гарантирует, что продукт или услуга останутся безопасными на протяжении всего срока службы, чтобы свести к минимуму вероятность и влияние уязвимостей.
Принцип 4: Коммуникация с клиентами : этот принцип гарантирует, что организации-поставщики предоставляют клиентам достаточную информацию для обеспечения эффективного управления рисками и инцидентами.

Кодекс практики, совместно разработанный лидерами отрасли, учеными и техническими экспертами Национального центра кибербезопасности, был разработан для поддержки любой организации, которая разрабатывает и/или продает программное обеспечение для продажи организационным клиентам (B2B). Сюда входят организации, которые продают исключительно программные продукты или услуги, или организации, продающие цифровые продукты или услуги, содержащие программное обеспечение. Правительство и соавторы учли, что организации различаются по размеру, возможностям и ресурсам, и организациям придется заниматься оценкой рисков, чтобы определить наиболее эффективный способ, которым они могут следовать этому Кодексу практики. Тем не менее, Кодекс практики дает ясность относительно ключевых, основополагающих принципов, которые представляют собой передовую практику, помогающую поставщикам программного обеспечения разрабатывать и распространять программное обеспечение безопасно.

Технические средства контроля и руководство по внедрению будут опубликованы вместе с Кодексом практики. В нем будет изложен минимальный набор объективных средств контроля, которые поставщик программного обеспечения должен продемонстрировать, чтобы обеспечить уверенность в устойчивости своего программного продукта или услуги, а также руководство, которое поможет организациям определить наилучшие варианты внедрения для них.

Целью данного призыва к представлению мнений является сбор мнений о потребности рынка в Кодексе профессиональной этики для поставщиков программного обеспечения, об аудитории, на которую должна быть ориентирована эта политика, а также о целесообразности Кодекса и предлагаемых вспомогательных материалов.

Глава 1 Введение

Фон

1.1 После призыва правительства высказать свое мнение по поводу устойчивости и безопасности программного обеспечения для предприятий и организаций, DSIT предприняла широкомасштабное взаимодействие с заинтересованными сторонами для разработки пакета политических вмешательств . Меры в этом пакете направлены на предотвращение распространенных ошибок в разработке и распространении программного обеспечения, а также на улучшение обмена информацией между поставщиками программного обеспечения и их клиентами. Решение этих проблем снизит вероятность и влияние атак на цепочку поставок программного обеспечения и других инцидентов, которые продолжают влиять на организации во всех секторах нашей экономики.

1.2 Добровольный Кодекс практики для поставщиков программного обеспечения устанавливает основные меры безопасности и устойчивости, которых следует ожидать от всех организаций, которые разрабатывают или продают программное обеспечение, используемое предприятиями и другими организациями. Кодекс практики направлен на укрепление основ многих видов цифровых технологий, на которые полагаются все секторы нашей экономики.

1.3 Этот призыв к мнениям ищет обратную связь по предлагаемому дизайну Кодекса практики для поставщиков программного обеспечения, включая информацию о том, как его следует внедрять. Правительство также ищет информацию по вспомогательным материалам и будущим вмешательствам, которые могут потребоваться для поддержки как поставщиков программного обеспечения, внедряющих Кодекс практики, так и организаций, желающих использовать этот Кодекс практики в своих процессах закупок. Правительство будет использовать информацию, собранную в ходе этого призыва к мнениям, чтобы гарантировать, что эта политика является пропорциональной, эффективной и решает основные проблемы наиболее затронутых лиц.

Объем

1.4 Кодекс практики для поставщиков программного обеспечения будет поддерживать любую организацию, разрабатывающую и/или продающую программное обеспечение для продажи предприятиям и другим организациям. Это включает организации, продающие исключительно программные продукты или услуги, или организации, продающие цифровые продукты или услуги, содержащие программное обеспечение. Примерами организаций, подпадающих под действие Кодекса, являются независимые поставщики программного обеспечения, организации, продающие устройства IoT или облачные сервисы, включающие предоставление программного обеспечения.

1.5 Кодекс рассматривает риски, связанные с любым типом программного обеспечения, включая прикладное или системное программное обеспечение. Однако этот Кодекс практики наиболее актуален для продажи и распространения проприетарного программного обеспечения, поскольку он устанавливает обязанности поставщиков программного обеспечения в контексте отношений между компаниями. Когда речь идет о программном обеспечении с открытым исходным кодом, разработчик/сопровождающий не несет никаких формальных обязательств по текущему обслуживанию и безопасности продуктов, которые должны управляться конечными пользователями или разработчиками проприетарного программного обеспечения, использующими открытый исходный код в продуктах, предназначенных для продажи. Таким образом, аспекты этого Кодекса, описывающие отношения между поставщиком программного обеспечения и закупающей организацией, могут не иметь отношения к программному обеспечению с открытым исходным кодом. Разработчики программного обеспечения с открытым исходным кодом могут найти аспекты этого Кодекса практики полезными, если они решат использовать его, и мы призываем разработчиков программного обеспечения с открытым исходным кодом соблюдать принципы этого Кодекса практики и сопутствующие руководства, где это возможно.

1.6 Этот добровольный Кодекс практики разработан для предоставления руководства и четких ожиданий относительно безопасности и устойчивости программного обеспечения, поставляемого организациям и предприятиям поставщиками программного обеспечения. Для целей настоящего Кодекса поставщики программного обеспечения включают следующие группы заинтересованных сторон:

Акционер	Описание
Разработчики и дистрибьюторы программного обеспечения: Примерами таких типов организаций являются, помимо прочего: независимые поставщики программного обеспечения; поставщики программного обеспечения как услуги ( SaaS ); поставщики цифровых продуктов или услуг с программным компонентом (например, организации, разрабатывающие и распространяющие продукты IoT , или некоторые поставщики управляемых услуг).	Для целей настоящего Кодекса практики любые организации, которые как разрабатывают, так и продают программные продукты или услуги, классифицируются как «разработчики и дистрибьюторы программного обеспечения». Все принципы настоящего Кодекса практики будут относиться к разработчикам и дистрибьюторам программного обеспечения.
Реселлеры программного обеспечения : Примерами таких типов организаций могут быть, помимо прочего: организации, основной функцией которых является перепродажа программного обеспечения; организации, которые предоставляют цифровые услуги и продукты и перепродают программное обеспечение в рамках этого предложения (например, некоторые поставщики управляемых услуг).	Для целей настоящего Кодекса практики организации, которые продают программное обеспечение, но не разрабатывают его самостоятельно, классифицируются как «реселлеры программного обеспечения». Для реселлеров программного обеспечения только принципы 3 и 4 будут попадать в сферу ответственности организации. Однако реселлеры также должны поощрять тех, кто разрабатывает распространяемое ими программное обеспечение, следовать принципам настоящего Кодекса.
Только разработчики программного обеспечения . Примерами таких организаций являются: Организации, которые разрабатывают внутреннее программное обеспечение для собственного использования; Отдельные разработчики программного обеспечения	Для целей настоящего Кодекса практики организации, которые разрабатывают программное обеспечение, но не распространяют программное обеспечение среди корпоративных клиентов, классифицируются как «только разработчики программного обеспечения». Только для разработчиков программного обеспечения будут актуальны принципы 1 и 2, а также принцип 3, если он находится в сфере ответственности организации/лица.

Обоснование

1.7 В рамках Национальной киберстратегии правительство стремится более эффективно предотвращать и противостоять кибератакам путем улучшения управления киберрисками в организациях Великобритании. Ненадежность программного обеспечения представляет огромный риск для устойчивости и безопасности организаций Великобритании, а также для услуг, которыми граждане Великобритании пользуются ежедневно. Ответы на прошлогодний призыв высказать мнения об устойчивости и безопасности программного обеспечения для предприятий и организаций продемонстрировали, насколько важны безопасность и эффективная работа программного обеспечения для организационной устойчивости Великобритании. 73% респондентов сообщили, что случайные уязвимости в программном обеспечении оказали «высокое» или «очень высокое» влияние на безопасность и устойчивость их организаций.

1.8 В настоящее время уровни безопасности и устойчивости на рынке программного обеспечения неравномерны, и существует значительная поддержка дальнейшего вмешательства правительства и отрасли ^{[сноска 1]} для устранения этих несоответствий и повышения планки устойчивости программного обеспечения для укрепления наших цифровых цепочек поставок. Организации и предприятия в Великобритании сталкиваются со сложной и динамичной средой кибербезопасности, и в период с 2019 по 2022 год наблюдался среднегодовой рост атак на цепочки поставок программного обеспечения на 742%. Укрепление безопасности на протяжении всего жизненного цикла программного обеспечения может помочь минимизировать возможности злоумышленников скомпрометировать организации, а также может ограничить масштаб ущерба в случае совершения атак.

1.9 В настоящем Кодексе практики изложены основные меры безопасности и устойчивости, необходимые для снижения вероятности и воздействия наиболее распространенных кибератак на программное обеспечение. Кодекс предназначен для руководителей высшего звена в организациях-поставщиках программного обеспечения, чтобы они понимали в полной мере, что требуется для их организации для адекватного внедрения этих мер безопасности и устойчивости. Эти руководители высшего звена могут гарантировать, что соответствующие команды в их организациях предпримут необходимые шаги для внедрения этих мер и будут иметь необходимые для этого ресурсы, инструменты и знания.

1.10 То, как управляется соответствие требованиям и как реализуются принципы, будет отличаться в разных организациях в зависимости от их размера и структуры, а также продуктов и услуг, которые производит каждая организация. Таким образом, принципы разработаны так, чтобы быть гибкими и адаптируемыми, а не предписывающими, но сосредоточенными на фундаментальных принципах, которые, если будут соблюдены, составят разумный и надежный подход к безопасности программного обеспечения для любого поставщика программного обеспечения.

Методология

1.11 Кодекс был разработан в партнерстве с NCSC и отраслевыми экспертами. Серия семинаров по совместному проектированию была проведена в период с октября 2023 года по февраль 2024 года. Признавая сложность и масштаб цепочек поставок программного обеспечения, группа совместного проектирования состояла из различных заинтересованных сторон, включая мелких и крупных поставщиков, экспертов по кибербезопасности, продажам и закупкам из промышленности и академических кругов, представительные органы и заказчиков программного обеспечения.

