Tanúsítvány biztonságos szoftverfejlesztéshez: újabb kormányzati követelmény | Fenwick & West LLP

2022. szeptember 14-én a Gazdálkodási és Költségvetési Hivatal („OMB”) feljegyzést adott ki a következőkről: A szoftverellátási lánc biztonságának fokozása biztonságos szoftverfejlesztési gyakorlatok révén („OMB Memo”) a szoftverbiztonság biztosításában. Míg az OMB feljegyzés útmutatást ad az ügynökségeknek, minden olyan vállalat, amely szoftvert (firmware-ként, operációs rendszerként, alkalmazásként és alkalmazásszolgáltatásként, például felhőalapú szoftverként szolgáltatásként vagy szoftvert tartalmazó termékként definiált) gyárt. és A kormányzati végfelhasználóknak való licenceléshez a következőket kell tenni:

  • A szoftver fejlesztése a National Institute of Standards and Technology (“NIST”) kockázatalapú biztonságos szoftverfejlesztési szabványai szerint,
  • Adjon önnyilatkozatot, és
  • Ha kérik, készítsen dokumentumokat, például szoftveres anyagjegyzéket vagy részt vegyen egy sebezhetőséget feltáró programban.

Ezek a követelmények a kifejlesztett szoftverek ügynökségi (és vállalkozói) használatára, valamint a jelentős verzióváltoztatásokkal módosított meglévő szoftverek használatára vonatkoznak 2022. szeptember 14. után.

Háttér

Biden elnök tavaly arra kérte a szövetségi ügynökségeket, hogy javítsák kiberbiztonsági képességeiket és védjék meg az ország kritikus szoftverellátási láncát. Lásd a 14028-as végrehajtási rendeletet („Cyber ​​​​EO”). A Cyber ​​​​EO megbízta a NIST-t az ellátási lánc biztonsági irányelveinek kidolgozásával, amelyeket a NIST 2022 februárjában teljesített. A NIST kidolgozta és közzétette a NIST Útmutatót, amely a következőkből áll: (1) a biztonságos szoftverfejlesztési keretrendszer (“SSDF”) 1.1-es verziója, amely részletezi a biztonságos szoftverfejlesztés legjobb gyakorlatait, és (2) az ellátási lánc biztonsági iránymutatásai a szövetségi ügynökségeknek a szoftvervásárlásról, beleértve a nyílt forráskódú szoftvereket és az ügynökségek által fejlesztett szoftvereket.

A múlt heti OMB feljegyzés megköveteli a szövetségi ügynökségektől, hogy kövessék a NIST irányelveit, amikor harmadik féltől származó „szoftvert” használnak az ügynökség információs rendszerein, vagy más módon befolyásolják az ügynökség információit.

Mit tegyenek a cégek:

Ha egy vállalat firmwareként meghatározott „szoftvert”, operációs rendszert, alkalmazást és alkalmazásszolgáltatást (például felhőalapú szoftvert szolgáltatásként) vagy szoftvert tartalmazó termékeket fejleszt és licencel a kormányhivatalok számára, akkor a vállalatnak meg kell határoznia, hogy szoftverfejlesztési folyamata NIST-kompatibilis irányelvek a biztonságos szoftverfejlesztéshez.

Adjon önnyilatkozatot

Miután a szoftverfejlesztési folyamatot a NIST irányelvekkel összhangban elemezte, magának a vállalatnak kell megerősítenie, hogy követi ezeket a biztonságos fejlesztési gyakorlatokat – ez az önnyilatkozat a NIST irányelvek szerinti „megfelelőségi nyilatkozat”. Ha egy vállalat nem tudja megadni a tanúsítványt a kormány által kért formátumban, akkor egy Megközelítési és Mérföldkövek Tervben („POA&M”) dokumentálhatja, hogyan fogja ezeket a kockázatokat csökkenteni. Az önbevallás helyett a vállalatok tanúsított FedRAMP Harmadik Fél Értékelő Szervezetek (“3PAO”) által készített értékeléseket is benyújthatnak. Az ügynökségek hivatalos 3PAO értékelést kérhetnek a termék kritikusságától függően.

