Обещание за безопасност по дизайн | CISA

резюме

Това е доброволно обещание, което се фокусира върху корпоративни софтуерни продукти и услуги, включително локален софтуер, облачни услуги и софтуер като услуга (SaaS). Обещанието не включва физически продукти като IoT устройства и потребителски продукти, въпреки че компаниите, които искат да демонстрират напредък в тези области, са добре дошли да го направят.

Като участват в това обещание, производителите на софтуер се ангажират да положат добросъвестни усилия, за да работят за постигане на изброените по-долу цели през следващата година. В случай, че производител на софтуер е в състояние да постигне осезаем напредък към дадена цел, производителят трябва публично да документира как е постигнал този напредък в рамките на една година от подписването на обещанието. Когато производителят на софтуер не е в състояние да постигне осезаем напредък, производителят се насърчава в рамките на една година от подписването на обещанието да сподели с CISA как производителят работи за постигане на целта и всички предизвикателства, пред които е изправен. В духа на радикална прозрачност, производителят се насърчава да документира публично своя подход, така че другите да могат да се научат. Това обещание е доброволно и не е правно обвързващо.

Залогът е структуриран със седем гола. Всяка цел съдържа ключовите показатели, към които производителите обещават да работят, както и контекст и примери за постигане на целта и показване на измерим напредък. За да се даде възможност за различни подходи, производителите на софтуер, участващи в обещанието, имат право на преценка да определят как най-добре могат да изпълнят и демонстрират основните критерии за всяка цел. Показването на измерим напредък в продуктите на производител може да приеме различни форми – като предприемане на действия по отношение на всички продукти на производител или чрез избиране на група продукти, които първо да бъдат разгледани, и публикуване на пътна карта за други продукти.

CISA признава и аплодира производителите на софтуер, които вече са изпълнили или надхвърлили тези цели. В такъв случай, когато производителят на софтуер действително отговаря или надхвърля целта, производителят трябва публично да опише как го прави. В тези случаи CISA приветства допълнителни усилия за надхвърляне на целите в обещанието.

Това обещание има за цел да допълни и надгради съществуващите най-добри практики за софтуерна сигурност, включително тези, разработени от CISA, NIST, други федерални агенции, както и най-добрите международни и индустриални практики. CISA продължава да подкрепя приемането на допълнителни мерки, които повишават сигурността чрез дизайн.