1.12 Кодекс практики был разработан для решения ключевых рисков, выявленных общественностью в ответ на призыв к мнениям , проведенный в прошлом году. Кодекс фокусируется на методах разработки, управлении уязвимостями и передаче информации для содействия управлению рисками по всей цепочке поставок. Это отражает тот факт, что респонденты призыва к мнениям были обеспокоены высоким влиянием, которое безопасность разработки программного обеспечения и низкий уровень прозрачности и коммуникации в цепочках поставок оказывают на организационную устойчивость. Респонденты также определили случайные уязвимости в программном коде как самую большую проблему, связанную с устойчивостью и безопасностью программного обеспечения, которая решается положениями, направленными на поощрение лучшего мониторинга и управления уязвимостями программного обеспечения.

1.13 Кодекс практики для поставщиков программного обеспечения был разработан для ограничения нагрузки на организации, работающие за пределами границ, что является ключевым вопросом для заинтересованных сторон, включая тех, кто участвует в совместном создании Кодекса. При разработке Кодекса практики были учтены международные подходы к безопасности программного обеспечения, включая инфраструктуру безопасной разработки программного обеспечения правительства США ( SSDF ), которая составляет основу новых требований правительства США к федеральным закупкам, и нормативные требования, изложенные в предлагаемом Законе ЕС о киберустойчивости ^{[сноска 2]} . Где это возможно, руководство отражает международно признанные передовые практики, включая те, которые изложены в вмешательствах США и ЕС.

Глава 2: Деятельность DSIT

2.1 Все кодексы практики кибербезопасности, разработанные DSIT, являются частью более широкого подхода правительства к улучшению базовых практик кибербезопасности и киберустойчивости по всей Великобритании. Кодексы практики предоставляют руководство, начиная с разработки базовых рекомендаций по кибербезопасности, которым должны следовать все организации, постепенно переходя к рекомендациям, более специфичным для продукта или домена, в связи с растущим риском и меняющимся ландшафтом угроз. Модульный подход был разработан, чтобы помочь организациям легко определить, какие кодексы — и в рамках этих кодексов, какие положения — актуальны для них в соответствии как с их бизнес-функциями, так и с типами технологий, которые они используют или производят.

2.2 В случае настоящего Кодекса мы ожидаем, что организации, подпадающие под его действие, должны, как минимум, также придерживаться положений Кодекса практики киберуправления , который устанавливает базовые ожидания для всех организаций, использующих цифровые технологии. Организации, подпадающие под действие настоящего Кодекса, также должны оценить, оправдывают ли их обстоятельства рассмотрение соблюдения дополнительных Кодексов, опубликованных правительством Великобритании, которые могут охватывать конкретные продукты или услуги, имеющие к ним отношение.

2.3 Как отмечено выше, существует явное совпадение между работой над программным обеспечением и работой над ИИ , поскольку, как и все цифровые технологии, программное обеспечение является ключевым компонентом технологии ИИ . Правительство предлагает предпринять двухэтапное вмешательство для устранения рисков кибербезопасности для ИИ . Это будет в форме проекта добровольного Кодекса практики, который будет принят в глобальную организацию по разработке стандартов для дальнейшей разработки. В настоящее время также продолжается прием мнений по кибербезопасности ИИ , который включает проект Кодекса.

Подход Великобритании к кибербезопасности

2.4 Великобритания, как мировой лидер в области кибербезопасности, стремится создать безопасную онлайн-среду для своих граждан. Основополагающим столпом этого подхода является обеспечение того, чтобы как существующие, так и новые технологии были безопасными по своей сути. Устанавливая базовые ожидания в области кибербезопасности и включая их в разработку цифровых технологий на начальном этапе, мы закладываем основу для усилий по защите пользователей и предприятий от развивающихся киберугроз и обеспечиваем потребителям уверенность в используемых ими технологиях. Однако безопасность также необходимо учитывать на протяжении всего жизненного цикла технологии, а также необходимо распознавать и оценивать отдельные проблемы безопасности, возникающие при использовании отдельных технологий.

2.5 DSIT возглавил несколько инициатив, которые внедряют подход «безопасность по проекту», способствуя стратегическому преимуществу Великобритании и глобальному лидерству в области кибербезопасности. К ним относятся:

Создание первых в мире обязательных и подлежащих исполнению требований безопасности для потребительских технологий посредством Закона о безопасности продукции и телекоммуникационной инфраструктуре ( PSTI ). ^{[сноска 3]} Эта работа основана на Кодексе практики Великобритании для потребительского Интернета вещей , опубликованном в 2018 году.
Представление первого в мире Кодекса правил конфиденциальности и безопасности приложений и магазинов приложений, который внедряется всеми основными операторами магазинов приложений. ^{[сноска 4]}
Основываясь на исследовании Capability Hardware Enhanced RISC Instructions ( CHERI ) Кембриджского университета, мы совместно с Arm разработали прототип процессора, который интегрирует возможности CHERI для обеспечения мелкозернистой защиты памяти. Это является частью нашей программы Digital Security by Design. ^{[сноска 5]}

2.6 Безопасный подход по проекту — это только первый шаг к киберустойчивости в масштабах Великобритании. Чтобы развивать его, мы также должны сосредоточиться на развитии необходимых навыков кибербезопасности. Это подразумевает более тесное согласование наших инициатив по развитию кибернавыков с потребностями секторов критической национальной инфраструктуры ( CNI ), конкретными рисками, связанными с новыми и появляющимися технологиями, которые принимаются, и мерами устойчивости, которые мы ожидаем от организаций по всей экономике. При этом мы стремимся развивать квалифицированную рабочую силу, способную развертывать базовые ожидания в области кибербезопасности, которые мы устанавливаем в различных секторах экономики.

2.7 Еще одной ключевой частью построения более киберустойчивой Великобритании является выявление и смягчение киберрисков по мере их распространения по цифровым цепочкам поставок. Предоставляя рекомендации, мы можем помочь предприятиям и организациям лучше управлять рисками, связанными с цифровыми продуктами и услугами, на которые они полагаются. Наша работа в этой области включает:

Сертификация Cyber Essentials — это поддерживаемая правительством схема, подтверждающая, что организации предприняли минимальные меры для защиты от наиболее распространенных кибератак.
Cyber Assessment Framework, который является фреймворком, поддерживающим организации, стремящиеся оценить киберриски для основных функций. Он нацелен на критически важные организации, такие как организации в секторах CNI .
Кодекс практики киберуправления, который устанавливает базовые ожидания для всех организаций, использующих цифровые технологии.

2.8 Наша способность защищать бизнес и сообщества от киберугроз зависит от нашей способности развивать технологические и человеческие возможности, а также распознавать и устранять сложные риски в макромасштабе. Отдавая приоритет безопасному проектированию, развитию навыков и целевым мерам, которые повышают устойчивость во всех секторах нашей экономики, мы стремимся проложить путь к более безопасному киберпространству в Великобритании.

Глава 3: Как организации, закупающие программное обеспечение, должны использовать этот Кодекс практики

3.1 Предприятия и другие организации могут использовать этот Кодекс практики для поставщиков программного обеспечения, чтобы лучше понять, чего они могут обоснованно ожидать от своих поставщиков программного обеспечения. Эта осведомленность может помочь организациям-клиентам делать соответствующие запросы своим поставщикам в процессе закупок и установить четкое понимание ответственности клиентов и поставщиков за безопасность и устойчивость на протяжении всего жизненного цикла продукта.

В процессе закупки

3.2 Организации, закупающие программное обеспечение, могут ссылаться на этот Кодекс практики и вспомогательные материалы для информирования о своем понимании рисков, связанных с приобретаемым ими программным обеспечением. Они могут использовать это понимание и вспомогательные материалы, которые будут предоставлены правительством Великобритании, чтобы потребовать от своих поставщиков программного обеспечения принятия разумных мер для обеспечения безопасности и устойчивости приобретаемого ими программного обеспечения. Технические средства контроля были разработаны в соответствии с принципами и положениями Кодекса практики и могут использоваться закупающими организациями для постановки правильных вопросов о методах обеспечения безопасности и устойчивости своих поставщиков.

3.3 Правительство также разрабатывает дальнейшую политику поддержки лучшего управления рисками при закупке программного обеспечения. Среди прочего, это может включать стандартизированные договорные положения, механизм обеспечения или сертификации или дополнительные руководства или образовательные вмешательства по безопасности программного обеспечения для не-киберспециалистов, таких как группы по закупкам.

Практики и обязанности по управлению рисками в цепочке поставок

3.4 Кодекс практики для поставщиков программного обеспечения фокусируется на обязанностях организаций, разрабатывающих и продающих программное обеспечение, в области кибербезопасности, включая обеспечение безопасности самих продуктов и предоставление адекватной информации организациям-клиентам для обеспечения эффективного управления рисками. Поставщики должны выполнять эти обязанности, однако организации, закупающие и использующие эти продукты и услуги, также несут определенную ответственность за устойчивость и безопасность своих собственных организаций. Они также несут ответственность за использование информации, предоставляемой поставщиками, в рамках собственных процессов управления рисками. Организации, закупающие программное обеспечение, несут ответственность за понимание собственной подверженности риску и за применение соответствующего подхода, основанного на оценке риска, для определения продуктов и услуг, которые отвечают их потребностям в области безопасности.

3.5 Организации, закупающие программное обеспечение, должны обеспечить выполнение следующих действий:

Соблюдайте Кодекс практики киберуправления

Кодекс практики киберуправления объединяет в одном месте важнейшие области управления, за которые директорам необходимо взять на себя ответственность, в форме, удобной для взаимодействия с организациями любого размера.
Он устанавливает вопросы кибербезопасности в качестве ключевого фокуса для всех организаций, ставя их на один уровень с другими основными рисками, такими как финансовые и юридические. В рамках этого кодекс рекомендует директорам четко определить роли и обязанности в своих организациях, усилив защиту клиентов и обеспечив их способность работать безопасно и надежно.

Принимать эффективные решения на уровне совета директоров относительно уровня риска кибербезопасности, приемлемого для организации.

Это включает понимание того, какую информацию и активы ваша организация хранит, которые необходимо защищать при работе с поставщиками. См. руководство по безопасности цепочки поставок NCSC для получения дополнительных рекомендаций.

Определить подходящие механизмы оценки и проверки поставщиков с учетом уровня их риска и того, как он соотносится с уровнем риска, приемлемым для закупающей организации.

Это может включать ссылку на настоящий Кодекс практики для поставщиков программного обеспечения и/или другие Кодексы практики, разработанные DSIT в отношении различных типов цифровых продуктов (например, IoT и AI ).

Помните, что разные секторы и функции программного обеспечения будут иметь разные потребности в безопасности.