A Szövetségi Felvásárlási Szabályozó Tanács egységes szabványos igazolási űrlapot dolgoz ki, de amíg a végső szabály nem ismert, minden önigazolásnak tartalmaznia kell:

  • A szoftver gyártójának neve
  • A nyilatkozatban szereplő termékek legátfogóbb leírása (lehetőleg az egész vállalatra vagy termékcsaládra vonatkozó nyilatkozatok és az esetleges besorolatlan termékek).
  • Igazolás arra vonatkozóan, hogy a Szoftvergyártó a tanúsítványban meghatározott biztonságos fejlesztési gyakorlatokat és kötelezettségeket követi.

Dokumentálja a szoftverfejlesztést

Az OMB feljegyzés kifejti, hogy a vállalatok benyújthatnak olyan műtermékeket szövetségi ügynökségekhez, amelyek bizonyítják, hogy megfelelnek a biztonságos szoftverfejlesztési gyakorlatoknak. Ezenkívül a szövetségi ügynökség a szoftver kritikussága alapján kérhet szoftveranyag-jegyzéket (“SBOM”) a kérelem követelményeihez. Az OMB szerint az SBOM-tól eltérő műtermékek (például., olyan automatizált eszközök és folyamatok használatával, amelyek ellenőrzik a forráskód integritását és ellenőrzik az ismert vagy potenciális sebezhetőségeket). A vállalatoknak fel kell készülniük arra, hogy ezeket a dokumentumokat megválaszolják a kérésekre, és gondoskodjanak arról, hogy az értékesítési csapat megfelelő felszereléssel rendelkezzen a biztonságos szoftverfejlesztési folyamattal kapcsolatos kérdések megválaszolására.

A legfontosabb tanulási pontok

Azoknak a vállalatoknak, amelyek szoftvert vagy kódot biztosítanak a kormánynak:

  • Előre kell látni a kormányzati igényeket: A lépcsőzetes hatás miatt a vállalatoknak meg kell vizsgálniuk a NIST irányelveit annak biztosítására, hogy betartsák a biztonságos szoftverfejlesztés alapelveit. Kezdje el az összes szükséges változtatást még ma.
  • Készítsen önbevallási tervezetet: Amint a FAR Tanács véglegesíti a rendeletet, önbevallást kell készítenie az OMB feljegyzésben megkövetelt információkkal.
  • Készítse el a szoftver anyagjegyzékét: Mivel a szövetségi vállalkozók, beleértve a kereskedelmi kulcsrakész (“COTS”) vállalatokat is, valószínűleg látni fogják ezeket a követelményeket a kérésekbe és a szerződési feltételekbe, ezért most fejlesztenie kell SBOM-ját, hogy készen álljon a kérések megválaszolására.
  • Fontolja meg az öntanúsítvány és az SBOM proaktív közzétételét: Ha lehetséges, határozza meg, hogy biztonságosan elhelyezheti-e öntanúsítványát és SBOM-ját a webhelyén. (Azonban NE tegye közzé hiányelemzését, kockázatcsökkentési tervét vagy POA&M-jét.)
  • Értékelje, hogy ez a követelmény tágabb értelemben hogyan esik egybe a szoftverellátási lánc egyéb szempontjaival: Vállalatára az Ön termékére és technológiájára vonatkozó exportellenőrzések, a külföldi tulajdonlás, ellenőrzés vagy befolyás („FOCI”) tényezők is vonatkozhatnak a biztonsági tanúsítvány fenntartása vagy a védelmi/hírszerző iparban tevékenykedő ügyfeleknek történő értékesítés során, valamint egyéb szövetségi beszerzési korlátozások a beszerzésre vonatkozóan. vagy a szoftverösszetevők ellenőrzésének engedélyezése bizonyos országokban, például Kínában vagy Oroszországban. Tanácsot adunk Önnek, hogyan tud stratégiailag eligazodni ezekben a tényezőkben, és olyan belső kontrollokat vezessen be, amelyek minden követelménynek egyszerre megfelelnek.

Leave a Comment

%d bloggers like this: