Tzv. Information Technology Sector-Specific Goals, které CISA uveřejnila začátkem letošního roku, vycházejí z provozních dat a z výzkumu současného prostředí hrozeb. Představují dobrovolné postupy, které nabídnou vysoce účinná bezpečnostní opatření.
Používáte programovací jazyk pro vytváření či úpravu aplikací
Opatření byla vypracovaná ve spolupráci s vládními institucemi, průmyslovými skupinami či soukromým sektorem.
Jako cíl číslo jedna ve vývoji softwaru se uvádí oddělení všech prostředí používaných při vytváření softwaru – včetně vývojového, sestavovacího, testovacího a distribučního – aby se tak zabránilo případnému neoprávněnému přístupu k citlivým datům a systémům.
Číslem jedna pro bezpečný návrh produktů je zase používat v co nejvyšší míře vícefaktorové ověřování (MFA), aby se snížilo riziko prozrazení hesla nebo používání slabých hesel.
Úplný seznam zásad pro bezpečný vývoj softwaru:
- Oddělit všechna prostředí používaná při vývoji softwaru.
- Pravidelně zaznamenávat, monitorovat a kontrolovat vztahy, které se využívají pro autorizaci a přístup napříč prostředími pro vývoj softwaru, i jejich důvěryhodnost.
- Prosazovat vícefaktorovou autentizaci (MFA) napříč prostředími pro vývoj softwaru.
- Stanovit a prosadit bezpečnostní požadavky na softwarové produkty napříč vývojovými prostředími.
- Bezpečně ukládat a přenášet různá hesla a pověření používaná v prostředích pro vývoj softwaru.
Pište pro Computertrends
Máte dobré nápady, máte co říct? Chcete se podělit o své znalosti se čtenáři Computertrends?
Je tu ideální příležitost. V redakci neustále hledáme externí autory, kteří rozšíří náš záběr. Nabízíme možnost publikací zajímavých článků nejen na webu, ale také v našem tištěném magazínu.
Pokud máte zájem, ozvěte se šéfredaktorovi na e-mail: radan.dolejs@iinfo.cz
- Zavést účinná řešení pro monitorování perimetru a interních sítí s možností upozorňování v reálném čase na potenciální kybernetické incidenty.
- Zavést program správy rizik v dodavatelském řetězci softwaru.
- Zpřístupnit detailní seznamu použitých komponent softwaru (software bill of materials, SBOM).
- Kontrolovat zdrojový kód na zranitelnosti pomocí automatizovaných nástrojů nebo srovnatelných procesů a minimalizovat zahrnutí známých zranitelností před každým vydáním produktů, verzí nebo aktualizací.
- Zjištěné zranitelnosti vyřešit ještě před vydáním produktu.
- Zveřejnit zásady ohledně publikace případných zranitelností.
Úplný seznam zásad pro design bezpečných softwarových produktů:
- Rozšířit používání vícefaktorového ověřování (MFA).
- Omezit výchozí hesla.
- Omezit celé třídy zranitelností.
- Poskytovat zákazníkům včas bezpečnostní záplaty.
- Zajistit, aby zákazníci pochopili, kdy se blíží konec podpory softwarových produktů a bezpečnostní záplaty se už nebudou poskytovat.
- Zajistit u svých produktů, aby byly vyplněné u každého záznamu CVE (Common vulnerabilities exposures) položky CWE (Common weakness enumeration) a CPE (Common platform enumeration).
- Zlepšit možnosti zákazníků shromažďovat důkazy o narušení kybernetické bezpečnosti, které se týkají produktů tvůrce softwaru.
Securitytrends si můžete koupit i jako klasický časopis, buď v klasické tištěné formě nebo v elektronické verzi. Věnujeme se bezpečnosti počítačových systémů, ochraně dat, informací a soukromí. Jsme jediný titul na českém a slovenském trhu, který oslovuje širokou čtenářskou obec – od ředitelů firem, přes odborníky na bezpečnost po koncové uživatele. Naším cílem je poskytnout ucelený přehled o bezpečnostních hrozbách a zejména o tom, proč a jak se jim bránit, případně proč respektovat a dodržovat nařízení IT manažerů ve firmách.
PŘEDPLATNÉ
ČLÁNKY DO MAILU