Avustralya Sinyaller Müdürlüğü’nün Avustralya Siber Güvenlik Merkezi (ASD’nin ACSC’si), şu başlıklı bir kılavuz belge yayınladı: Güvenli ve Doğrulanabilir Teknolojileri Seçmekkuruluşların yazılım (tescilli veya açık kaynak), donanım (örn. IoT cihazları) ve bulut hizmetleri (SaaS, MSP hizmetleri) satın alırken bilinçli kararlar almasına yardımcı olmak için derlenmiştir.
Dijital tedarik zinciri tehdit ortamı (Kaynak: Avustralya Siber Güvenlik Merkezi)
Üst düzey yöneticilere, siber güvenlik uzmanlarına, risk danışmanlarına, satın alma profesyonellerine ve dijital ürün ve hizmet üreticilerine yöneliktir.
Amacı karar verme sürecini geliştirmektir. uygulanabilir tavsiyeler sağlamak Teknoloji yaşam döngüsü boyunca risklerin değerlendirilmesi ve yönetilmesi.
Şu konularda tavsiyelerde bulunur:
- Teknoloji tedarikindeki riskleri anlamak. Tedarik zinciri saldırı vektörleri ve gelişen siber tehditler hakkında bilgi sağlar ve satın alma öncesi ve satın alma sonrası risk yönetimi stratejileri konusunda rehberlik sunar.
- Dış tedarik hususları. Üreticilerin şeffaflığını, kanıtlarını ve tasarım gereği güvenlik ilkelerine bağlılığını değerlendirmek için en iyi uygulamaları ana hatlarıyla belirtir ve tehdit modellemeyi, güvenlik sertifikalarını ve ürünün birlikte çalışabilirliğini sağlamayı vurgular.
- İç organizasyonel değerlendirmeler. Tedarik kararlarını dahili risk eşikleri, politikaları ve güvenlik altyapısıyla uyumlu hale getirmeye yönelik adımlar.
- Tasarım gereği güvenli ve varsayılan olarak güvenli. Teknoloji üreticilerine, tasarım gereği güvenli ve varsayılan olarak güvenli bir strateji göz önünde bulundurularak ürün geliştirme konusunda tavsiye ve rehberlik sağlar ve ürün güvenliği doğrulaması için yönergeler sunar.
Kuruluşların aşağıdaki uygulamaları entegre etmeleri teşvik edilmektedir:
- Üreticinin şeffaflığını, uyumluluğunu ve risk toleransını değerlendirmek için belgedeki sorulardan ve kriterlerden yararlanarak kapsamlı satın alma öncesi değerlendirmeler gerçekleştirin.
- Yaşam döngüsü güvenliğini, olay yönetimini ve veri egemenliğini vurgulayan iç politikalar ve satın alma stratejileri tasarlamak için kılavuzdan yararlanın.
- Ayrıntılı teknik destek için kılavuzda listelenen ek kaynaklara ve standartlara bakın.
Bu belge herkese uyan tek bir kontrol listesi değil, her kuruluşun kendine özgü ihtiyaçlarına uyarlanabilen esnek bir çerçevedir.
Yayın, ASD’nin ACSC’si, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Kanada Siber Güvenlik Merkezi (CCCS), Birleşik Krallık’ın Ulusal Siber Güvenlik Merkezi (NCSC-UK), Yeni Zelanda’nın NCSC’si ve ve Güney Kore Ulusal İstihbarat Servisi (NIS).