Это необходимо будет отразить во внутренних процессах безопасности организации, а также в процессах закупок и переговоров с поставщиками.
Например, организации, классифицируемые как операторы основных услуг в секторах кибербезопасности , должны внедрить Рамочную систему оценки кибербезопасности ( CAF ) NCSC в рамках своих обязанностей в соответствии с правилами NIS .

Глава 4: Добровольный кодекс практики для поставщиков программного обеспечения

4.1 Кодекс практики для поставщиков программного обеспечения содержит 21 положение, разделенное на 4 принципа. В рамках каждого принципа положения описываются как действия, которые высшее руководство «должно» выполнять, или действия, которые оно «должно» выполнять. «Должно» указывает на требование к добровольному Кодексу, а «должно» указывает на рекомендацию к добровольному Кодексу.

4.2 Положения, классифицированные как «должны», можно обоснованно ожидать от любых организаций, разрабатывающих и продающих программное обеспечение, независимо от размера или зрелости. Положения, классифицированные как «должны», можно обоснованно ожидать от организаций, разрабатывающих и продающих программное обеспечение, но есть признание того, что их может быть сложнее выполнить или продемонстрировать. Ожидается, что организации будут работать над достижением «должны», даже если немедленная реализация невозможна.

Принцип 1: Безопасное проектирование и разработка

Этот принцип призван гарантировать, что программный продукт или услуга являются надлежащим образом безопасными при предоставлении.

Старший ответственный сотрудник в организациях-поставщиках должен выполнять следующие действия:

1.1 Обеспечить, чтобы организация следовала установленной безопасной структуре разработки.

1.2 Обеспечить, чтобы организация понимала состав своих программных продуктов и услуг и чтобы риски, связанные с использованием и обслуживанием сторонних компонентов, включая компоненты с открытым исходным кодом, оценивались на протяжении всего жизненного цикла.

1.3 Убедитесь, что в организации имеется четкий процесс тестирования программного обеспечения перед распространением.

1.4 Убедитесь, что организация следует принципам безопасности по умолчанию ^{[сноска 6]} на протяжении всего жизненного цикла разработки продукта.

Старший ответственный сотрудник в организациях-поставщиках должен выполнять следующие действия:

1.5 Обеспечить соблюдение принципов безопасности, заложенных в проекте ^{[сноска 7],} на протяжении всего процесса разработки.

1.6 Поощрять использование соответствующих инструментов и технологий безопасности, чтобы гарантировать безопасность параметров по умолчанию на этапах разработки и распространения.

Принцип 2: Создание безопасной среды

Этот принцип призван гарантировать принятие соответствующих мер для минимизации риска нарушения сред сборки и защиты целостности и качества программного обеспечения.

Старший ответственный сотрудник в организациях-поставщиках должен выполнять следующие действия:

2.1 Убедитесь, что среда сборки защищена от несанкционированного доступа.

Старший ответственный сотрудник в организациях-поставщиках должен выполнять следующие действия:

2.2 Обеспечить контроль и регистрацию изменений в окружающей среде.

2.3 Убедитесь, что вы используете надежный конвейер сборки.

Принцип 3: Безопасное развертывание и обслуживание

Этот принцип направлен на обеспечение безопасности продукта или услуги на протяжении всего срока их службы, чтобы свести к минимуму вероятность и влияние уязвимостей.

Старший ответственный сотрудник в организациях-поставщиках должен выполнять следующие действия:

3.1 Обеспечить безопасную передачу программного обеспечения клиентам.

3.2 Обеспечить, чтобы организация внедрила и опубликовала эффективный процесс раскрытия информации об уязвимостях.

3.3 Обеспечить наличие в организации процессов для упреждающего обнаружения и управления уязвимостями в компонентах программного обеспечения, которые она использует, и в программном обеспечении, которое она разрабатывает, включая документированный процесс оценки серьезности уязвимостей и определения приоритетов реагирования.

3.4 Обеспечить надлежащее информирование соответствующих сторон об уязвимостях.

3.5 Обеспечить, чтобы организация своевременно предоставляла своим клиентам обновления безопасности, исправления и уведомления.

Старшие руководители организаций-поставщиков должны сделать следующее:

3.6 Публично заявить, что организация будет приветствовать исследователей безопасности для тестирования программных продуктов и услуг, предоставляемых организацией, в рамках процесса раскрытия уязвимостей.

Принцип 4: Общение с клиентами

Этот принцип заключается в том, чтобы гарантировать, что организации-поставщики предоставляют клиентам достаточную информацию для обеспечения эффективного управления рисками и инцидентами.

Старший ответственный сотрудник в организациях-поставщиках программного обеспечения должен выполнять следующие действия:

4.1 Обеспечить, чтобы организация предоставляла клиенту информацию в доступной форме с указанием уровня поддержки и обслуживания, предоставляемого для продаваемого программного продукта/услуги.

4.2 Обеспечить, чтобы организация предоставляла клиентам доступное уведомление не менее чем за 1 год о том, когда продукт или услуга больше не будут поддерживаться или обслуживаться поставщиком.

4.3 Обеспечить предоставление клиентам информации надлежащим и своевременным образом о значимых инцидентах, которые могут оказать существенное влияние на организации-клиенты.

Старший ответственный сотрудник в организациях-поставщиках должен выполнять следующие действия:

4.4 Обеспечить, чтобы клиентам была доступна общая информация о стандартах безопасности и устойчивости, структурах, организационных обязательствах и процедурах, которых придерживается организация.

4.5 Обеспечить, чтобы организация активно поддерживала пострадавших клиентов во время и после инцидента кибербезопасности, чтобы сдержать и смягчить последствия инцидента. То, как это будет сделано, должно быть задокументировано и согласовано в контрактах с клиентом.

4.6 Предоставлять организациям-клиентам рекомендации по безопасному использованию, интеграции и настройке программного продукта или услуги.

Мониторинг и оценка

4.3 Кодекс практики для поставщиков программного обеспечения был разработан для обеспечения гибкости посредством подхода, основанного на принципах. Руководство по внедрению предоставит группам специалистов в организациях поставщиков программного обеспечения руководство по определению наиболее подходящего варианта внедрения для их организаций, оставляя пространство для инновационных решений безопасности. Это также позволяет организациям учитывать стоимость и выгоды различных методов и инструментов для достижения результатов, изложенных в принципах и технических средствах контроля. Эта гибкость имела первостепенное значение для отраслевых партнеров, участвующих в процессе совместного проектирования, и является центральным элементом инновационного подхода правительства к политике кибербезопасности и устойчивости.

4.4 Мы ищем обратную связь посредством этого призыва к мнениям о добровольном Кодексе практики. В связи с этим Кодексом практики правительство разрабатывает дополнительные инструменты и руководства, направленные на поддержку организаций, закупающих программное обеспечение, для встраивания принципов и положений настоящего Кодекса практики в свои процессы закупок. Эти вмешательства помогут сформировать рыночный спрос на передовые практики, поощряя тех, кто покупает программное обеспечение, просить своих поставщиков соответствовать ожиданиям, изложенным в этом добровольном Кодексе практики.

4.5 Будущие вмешательства будут включать стандартизированные договорные положения, которые организации могут использовать в своих контрактах с поставщиками программного обеспечения, и продолжается работа по изучению вариантов аккредитации или гарантии в соответствии с этим Кодексом практики и изучению спроса путем ориентации на определенные группы клиентов, например, через государственные закупки. Правительство также изучает дальнейшую поддержку поставщиков программного обеспечения, включая более конкретные рекомендации по более сложным областям безопасности программного обеспечения и работу с другими в правительстве для укрепления кадрового резерва для разработки и безопасности программного обеспечения. Более подробная информация о более широком пакете информации об устойчивости и безопасности программного обеспечения изложена в ответе правительства по устойчивости и безопасности программного обеспечения.

4.6 DSIT рассмотрит два аспекта кода: его эффективность и внедрение. Правительство признает, что эффективность трудно измерить, но будут приложены все усилия для сбора информации о том, есть ли улучшение в безопасности программного обеспечения. Для измерения внедрения необходимо будет провести обзор или опрос поставщиков и закупщиков программного обеспечения, чтобы понять, имеет ли код, будучи добровольным, требуемый охват, чтобы оставаться добровольным. Они будут отслеживаться и оцениваться для оценки необходимости дальнейших вмешательств, таких как регулирование, в течение двух лет после внедрения.

Глава 5: Вспомогательные материалы

5.1 Правительство намерено опубликовать технические средства контроля и руководство по внедрению вместе с Кодексом практики для поставщиков программного обеспечения. В то время как старшие руководители остаются ответственными за обеспечение соблюдения принципов Кодекса в своих организациях, технические средства контроля и руководство по внедрению призваны обеспечить дополнительную поддержку группам, ответственным за реализацию положений Кодекса.

Технический контроль

5.2 Технические средства контроля устанавливают минимальный набор действий, которые поставщик программного обеспечения должен продемонстрировать, чтобы обеспечить уверенность в устойчивости программного обеспечения своего продукта или услуги. Организации поставщиков программного обеспечения смогут использовать эти технические средства контроля, чтобы продемонстрировать, что они соответствуют положениям Кодекса практики. Они объединяют то, что широко считается хорошей практикой в разработке программного обеспечения, и должны быть достижимы для организаций любого размера и сектора.

5.3 Элементы управления являются объективными и ориентированными на результат, предоставляя организациям гибкость для инноваций и внедрения решений безопасности, соответствующих их продуктам и услугам. Внедрение этих элементов управления снизит уязвимости в программных продуктах, обеспечивая базовую устойчивость к наиболее распространенным угрозам и уязвимостям.

5.4 Демонстрация против этих элементов управления поможет покупателям обрести уверенность в том, что выбранные ими и используемые программные продукты и услуги не увеличат риск успешной кибератаки. Технические элементы управления предусмотрены для всех положений, обозначенных как «должны» в Кодексе практики.

