Yönetim ve Risk Yönetimi, Hükümet, Sektöre Özel
ABD Siber Savunma Ajansı Yazılım Tedarikinde Güvenlik Şeffaflığını İyileştirmeyi Hedefliyor
Chris Riotta (@chrisriotta) •
2 Ağustos 2024
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı, federal kurumlar için yazılım edinme sürecini basitleştirmeyi, yazılım güvencesini geliştirmeyi ve siber güvenlik şeffaflığını artırmayı amaçlayan bir rehber yayınladı.
Ayrıca bakınız: İsteğe Bağlı | Gelişmiş Uç Nokta Stratejileriyle Sıfır Güven Hedeflerinize Nasıl Ulaşırsınız
CISA Ulusal Risk Yönetim Merkezi yardımcı müdürü ve kurumun BT Tedarik Zinciri Risk Yönetimi Görev Gücü eş başkanı Mona Harrington’a göre, Perşembe günü yayınlanan rehber, tasarım ve geliştirmeden dağıtım ve operasyonel kullanıma kadar tüm yazılım yaşam döngüsü boyunca güvenlik ilkelerinin yerleştirilmesi yoluyla federal satın almalarda temel bir meydan okuma çağrısında bulunuyor.
Kılavuz, hükümet alıcılarına yazılım güvenliği sorumluluklarını geliştiricilere ve satıcılara geri kaydırmayı amaçlayan bir betik sunar. Tedarikçilerin hem dahili hem de üçüncü taraf bileşenler için kaynak verilerini korumasını sağlamak için yönetişim kontrol sorularını ve diğer kritik güvenlik önlemlerini içerir.
Rehberde yer alan sorular, tedarikçilerin bir CISA Güvenli Yazılım Geliştirme Onay Formu sağladığından ve federal yazılım tedarik zincirlerinin bütünlüğünü korumak için günlük ve yama yönetimi yaptığından emin olmayı amaçlamaktadır. Tedarikçilerden ayrıca güvenlik açığı taraması ve yönetimi için hangi “tasarıma göre güvenli” ilkelerini ve endüstri standartlarını uyguladıklarını ayrıntılı olarak açıklamaları istenecektir.
CISA’nın son satın alma kılavuzu, yazılım tedarik zincirinin güvenliğini sağlamak için kapsamlı bir yaklaşım sağlamak amacıyla Ulusal Standartlar ve Teknoloji Enstitüsü’nün federal çerçevelerini Yönetim ve Bütçe Ofisi ve Genel Hizmetler İdaresi’nin güvenlik gereklilikleriyle birleştiriyor.
Ajans, rehberliğin endüstriye hükümet kurumlarının tedarikçilerin ürünlerinin güvenliğinden sorumlu olmasını talep ettiği yönünde bir sinyal olduğunu söyledi. Çerçeve, güvenlik sorumluluklarını son kullanıcılardan ticari üreticilere kaydırmaya yönelik devam eden bir federal stratejiyle uyumludur (bkz: ABD Siber Güvenlik Stratejisi Sorumluluk Sorunlarını Tedarikçilere Kaydırıyor).
Kılavuz, sözleşmeli personele CIO’lar ve CISO’lar gibi kurumsal risk sahipleriyle “daha alakalı tartışmalara girmeleri” talimatını veriyor ve güvenlik açığı yönetimi ve yazılım tedarik zinciri bütünlüğü hakkında 77 soru içeriyor. CISA, tedarikçilerin Güvenli Yazılım Geliştirme Onay Formu’nu veya GSA7700 Güvenli Yazılım Geliştirme Onay Formu gibi güvenli yönetim uygulamalarının benzer belgelerini göndermeleri durumunda bu sorulardan 25’inin atlanabileceğini söyledi.
Kılavuzda ayrıca tedarikçilere yönelik öneriler de yer alıyor; tedarikçilerin yanıtlarına destekleyici belgeler sağlamak ve gerektiğinde federal tedarik ekipleriyle işbirliği yapmak üzere kuruluşlarından birincil bir koordinatör atanması da buna dahil.
Kılavuza göre, formatın “bir yazılım tedarikçisinin siber güvenlik geliştirme uygulamalarını değerlendirmek için ilk ve tutarlı bir temel oluşturmak amacıyla kullanılması amaçlanmıştır”. Tedarikçilerin ek destekleyici belgeler sağlaması ve güvenlik uygulamalarıyla ilgili diğer takip sorularını yanıtlaması gerekebileceği belirtilmektedir.