5.5 Технические средства контроля следующие:

Положение о кодексе практики	Технический контроль
Принцип 1: Безопасное проектирование и разработка
1.1 Обеспечить, чтобы организация следовала установленной безопасной структуре разработки.	— Следуйте безопасной структуре разработки. (Соответствие структуре безопасного жизненного цикла разработки ( SDLC ) документировано. Подробная информация о том, что SDLC должен включать в себя как минимум, приведена в сопроводительном руководстве по внедрению.)
1.2 Гарантировать, что организация понимает состав своих программных продуктов и услуг и что риски, связанные с внедрением и обслуживанием сторонних компонентов, включая компоненты с открытым исходным кодом, оцениваются на протяжении всего жизненного цикла.	— Вести инвентаризацию сторонних компонентов и регулярно проверять их на наличие известных уязвимостей. (Организация демонстрирует понимание состава и происхождения своих продуктов и услуг, включая сторонние компоненты. Они должны регулярно оцениваться на предмет риска в течение всего жизненного цикла продукта.)
1.3 Убедитесь, что в организации имеется четкий процесс тестирования программного обеспечения перед распространением.	— Иметь определенный план тестирования. (Для всех требований существует однозначный план тестирования с полным охватом кодовой базы. Тестирование проводится на регулярной основе.)
1.4 Обеспечить соблюдение организацией принципов безопасности по умолчанию на протяжении всего жизненного цикла разработки продукта.	Обязательная многофакторная аутентификация для привилегированных пользователей продукта или услуги. (Программные продукты и услуги развертываются с многофакторной аутентификацией по умолчанию для привилегированных пользователей.) Отсутствие паролей по умолчанию. (Программные продукты и услуги развертываются с паролями, которые являются уникальными и не могут быть сброшены до значения по умолчанию.) Проверка входных данных. (Ввод данных через интерфейсы прикладного программирования (API) или между сетями в услугах и продуктах проверяется.) Безопасное хранение учетных данных и конфиденциальных данных. (Любые учетные данные надежно хранятся в/с помощью услуг и продуктов. Жестко закодированные учетные данные в программном обеспечении не принимаются.)
Принцип 2: Создание безопасной среды
2.1 Убедитесь, что среда сборки защищена от несанкционированного доступа.	— Внедрить управление идентификацией и доступом в средах разработки и сборки. (Соответствующие политики и процессы управления идентификацией и доступом внедрены.) Обязательная многофакторная аутентификация для разработчиков. (Системы требуют, чтобы разработчик зарегистрировался для многофакторной аутентификации, чтобы успешно включить свою учетную запись.)
Принцип 3: Надежность и обслуживание распределения
3.1 Обеспечить безопасную передачу программного обеспечения клиентам.	— Распространяйте программное обеспечение и обновления только через надежные каналы. (Программный продукт или услуга, а также любые обновления и исправления для этого программного обеспечения предоставляются таким образом, чтобы клиенты могли проверить происхождение и целостность программного обеспечения.)
3.2 Обеспечить, чтобы организация внедрила и опубликовала эффективный процесс раскрытия информации об уязвимостях для поддержки прозрачной и открытой культуры внутри организации.	— Внедрить политику раскрытия уязвимостей. (Организация публикует политику раскрытия уязвимостей, которая предоставляет публичную точку контакта, чтобы исследователи безопасности и другие лица могли сообщать о проблемах. Затем раскрытые уязвимости сообщаются соответствующим сторонам (указанным в руководстве по внедрению) и по ним своевременно принимаются меры.)
3.3 Обеспечить наличие в организации процессов для упреждающего обнаружения и управления уязвимостями в компонентах программного обеспечения, которые она использует, и в программном обеспечении, которое она разрабатывает, включая документированный процесс оценки серьезности уязвимостей и определения приоритетов реагирования.	— Проактивно выявлять и управлять уязвимостями. (В организации внедрены процессы для постоянного выявления уязвимостей, реагирования на них и своевременного информирования о них соответствующих сторон.)
3.4 Обеспечить надлежащее информирование соответствующих сторон об уязвимостях.	— Проактивно выявлять и управлять уязвимостями. (В организации внедрены процессы для постоянного выявления уязвимостей, реагирования на них и своевременного информирования о них соответствующих сторон.)
3.5 Обеспечить, чтобы организация своевременно предоставляла своим клиентам обновления безопасности, исправления и уведомления.	— Предоставляйте своевременные обновления безопасности и исправления. (Своевременные обновления и исправления предоставляются клиентам бесплатно.)
Принцип 4: Общение с клиентами
4.1 Обеспечить, чтобы организация предоставляла информацию в доступной форме, указывающую уровень поддержки и обслуживания, предоставляемого для продаваемого программного продукта/услуги.	— Опубликуйте политику окончания срока службы. (Политика окончания срока службы публикуется, в ней четко указывается минимальный период времени, в течение которого продукт/услуга будет получать обновления программного обеспечения, а также причины продолжительности периода поддержки.)
4.2 Обеспечить, чтобы организация предоставляла клиентам доступное уведомление не менее чем за 1 год о том, когда продукт или услуга больше не будут поддерживаться или обслуживаться поставщиком.	— Опубликуйте политику окончания срока службы. (Политика окончания срока службы публикуется, в ней четко указывается минимальный период времени, в течение которого продукт/услуга будет получать обновления программного обеспечения, а также причины продолжительности периода поддержки.)
4.3 Обеспечить предоставление клиентам информации надлежащим и своевременным образом о значимых инцидентах, которые могут оказать существенное влияние на организации-клиенты.	— Опубликуйте план/политику реагирования на инциденты. (Политика реагирования на инциденты публикуется, включая контактное лицо.)

Руководство по внедрению

5.6 Будут предоставлены рекомендации по внедрению, которые помогут соответствующим рабочим группам в организациях-поставщиках программного обеспечения внедрить принципы Кодекса практики и продемонстрировать технические средства контроля.

5.7 Руководство по внедрению будет основано на техническом руководстве, разработанном экспертами NCSC и его партнерами. Оно будет разработано, чтобы помочь поставщикам программного обеспечения понять, как они могут внедрить элементы управления наиболее эффективным способом, и укажет соответствующие ресурсы, включая существующие руководства и стандарты, которые могут быть использованы. Помимо продвижения культуры прозрачности для поддержки своих собственных клиентов в понимании их рисков кибербезопасности, мы ожидаем, что поставщики будут использовать это руководство в контексте своих собственных оценок рисков и процессов управления рисками и управления. Делая это, поставщики могут определить правильное покрытие и наиболее подходящий способ достижения результатов в Кодексе практики для своей организации.

5.8 Для каждого положения Кодекса практики для поставщиков программного обеспечения руководство по внедрению будет содержать подробную информацию о следующем:

Цели : Как выглядит хороший результат.
Описание : Более подробная информация о предоставлении и техническом контроле, а также о контексте, в котором они должны быть реализованы, включая более подробное объяснение рисков и угроз, а также потенциальных последствий, если они не будут устранены.
Варианты реализации : меры, которые поставщики могут принять для достижения целей.
Оценка рисков : вопросы, помогающие поставщикам понять, как принимать наилучшие решения для снижения рисков в своих организациях.
Указатели : ссылки на существующие ресурсы, такие как руководства и стандарты.

5.9 Пример того, как будет выглядеть это руководство по внедрению для частей принципа 1, приведен в Приложении B.

Глава 6: Как ответить на призыв к просмотру

6.1 Пожалуйста, воспользуйтесь этой возможностью, чтобы сформировать нашу будущую работу, ответив на онлайн-опрос . Чтобы помочь нам проанализировать ответы, пожалуйста, используйте систему онлайн-консультаций, где это возможно.

6.2 Если вы не можете отправить свой ответ с помощью онлайн-опроса, вы также можете отправить ответ по электронной почте на адрес cyber.resilience.consultations@dsit.gov.uk или отправить печатную копию по почте на адрес:

Кодекс практики для поставщиков программного обеспечения призывает к представлению мнений.
Команда по киберустойчивости – 3-й этаж
DSIT
22 Whitehall
London
SW1A 2EG

6.3 Прием заявок будет открыт в течение 12 недель, начиная с 15 мая 2024 года. Крайний срок подачи ответов — 23:59 9 августа 2024 года.

6.4 При предоставлении ответа вы также можете предоставить контактные данные, если вы открыты для обращения в департамент за дополнительной информацией или разъяснениями по вашим взглядам.

6.5 Если вам необходим доступ к консультации на валлийском языке или в альтернативном формате (например, шрифт Брайля, крупный шрифт или аудио), свяжитесь с нами по адресу cyber.resilience.consultations@dsit.gov.uk

6.6 Предоставленная вами информация будет использована для формирования будущей разработки политики и может быть передана между департаментами и агентствами правительства Великобритании для этой цели. В таких случаях личная информация будет удалена. Копии ответов, полностью или в кратком изложении, могут быть опубликованы после даты закрытия приема мнений на веб-сайте Департамента. Вы также можете прочитать уведомление о конфиденциальности, связанное с этим призывом к мнениям.

Свобода информации

6.7 Информация, предоставленная в ходе этого призыва к представлению мнений, включая персональные данные, может быть опубликована или раскрыта в соответствии с режимами доступа к информации, в первую очередь Законом о свободе информации 2000 года ( FOIA ) и Законом о защите данных 2018 года ( DPA ).

6.8 Департамент науки, инноваций и технологий будет обрабатывать ваши персональные данные в соответствии с DPA , и в большинстве случаев это будет означать, что ваши персональные данные не будут раскрыты третьим лицам. Эта консультация следует принципам консультаций правительства Великобритании.

6.9 Если вы хотите, чтобы предоставленная вами информация рассматривалась конфиденциально, имейте в виду, что в соответствии с FOIA государственные органы обязаны соблюдать установленный законом Кодекс практики, который касается, среди прочего, обязательств конфиденциальности. В связи с этим было бы полезно, если бы вы могли объяснить нам, почему вы хотите, чтобы эта информация рассматривалась конфиденциально. Если мы получим запрос на раскрытие этой информации, мы полностью учтем ваше объяснение, но мы не можем дать гарантии того, что конфиденциальность может быть сохранена при любых обстоятельствах.

Приложение A: Полный свод правил

Принцип 1: Безопасное проектирование и разработка

Этот принцип гарантирует, что программный продукт или услуга являются надлежащим образом безопасными при предоставлении.

Старший ответственный сотрудник в организациях-поставщиках должен выполнять следующие действия:

1.1 Обеспечить, чтобы организация следовала установленной безопасной структуре разработки.

1.4 Обеспечить соблюдение организацией принципов безопасности по умолчанию на протяжении всего жизненного цикла разработки продукта.

Старший ответственный сотрудник в организациях-поставщиках должен выполнять следующие действия:

1.5 Обеспечить соблюдение принципов безопасности на протяжении всего процесса разработки.

Принцип 2: Создание безопасной среды

Этот принцип гарантирует принятие соответствующих мер для минимизации риска нарушения сред сборки и защиты целостности и качества программного обеспечения.

Старший ответственный сотрудник в организациях-поставщиках должен выполнять следующие действия:

2.1 Убедитесь, что среда сборки защищена от несанкционированного доступа.

Старший ответственный сотрудник в организациях-поставщиках должен выполнять следующие действия:

2.2 Обеспечить контроль и регистрацию изменений в окружающей среде.

2.3 Убедитесь, что вы используете надежный конвейер сборки.

Принцип 3: Безопасное развертывание и обслуживание

Этот принцип гарантирует, что продукт или услуга останутся безопасными на протяжении всего срока службы, чтобы свести к минимуму вероятность и влияние уязвимостей.

Старший ответственный сотрудник в организациях-поставщиках должен выполнять следующие действия:

3.1 Обеспечить безопасную передачу программного обеспечения клиентам.

3.4 Обеспечить надлежащее информирование соответствующих сторон об уязвимостях.

Старшие руководители организаций-поставщиков должны сделать следующее:

Принцип 4: Общение с клиентами

Этот принцип гарантирует, что организации-поставщики предоставляют клиентам достаточную информацию для обеспечения эффективного управления рисками и инцидентами.

Старшие ответственные должностные лица в организациях-поставщиках программного обеспечения должны выполнять следующие действия:

Старшие ответственные должностные лица в организациях-поставщиках должны выполнять следующие действия:

Приложение B: Пример руководства по внедрению

Ниже приведен пример того, как будет разработано и структурировано руководство по внедрению. Работа над сопровождающим руководством по внедрению продолжается, но руководство будет опубликовано вместе с Кодексом практики и техническими элементами управления, подробно описанными выше.

Принцип 1: Безопасное проектирование и разработка

Хорошая инженерия безопасности означает создание технологий, которые остаются пригодными к использованию и устойчивыми на протяжении всего срока службы, даже перед лицом кибератаки. Достижение этого результата должно начинаться на этапе проектирования и разработки, чтобы потребности пользователей и безопасность были заложены в продукт или услугу. Обеспечение того, чтобы инженерные процессы и практики минимизировали как вероятность, так и возможное влияние компрометации безопасности, играет важную роль в получении уверенности в компетентности поставщика и производстве продуктов и услуг.

Разработчики не обязательно являются экспертами по безопасности, и доступный им набор инструментов безопасности может затруднить ориентирование в технических сложностях кибербезопасности, что приведет к ошибкам внедрения, которых можно было бы избежать. Поэтому при выборе набора инструментов, доступного разработчикам, следует учитывать его удобство использования и обслуживания, а также функциональность и стоимость. Эта поддержка разработчиков может осуществляться посредством доступа к экспертам, обучения, позитивной культуры безопасности и процессов, а также наличия современных инструментов.

Реализация положений Кодекса практики поставщиков программного обеспечения не только по умолчанию сделает программный продукт или услугу более киберустойчивыми, но и более стабильными и простыми в обслуживании.

1.1 Обеспечить, чтобы организация следовала установленной безопасной структуре разработки.

Технический контроль : Следуйте безопасной структуре разработки.

Использование безопасной среды разработки в ваших инженерных проектах обеспечит последовательный и повторяемый способ поддержки разработчиков, чтобы гарантировать, что безопасность была рассмотрена в нужное время. Это проактивные подходы к построению безопасности в продукте или услуге, которые включают в себя людей, процессы и технологические аспекты. Если не следовать безопасной среде разработки, важные решения по кибербезопасности могут #быть упущены# и неизбежно должны будут быть закреплены в конце процесса разработки и/или привести к большим затратам во время развертывания.

Вы можете опубликовать описание используемой вами структуры и реализованных элементов управления. Вы должны быть в состоянии продемонстрировать соответствие безопасной структуре разработки в ходе всей вашей деятельности по разработке и развертыванию.

Хорошая структура безопасной разработки должна включать как минимум следующие темы:

Моделирование угроз — методы, используемые для понимания того, каким образом продукт или услуга могут подвергнуться атаке или иным образом выйти из строя.
Сбор требований — понимание и регистрация потребностей безопасности и пользователей.
Управление и роли — как контролируется и направляется подход к обеспечению безопасного проектирования и разработки.
Стратегия тестирования – последовательные подходы к проверке, обладающие достаточной строгостью и охватом.
Управление данными — понимание того, какие данные существуют и как их следует надлежащим образом защищать на протяжении всего жизненного цикла.
Управление конфигурацией — последовательные подходы к отслеживанию изменений, реализация контроля версий и обеспечение воспроизводимости.

Какую безопасную среду разработки вы решите использовать, является бизнес-решением, основанным на том, что лучше всего подойдет к культуре и существующим процессам вашей организации. Существует много безопасных сред разработки, доступных «в готовом виде», вот некоторые примеры:

Безопасная среда разработки программного обеспечения NIST: https://csrc.nist.gov/projects/ssdf
Жизненный цикл разработки безопасности Microsoft: https://www.microsoft.com/en-us/securityengineering/sdl
Жизненный цикл разработки безопасного программного обеспечения OWASP: [https://owasp.org/www-pdf-archive/Jim_Manico_(Hamburg) -_Securiing_the_SDLC.pdf](https://owasp.org/www-pdf-archive/Jim_Manico (Hamburg)_-_Securiing_the_SDLC.pdf) и модель (owaspsamm.org)
Жизненный цикл безопасной разработки Cisco: https://www.cisco.com/c/dam/en_us/about/doing_business/trust-center/docs/cisco-secure-development-lifecycle.pdf

Полезные ссылки:

CyBoK для безопасного жизненного цикла программного обеспечения

Обеспечение безопасности цепочки поставок программного обеспечения: рекомендуемые практики для разработчиков (cisa.gov)

https://www.ncsc.gov.uk/collection/risk-management/threat-modelling

https://www.ncsc.gov.uk/collection/risk-management/cyber-security-governance

https://www.ncsc.gov.uk/information/gdpr

https://www.security.gov.uk/guidance/secure-by-design/principles/

https://www.gov.uk/service-manual

1.2 Обеспечить, чтобы организация понимала состав своих программных продуктов и услуг и чтобы риски, связанные с использованием и обслуживанием сторонних компонентов, включая компоненты с открытым исходным кодом, оценивались на протяжении всего жизненного цикла.

Технический контроль : ведите инвентаризацию сторонних компонентов и регулярно проверяйте их на наличие известных уязвимостей.

Часто поставщики программного обеспечения полагаются на поставщиков и сторонние библиотеки (например, как на аспект своей деятельности по использованию возможностей существующего интерфейса прикладного программирования (API)) для поставки своих продуктов и услуг. Эти зависимости могут быть сложными, и эффективная защита цепочки поставок может быть затруднена, поскольку уязвимости могут быть присущи, введены или использованы в любой точке внутри нее.

В последние годы наблюдается значительное увеличение числа кибератак, вызванных уязвимостями в цепочке поставок . Эти атаки могут привести к разрушительным, дорогостоящим и долгосрочным последствиям для пострадавших организаций, их цепочек поставок и клиентов.

В разработке программного обеспечения цепочки зависимостей относятся к набору пакетов (включая внутренние, прямые сторонние и транзитивные зависимости), которые требуются программному продукту или услуге для функционирования. Злоумышленник может воспользоваться этими зависимостями, и успешная атака может привести к выполнению вредоносного кода из контролируемого злоумышленником пакета или к эксплуатации уязвимости, которая была введена по ошибке первоначальными разработчиками.

Чтобы снизить эти риски, как поставщик программного обеспечения, первым шагом является знание того, что находится в вашей цепочке поставок программного обеспечения. Вы должны понимать, какие компоненты вы используете во всех своих продуктах или услугах. Этот инвентарь должен быть задокументирован, использоваться для обеспечения соблюдения требований безопасности и регулярной проверки на известные уязвимости, а также использоваться для любых событий управления инцидентами, которые могут произойти.

Вам следует убедиться, что:

Вы фиксируете сторонние компоненты, из которых состоит ваш продукт. Ваш программный продукт или услуга будут состоять из множества сторонних компонентов: либо внутренних, либо внешних коммерческих компонентов. Сторонние компоненты могут поступать от поставщика, с которым у вас есть договорные отношения, или они могут быть бесплатным программным обеспечением с открытым исходным кодом (FOSS). Выбор этих компонентов изначально будет сосредоточен на возможностях и простоте интеграции, однако важно учитывать атрибуты безопасности, такие как происхождение программного обеспечения, частота обновлений, количество обслуживающих лиц и географическое расположение участников. Инвентарь может иметь любой формат, который соответствует процессам и культуре организации. Список материалов цепочки поставок (SBOM) — это подход, который можно использовать для этой цели.
Вы делитесь требованиями безопасности со своими поставщиками. Наличие инвентаря всех ваших интегрированных сторонних компонентов является важным первым шагом, но его недостаточно для обеспечения безопасности вашей цепочки поставок. Ваш инвентарь должен быть проверен и регулярно обновляться по мере необходимости.

При необходимости вы должны иметь возможность поделиться своим инвентарем с вашими клиентами, чтобы им был предоставлен проверенный и актуальный список всех сторонних компонентов в вашем программном продукте и услуге для их собственных потребностей в безопасности цепочки поставок. Рассмотрение наилучшего формата, позволяющего вашим разработчикам и клиентам эффективно использовать информацию, является важным соображением в том, как вы регистрируете и документируете свой инвентарь сторонних компонентов.

Компоненты регулярно проверяются на уязвимости в течение всего срока службы продукта. Не все ваши компоненты будут предоставлены по договору поставщиком, который гарантирует, что у него есть меры безопасности цепочки поставок. Поэтому для обеспечения безопасности вашей цепочки поставок необходимо регулярное тестирование всех сторонних компонентов и зависимостей. Вы должны быть в состоянии продемонстрировать, что для каждого компонента было проведено адекватное тестирование (более подробное объяснение того, что это значит, можно найти в разделе 1.3).

Если новая уязвимость или атака будет обнаружена вне рамок вашего обычного графика тестирования, вы должны иметь возможность расставить приоритеты и своевременно провести тестирование, чтобы свести к минимуму риск эксплуатации уязвимости.

Вы выполняете все необходимые исправления своевременно. Будем надеяться, что уязвимости, которые можно использовать, не будут обнаружены, но это неизбежная часть разработки программного обеспечения и кибербезопасности, что они будут обнаружены. Реагирование на эти случаи и эффективное общение с другими так же важны, как и обнаружение. Вы должны выполнять все необходимые исправления (например, разрабатывать и выпускать обновления и исправления) своевременно и сообщать об этом своим клиентам. Более подробную информацию об этом можно найти в Разделе 4.

Полезные ссылки:

https://www.ncsc.gov.uk/collection/supply-chain-security/ Third-party-software-providers

https://www.ncsc.gov.uk/collection/assess-supply-chain-cyber-security

Формат SBOM определяется несколькими спецификациями: 1. Проекты Linux Foundation «Software Package Data eXchange (SPDX)». 2. OWASP «CycloneDX». 3. NIST «Software Identification (SWID) tags».

Приложение C: Анкета для опроса мнений

Демография

В1.Вы отвечаете как частное лицо или от имени организации?

Индивидуальный
Организация

В2.[если вы индивидуальный человек] Какое из следующих утверждений лучше всего вас описывает?

Кибербезопасность/ИТ-специалист
Профессиональный
Разработчик программного обеспечения
Тестировщик программного обеспечения
Старший руководитель в компании
Эксперт по защите прав потребителей
Академический
Заинтересованный представитель общественности
Государственный служащий (включая регулирующий орган)
Другое [если выбрано, то появится текстовое поле с указанием]

Q3. [если Q1 = организация] Какое из следующих утверждений лучше всего описывает вашу организацию? Выберите все подходящие [флажки]

Организация/Бизнес
Который занимается продажей или разработкой программного обеспечения
Которая разрабатывает стандартное программное обеспечение для делового рынка.
Которая разрабатывает стандартное программное обеспечение для потребительского рынка.
Которая разрабатывает индивидуальное программное обеспечение для клиентов
Который планирует разработать программное обеспечение
Который не планирует производить программное обеспечение
Который перепродает программное обеспечение (с дополнительными функциями или без них)
Организация, закупающая программное обеспечение
Поставщик услуг кибербезопасности
Образовательное учреждение
Правительство
Другое [если выбрано, то появится текстовое поле с указанием]

Q4 [если Q3 = «Организация/Бизнес, который занимается продажей или разработкой программного обеспечения»] Какие из этих утверждений применимы к вашей организации? Выберите все применимые варианты.

Которая разрабатывает стандартное программное обеспечение для делового рынка.
Которая разрабатывает стандартное программное обеспечение для потребительского рынка.
Которая разрабатывает индивидуальное программное обеспечение для клиентов
Который планирует разработать программное обеспечение
Который не планирует производить программное обеспечение
Который перепродает программное обеспечение (с дополнительными функциями или без них)

В5.[если В1 = организация], Каков размер вашей организации?

Микро (менее 10 сотрудников)
Маленький (10-49 сотрудников)
Средний (50-499 сотрудников)
Крупный (более 500 сотрудников)

В6.[если В1 = физическое лицо], Где вы находитесь?

Великобритания
Европа (кроме Великобритании)
Северная Америка
Южная Америка
Африка
Азия
Океания (Австралия и соседние страны)
Другое [если выбрано, то появится текстовое поле с указанием]

В7.[если В1= организация], Где находится штаб-квартира вашей организации?

Великобритания
Европа (кроме Великобритании)
Северная Америка
Южная Америка
Африка
Азия
Океания (Австралия и соседние страны)
Другое [если выбрано, то появится текстовое поле с указанием]

Вопросы, относящиеся к Главе 1: Введение

В8: Согласны ли вы с каким-либо из следующих утверждений? [флажки]

В настоящее время рынок функционирует с соблюдением соответствующих уровней безопасности, заложенных в принципы проектирования.
Правительство должно разработать руководство, которое покажет поставщикам программного обеспечения, как выглядит «хорошая» кибербезопасность.
Должна быть схема обеспечения/сертификации программного обеспечения.
Для всего программного обеспечения должны быть установлены обязательные правила безопасности.

В9: Существуют ли какие-либо типы организаций, для которых этот Кодекс практики не подойдет? [открытый текст]

В10: Согласны ли вы с тем, что целевой аудиторией данного Кодекса практики должны быть руководители высшего звена организаций-поставщиков программного обеспечения?

Да
Нет
Не знаю

Вопросы, касающиеся главы 3: Как организации, закупающие программное обеспечение, должны использовать этот Кодекс практики

В11: Если бы таковой был доступен, насколько вероятно, что ваша организация использовала бы добровольный Кодекс практики для информирования поставщиков программного обеспечения?

а) Закупки?

Скорее всего
Вероятный
Нейтральный
Скорее всего, не
Определенно не буду использовать
Не знаю

б) Процессы управления поставщиками?

Скорее всего
Вероятный
Нейтральный
Скорее всего, не
Определенно не буду использовать
Не знаю

Вопросы по главе 4: Добровольный кодекс практики для поставщиков программного обеспечения

Следующие вопросы будут конкретно касаться Кодекса практики, разработанного и предложенного DSIT . Вопросы будут сосредоточены на отдельных действиях, указанных в Кодексе.

Принцип 1: Безопасное проектирование и разработка

Старший ответственный сотрудник в организациях-поставщиках должен выполнять следующие действия:

Убедитесь, что организация следует установленной безопасной структуре разработки.

В12: Согласны ли вы с этим положением?

Да – я думаю, что это действие следует включить в категорию «должен»
Да – я думаю, что это действие следует включить в список «следует»
Нет – я считаю, что это действие не следует включать в этот Кодекс практики.
Я не знаю

Принцип 1: Безопасное проектирование и разработка

Старший ответственный сотрудник в организациях-поставщиках должен выполнять следующие действия:

Убедитесь, что организация понимает состав своих программных продуктов и услуг и что риски, связанные с использованием и обслуживанием сторонних компонентов, включая компоненты с открытым исходным кодом, оцениваются на протяжении всего жизненного цикла.

В13: Согласны ли вы с этим действием?

Да – я думаю, что это действие следует включить в категорию «должен»
Да – я думаю, что это действие следует включить в список «следует»
Нет – я считаю, что это действие не следует включать в этот Кодекс практики.
Я не знаю

Принцип 1: Безопасное проектирование и разработка

Старший ответственный сотрудник в организациях-поставщиках должен выполнять следующие действия:

Убедитесь, что в организации имеется четкий процесс тестирования программного обеспечения перед распространением.

В14: Согласны ли вы с этим действием?

Да – я думаю, что это действие следует включить в категорию «должен»
Да – я думаю, что это действие следует включить в список «следует»
Нет – я считаю, что это действие не следует включать в этот Кодекс практики.
Я не знаю

Принцип 1: Безопасное проектирование и разработка

Старший ответственный сотрудник в организациях-поставщиках должен выполнять следующие действия:

Убедитесь, что организация следует принципам безопасности по умолчанию на протяжении всего жизненного цикла разработки продукта.

В15: Согласны ли вы с этим действием?

Да – я думаю, что это действие следует включить в категорию «должен»
Да – я думаю, что это действие следует включить в список «следует»
Нет – я считаю, что это действие не следует включать в этот Кодекс практики.
Я не знаю

Принцип 1: Безопасное проектирование и разработка

Старший ответственный сотрудник в организациях-поставщиках должен выполнять следующие действия:

Обеспечьте соблюдение принципов безопасности на протяжении всего процесса разработки.

В16: Согласны ли вы с этим действием?

Да – я думаю, что это действие следует включить в категорию «должен»
Да – я думаю, что это действие следует включить в список «следует»
Нет – я считаю, что это действие не следует включать в этот Кодекс практики.
Я не знаю

Принцип 1: Безопасное проектирование и разработка

Старший ответственный сотрудник в организациях-поставщиках должен выполнять следующие действия:

Поощряйте использование соответствующих инструментов и технологий безопасности, чтобы гарантировать безопасность параметров по умолчанию на этапах разработки и распространения.

В17: Согласны ли вы с этим действием?

Да – я думаю, что это действие следует включить в категорию «должен»
Да – я думаю, что это действие следует включить в список «следует»
Нет – я считаю, что это действие не следует включать в этот Кодекс практики.
Я не знаю

Мы задали вам вопросы по следующим положениям принципа 1:

Принцип 1: Безопасное проектирование и разработка

Этот принцип гарантирует, что продукт или услуга будут надлежащим образом безопасны при предоставлении.

Старший ответственный сотрудник в организациях-поставщиках должен выполнять следующие действия:

1.1 Обеспечить, чтобы организация следовала установленной безопасной структуре разработки.

Старший ответственный сотрудник в организациях-поставщиках должен выполнять следующие действия:

1.5 Обеспечить соблюдение принципов безопасности на протяжении всего процесса разработки.

В18: Как вы думаете, в этом Принципе чего-то не хватает? Если да, то чего? [свободный текст]

В19: Есть ли у вас какие-либо другие комментарии или отзывы относительно этого Принципа? [свободный текст]

Принцип 2: Создание безопасной среды

Старшие ответственные должностные лица в организациях-поставщиках должны выполнять следующие действия:

Обеспечьте защиту среды сборки от несанкционированного доступа.

В20: Согласны ли вы с этим действием?

Да – я думаю, что это действие следует включить в категорию «должен»
Да – я думаю, что это действие следует включить в список «следует»
Нет – я считаю, что это действие не следует включать в этот Кодекс практики.
Я не знаю

Принцип 2: Создание безопасной среды

Старшие ответственные должностные лица в организациях-поставщиках должны выполнять следующие действия:

Обеспечьте контроль и регистрацию изменений в окружающей среде.

В21: Согласны ли вы с этим действием?

Да – я думаю, что это действие следует включить в категорию «должен»
Да – я думаю, что это действие следует включить в список «следует»
Нет – я считаю, что это действие не следует включать в этот Кодекс практики.
Я не знаю

Принцип 2: Создание безопасной среды

Старшие ответственные должностные лица в организациях-поставщиках должны выполнять следующие действия:

Убедитесь, что вы используете надежный конвейер сборки.

В22: Согласны ли вы с этим действием?

Да – я думаю, что это действие следует включить в категорию «должен»
Да – я думаю, что это действие следует включить в список «следует»
Нет – я считаю, что это действие не следует включать в этот Кодекс практики.
Я не знаю

Принцип 2: Создание безопасной среды

Старшие ответственные должностные лица в организациях-поставщиках должны выполнять следующие действия:

2.1 Убедитесь, что среда сборки защищена от несанкционированного доступа.

Старшие ответственные должностные лица в организациях-поставщиках должны выполнять следующие действия:

2.2 Обеспечить контроль и регистрацию изменений в окружающей среде.

2.3 Убедитесь, что вы используете надежный конвейер сборки.

В23: Как вы думаете, в этом Принципе чего-то не хватает? Если да, то чего? [свободный текст]

В24: Есть ли у вас какие-либо другие комментарии или отзывы относительно этого принципа? [свободный текст]

Принцип 3: Безопасное развертывание и обслуживание

Старший ответственный сотрудник в организациях-поставщиках должен выполнять следующие действия:

Обеспечьте безопасную передачу программного обеспечения клиентам.

В25: Согласны ли вы с этим действием?

Да – я думаю, что это действие следует включить в категорию «должен»
Да – я думаю, что это действие следует включить в список «следует»
Нет – я считаю, что это действие не следует включать в этот Кодекс практики.
Я не знаю

Принцип 3: Безопасное развертывание и обслуживание

Старший ответственный сотрудник в организациях-поставщиках должен выполнять следующие действия:

Обеспечьте наличие в организации процессов для упреждающего обнаружения и управления уязвимостями в используемых ею компонентах программного обеспечения и разрабатываемом ею программном обеспечении, включая документированный процесс оценки серьезности уязвимостей и определения приоритетов реагирования.

В26: Согласны ли вы с этим действием?

Да – я думаю, что это действие следует включить в категорию «должен»
Да – я думаю, что это действие следует включить в список «следует»
Нет – я считаю, что это действие не следует включать в этот Кодекс практики.
Я не знаю

Принцип 3: Безопасное развертывание и обслуживание

Старший ответственный сотрудник в организациях-поставщиках должен выполнять следующие действия:

Обеспечить, чтобы организация внедрила и опубликовала эффективный процесс раскрытия информации об уязвимостях.

В27: Согласны ли вы с этим действием?

Да – я думаю, что это действие следует включить в категорию «должен»
Да – я думаю, что это действие следует включить в список «следует»
Нет – я считаю, что это действие не следует включать в этот Кодекс практики.
Я не знаю

Принцип 3: Безопасное развертывание и обслуживание

Старший ответственный сотрудник в организациях-поставщиках должен выполнять следующие действия:

Обеспечить, чтобы организация своевременно предоставляла своим клиентам обновления безопасности, исправления и уведомления.

В28 Согласны ли вы с этим действием?

Да – я думаю, что это действие следует включить в категорию «должен»
Да – я думаю, что это действие следует включить в список «следует»
Нет – я считаю, что это действие не следует включать в этот Кодекс практики.
Я не знаю

Принцип 3: Безопасное развертывание и обслуживание

Старший ответственный сотрудник в организациях-поставщиках должен выполнять следующие действия:

Обеспечьте надлежащее информирование соответствующих сторон об уязвимостях.

В29: Согласны ли вы с этим действием?

Да – я думаю, что это действие следует включить в категорию «должен»
Да – я думаю, что это действие следует включить в список «следует»
Нет – я считаю, что это действие не следует включать в этот Кодекс практики.
Я не знаю

Принцип 3: Безопасное развертывание и обслуживание

Старшие руководители организаций-поставщиков должны сделать следующее:

Публично заявить, что организация будет приветствовать исследователей безопасности для тестирования программных продуктов и услуг, предоставляемых организацией, в рамках процесса раскрытия уязвимостей.

В30: Согласны ли вы с этим действием?

Да – я думаю, что это действие следует включить в категорию «должен»
Да – я думаю, что это действие следует включить в список «следует»
Нет – я считаю, что это действие не следует включать в этот Кодекс практики.
Я не знаю

Принцип 3: Безопасное развертывание и обслуживание

Старший ответственный сотрудник в организациях-поставщиках должен выполнять следующие действия:

3.1 Обеспечить безопасную передачу программного обеспечения клиентам.

3.4 Обеспечить надлежащее информирование соответствующих сторон об уязвимостях.

Старшие руководители организаций-поставщиков должны сделать следующее:

В31: Как вы думаете, в этом Принципе чего-то не хватает? Если да, то чего? [свободный текст]

В32: Есть ли у вас какие-либо другие комментарии или отзывы относительно этого Принципа? [свободный текст]

Принцип 4: Общение с клиентами

Обеспечить, чтобы организация предоставляла клиенту информацию в доступной форме с указанием уровня поддержки и обслуживания, предоставляемого для продаваемого программного продукта/услуги.

В33: Согласны ли вы с этим действием?

Да – я думаю, что это действие следует включить в категорию «должен»
Да – я думаю, что это действие следует включить в список «следует»
Нет – я считаю, что это действие не следует включать в этот Кодекс практики.
Я не знаю

Принцип 4: Общение с клиентами

Обеспечить, чтобы организация предоставляла клиентам доступное уведомление не менее чем за 1 год о том, когда поставщик больше не будет поддерживать или обслуживать продукт или услугу.

В34: Согласны ли вы с этим действием?

Да – я думаю, что это действие следует включить в категорию «должен»
Да – я думаю, что это действие следует включить в список «следует»
Нет – я считаю, что это действие не следует включать в этот Кодекс практики.
Я не знаю

Принцип 4: Общение с клиентами

Целью этого принципа является обеспечение того, чтобы организации-поставщики предоставляли клиентам достаточную информацию для обеспечения эффективного управления рисками и инцидентами.

Обеспечить предоставление клиентам надлежащей и своевременной информации о значимых инцидентах, которые могут оказать существенное влияние на организации-клиенты.

В35: Согласны ли вы с этим действием?

Да – я думаю, что это действие следует включить в категорию «должен»
Да – я думаю, что это действие следует включить в список «следует»
Нет – я считаю, что это действие не следует включать в этот Кодекс практики.
Я не знаю

Принцип 4: Общение с клиентами

Старшие ответственные должностные лица в организациях-поставщиках должны выполнять следующие действия:

Обеспечить предоставление клиентам общей информации о стандартах безопасности и устойчивости, структурах, организационных обязательствах и процедурах, применяемых организацией.

В36: Согласны ли вы с этим действием?

Да – я думаю, что это действие следует включить в категорию «должен»
Да – я думаю, что это действие следует включить в список «следует»
Нет – я считаю, что это действие не следует включать в этот Кодекс практики.
Я не знаю

Принцип 4: Общение с клиентами

Старшие ответственные должностные лица в организациях-поставщиках должны выполнять следующие действия:

Убедитесь, что организация активно поддерживает пострадавших клиентов во время и после инцидента кибербезопасности, чтобы сдержать и смягчить последствия инцидента. То, как это будет сделано, должно быть задокументировано и согласовано в контрактах с клиентом.

В37: Согласны ли вы с этим действием?

Да – я думаю, что это действие следует включить в категорию «должен»
Да – я думаю, что это действие следует включить в список «следует»
Нет – я считаю, что это действие не следует включать в этот Кодекс практики.
Я не знаю

Принцип 4: Общение с клиентами

Старшие ответственные должностные лица в организациях-поставщиках должны выполнять следующие действия:

Предоставлять организациям-клиентам рекомендации по безопасному использованию, интеграции и настройке программного продукта или услуги.

В38: Согласны ли вы с этим действием?

Да – я думаю, что это действие следует включить в категорию «должен»
Да – я думаю, что это действие следует включить в список «следует»
Нет – я считаю, что это действие не следует включать в этот Кодекс практики.
Я не знаю

Принцип 4: Общение с клиентами

Старшие ответственные должностные лица в организациях-поставщиках должны выполнять следующие действия:

В39: Как вы думаете, в этом Принципе чего-то не хватает? Если да, то чего? [свободный текст]

В40: Есть ли у вас какие-либо другие комментарии или отзывы относительно этого принципа? [свободный текст]

В41 [если В3 = «Организация/бизнес, занимающийся продажей или разработкой программного обеспечения»]: Как поставщик/разработчик/реселлер программного обеспечения, считаете ли вы возможным внедрение настоящего Кодекса практики?

Да
Нет
Не знаю

В42 [если В3 = «Организация/бизнес, занимающийся продажей или разработкой программного обеспечения»]: С какими препятствиями столкнется ваша организация, если ее попросят внедрить этот Кодекс в качестве поставщика программного обеспечения?

Никаких барьеров. Действия, перечисленные в этом Кодексе практики, находятся в пределах возможностей моей организации.
Внедрение этого Кодекса практики обойдется слишком дорого
Персонал не обладает необходимыми навыками для внедрения настоящего Кодекса практики.
Действия, изложенные в настоящем Кодексе практики, слишком сложны для масштабирования в масштабах всей организации.
В моей организации нет необходимого персонала для внедрения настоящего Кодекса практики.
Высшее руководство моей организации вряд ли будет следовать данному Кодексу практики.
Другое [укажите]
N/A — моя организация не разрабатывает и не продает программное обеспечение.

В43[если В3 = «Организация/Бизнес, который занимается продажей или разработкой программного обеспечения»]:: Как поставщик/разработчик/реселлер программного обеспечения, будет ли этот Кодекс создавать чрезмерные препятствия для инноваций?

Да
Нет
Не знаю

В44 [если В3 = «Организация, закупающая программное обеспечение»]: Как организация, закупающая программное обеспечение, считаете ли вы целесообразным использовать этот Кодекс практики в ваших процессах закупок?

Да
Нет
Не знаю

В45: С какими препятствиями столкнется ваша организация, если ее попросят потребовать от поставщиков программного обеспечения для вашей организации соблюдения настоящего Кодекса практики?

Никаких барьеров. Моя организация не столкнется с какими-либо существенными трудностями при использовании этого Кодекса практики в процессах закупок.
Включение этого Кодекса практики в процессы закупок обошлось бы слишком дорого.
Настоящий Кодекс практики несовместим с процессами закупок моей организации.
Сотрудники, отвечающие за закупки, не будут обладать необходимыми навыками для использования настоящего Кодекса при ведении переговоров с поставщиками.
Сотрудники не обладают необходимыми навыками для понимания каких-либо подтверждений или доказательств, предоставляемых поставщиками программного обеспечения о соблюдении настоящего Кодекса практики.
Другое [укажите]

Вопросы по главе 5: Вспомогательные материалы

В46: Подходят ли предлагаемые технические средства контроля для оценки соответствия Кодексу практики для поставщиков программного обеспечения?

Да
Нет
Не знаю

Q46b [if Q44=»no»]: Почему это не подходит? [открытый текст]

В49: Есть ли у вас какие-либо другие комментарии относительно технических средств контроля, описанных выше, и примера руководства по их внедрению (прилагается в B)? [Свободный текст]

В50[если В3 = «Организация, закупающая программное обеспечение»]: Какие еще вспомогательные материалы были бы вам полезны как клиенту, закупающему программное обеспечение, чтобы вы могли требовать соблюдения настоящего Кодекса практики от своих поставщиков? [флажки]

Стандартизированные договорные положения
Руководство по оценке соблюдения поставщиками Кодекса
Стандартизированные шаблоны для подтверждения соответствия поставщиков Кодексу
Обучение для некиберспециалистов
Схема обеспечения или сертификации
Лаборатории тестирования безопасности продукции
N/A — моя организация не закупает программное обеспечение
Другое [укажите]

В51 [если В3 = «Организация/предприятие, занимающееся продажей или разработкой программного обеспечения»]: Какие еще вспомогательные материалы были бы вам полезны как поставщику программного обеспечения для соблюдения Кодекса практики?

Схема обеспечения или сертификации
Лаборатории тестирования безопасности продукции
Дополнительные рекомендации по управлению использованием программного обеспечения с открытым исходным кодом в процессе разработки
Меры по повышению квалификации для обеспечения кадрового резерва в сфере разработки программного обеспечения
Другое [укажите]

Опрос закрыт

В52: Есть ли у вас другие отзывы о нашем Кодексе практики? [открытый текст]

98% респондентов, ответивших на призыв правительства высказать свое мнение об устойчивости и безопасности программного обеспечения, считают, что необходимо большее вмешательство правительства и/или отрасли для устранения рисков, связанных с безопасностью разработки программного обеспечения, а 65% полагают, что для обеспечения безопасности и устойчивости при распространении программного обеспечения потребуются оба варианта. ↩
Предложение о РЕГЛАМЕНТЕ ЕВРОПЕЙСКОГО ПАРЛАМЕНТА И СОВЕТА о требованиях к горизонтальной кибербезопасности для продуктов с цифровыми элементами и о внесении поправок в Регламент, ЕС, 2022 г. ↩
Режим безопасности продукции и телекоммуникационной инфраструктуры Великобритании (безопасность продукции) , Департамент науки, инноваций и технологий, 2023 г. ↩
Кодекс практики для операторов магазинов приложений и разработчиков приложений (обновленный) , Департамент науки, инноваций и технологий, 2023 г. ↩
Возможности аппаратно-усовершенствованных инструкций RISC ( CHERI ) , Кембриджский университет, кафедра компьютерных наук и технологий. ↩
Технология, которая является безопасной по умолчанию, имеет лучшую безопасность, которая только возможна, без того, чтобы вы знали о ее существовании или необходимости ее включать. Более подробную информацию о принципах безопасности по умолчанию можно найти здесь: https://www.ncsc.gov.uk/information/secure-default ↩
«Безопасность по замыслу» означает, что программные продукты и услуги построены таким образом, чтобы разумно защищать от злонамеренных киберпреступников, успешно получающих доступ. Это включает в себя определение ключевых рисков и встраивание защиты в дизайн продукта. ↩

Вернуться наверх

WikiVisa — ВикиВиза — VikiVisa

Информационная безопасность

Услуги

Торговая миссия по кибербезопасности в Индию

Торговая миссия по кибербезопасности в Индию пройдет в Нью-Дели и Мумбаи с 12 по 16 октября 2015 года.

Посмотреть больше услуг в этой теме

Руководство и регулирование

Схема Cyber Essentials: обзор
- Руководство
- 3 марта 2023 г.
- Департамент науки, инноваций и технологий и закрытая организация: Департамент цифровых технологий, культуры, медиа и спорта
Уведомление о безопасности отрасли (ISN)
- Руководство
- 14 июня 2024 г.
- Министерство обороны
Список сертифицированных услуг цифровой идентификации и атрибутики
- Руководство
- 30 июля 2024 г.
- Департамент науки, инноваций и технологий
Открытый конкурс инноваций в рамках программы «Оборона и безопасность» (DASA)
- Руководство
- 11 июня 2024 г.
- Ускоритель обороны и безопасности
Цифровая идентификация личности для права на труд, права на аренду и проверки судимости
- Руководство
- 6 июня 2024 г.
- Департамент науки, инноваций и технологий и закрытая организация: Департамент цифровых технологий, культуры, медиа и спорта

См. дополнительные рекомендации и правила в этой теме

Новости и коммуникации

Киберугрозы будут представлять все больше рисков для международного мира и безопасности: заявление Великобритании в Совете Безопасности ООН
- 20 июня 2024 г.
- Министерство иностранных дел, по делам Содружества и развития
- Речь
Повышение киберустойчивости Великобритании: ИИ, программное обеспечение и навыки
- 16 мая 2024 г.
- Департамент науки, инноваций и технологий и Национальный центр кибербезопасности
- Речь
Разработчикам предоставлены новые инструменты для повышения кибербезопасности в моделях ИИ, поскольку сектор кибербезопасности демонстрирует рекордный рост
- 15 мая 2024 г.
- Департамент науки, инноваций и технологий и Национальный центр кибербезопасности
- пресс-релиз
Великобритания и ее союзники ввели санкции против известного киберхакера
- 7 мая 2024 г.
- Министерство иностранных дел, по делам Содружества и развития, Национальное агентство по борьбе с преступностью и Национальный центр кибербезопасности
- пресс-релиз
Великобритания присоединяется к партнерам в осуждении вредоносной киберактивности российских разведывательных служб: заявление правительства Великобритании
- 3 мая 2024 г.
- Министерство иностранных дел, по делам Содружества и развития
- пресс-релиз

Смотрите больше новостей и сообщений в этой теме

Исследования и статистика

Исследование нарушений кибербезопасности: 2025 г.
- 5 августа 2024 г.
- Департамент науки, инноваций и технологий
- Исследовать
Понимание сектора кибербезопасности и рынка труда Великобритании
- 26 июля 2024 г.
- Департамент науки, инноваций и технологий
- Исследовать
Информация об управлении Cyber Explorers
- 19 июня 2024 г.
- Департамент науки, инноваций и технологий
- Статистический набор данных
Анализ сектора кибербезопасности 2024
- 15 мая 2024 г.
- Департамент науки, инноваций и технологий
- Исследовать
Исследования кибербезопасности ИИ
- 15 мая 2024 г.
- Департамент науки, инноваций и технологий
- Исследовать

См. больше исследований и статистики по этой теме

Политические документы и консультации

Информационный бюллетень DSIT по кибербезопасности — август 2024 г.
- 5 августа 2024 г.
- Департамент науки, инноваций и технологий
- Политический документ
Кибербезопасность ИИ: призыв к мнениям
- 2 августа 2024 г.
- Департамент науки, инноваций и технологий
- Открытый призыв к представлению доказательств
Кодекс практики для поставщиков программного обеспечения: призыв к мнениям
- 2 августа 2024 г.
- Департамент науки, инноваций и технологий
- Открытый призыв к представлению доказательств
Кибербезопасность ИИ: призыв к мнениям
- 2 августа 2024 г.
- Департамент науки, инноваций и технологий
- Открытый призыв к представлению доказательств
Кодекс практики для поставщиков программного обеспечения: призыв к мнениям
- 2 августа 2024 г.
- Департамент науки, инноваций и технологий
- Открытый призыв к представлению доказательств

См. больше политических документов и консультаций по этой теме

Прозрачность и свобода распространения информации

Национальная киберстратегия 2022. Ежегодный отчет о ходе реализации за 2022–2023 годы
- 14 августа 2023 г.
- Кабинет министров
- Корпоративный отчет
Ответ правительства на отчет ISC о закупках GCHQ
- 22 июля 2021 г.
- Кабинет министров
- Корпоративный отчет
Годовой отчет Совета по надзору Центра оценки кибербезопасности Huawei (HCSEC) за 2021 год
- 20 июля 2021 г.
- Кабинет министров и Национальный центр кибербезопасности
- Корпоративный отчет
Совет по надзору за центром оценки кибербезопасности Huawei: годовой отчет за 2020 год
- 1 октября 2020 г.
- Кабинет министров и Национальная безопасность и разведка
- Корпоративный отчет
Ответ правительства на доклад Комитета по разведке и безопасности России
- 21 июля 2020 г.
- Кабинет министров
- Корпоративный отчет

Смотрите больше пресс-релизов о прозрачности и свободе информации в этой теме

Организации

Показать больше организаций

WikiVisa — ВикиВиза — VikiVisa

Программное обеспечение — повышение киберустойчивости экономики Великобритании

Кодекс практики для поставщиков программного обеспечения: призыв к мнениям

Краткое содержание

Требование описания доказательств

Документы

Приглашаем высказать свое мнение по поводу Кодекса практики для поставщиков программного обеспечения

Уведомление о конфиденциальности — безопасность программного обеспечения, призыв к просмотру

Способы реагирования

Отправить по электронной почте:

Написать в:

Поделиться этой страницей

Обновления на этой странице

Подпишитесь на рассылку по электронной почте или распечатайте эту страницу

Связанный контент

Управляющее резюме

Глава 1 Введение

Фон

Объем

Обоснование

Методология

Глава 2: Деятельность DSIT

Подход Великобритании к кибербезопасности

Глава 3: Как организации, закупающие программное обеспечение, должны использовать этот Кодекс практики

В процессе закупки

Практики и обязанности по управлению рисками в цепочке поставок

Глава 4: Добровольный кодекс практики для поставщиков программного обеспечения

Принцип 1: Безопасное проектирование и разработка

Принцип 2: Создание безопасной среды

Принцип 3: Безопасное развертывание и обслуживание

Принцип 4: Общение с клиентами

Мониторинг и оценка

Глава 5: Вспомогательные материалы

Технический контроль

Руководство по внедрению

Глава 6: Как ответить на призыв к просмотру

Свобода информации

Приложение A: Полный свод правил

Принцип 1: Безопасное проектирование и разработка

Принцип 2: Создание безопасной среды

Принцип 3: Безопасное развертывание и обслуживание

Принцип 4: Общение с клиентами

Приложение B: Пример руководства по внедрению

Принцип 1: Безопасное проектирование и разработка

1.1 Обеспечить, чтобы организация следовала установленной безопасной структуре разработки.

Приложение C: Анкета для опроса мнений

Демография

Вопросы, относящиеся к Главе 1: Введение

Вопросы, касающиеся главы 3: Как организации, закупающие программное обеспечение, должны использовать этот Кодекс практики

Вопросы по главе 4: Добровольный кодекс практики для поставщиков программного обеспечения

Вопросы по главе 5: Вспомогательные материалы

Опрос закрыт

Услуги

Руководство и регулирование

Новости и коммуникации

Исследования и статистика

Политические документы и консультации

Прозрачность и свобода распространения информации

Организации

О нас

NOTA BENE