Безопасность цифровой цепочки поставок

Безопасность цифровой цепочки поставок означает усилия по повышению кибербезопасности внутри цепочки поставок . Это подмножество безопасности цепочки поставок , ориентированное на управление требованиями кибербезопасности для информационных технологических систем , программного обеспечения и сетей , которые обусловлены такими угрозами, как кибертерроризм , вредоносное ПО , кража данных и усовершенствованная постоянная угроза (APT). . Типичные мероприятия по кибербезопасности цепочки поставок, направленные на минимизацию рисков, включают покупку только у проверенных поставщиков, ^[1] отключение критически важных машин от внешних сетей и информирование пользователей об угрозах и мерах защиты, которые они могут предпринять.

Исполняющий обязанности заместителя заместителя министра национальной защиты и программ Министерства внутренней безопасности США Грег Шаффер заявил на слушаниях, что ему известно о случаях обнаружения вредоносного ПО на импортированных электронных и компьютерных устройствах, продаваемых на территории США. Штаты. ^[2]

• Сетевое или компьютерное оборудование, поставляемое с уже установленным вредоносным ПО.
• Вредоносное ПО , внедренное в программное или аппаратное обеспечение (различными способами)
• Уязвимости в программных приложениях и сетях в цепочке поставок , обнаруженные злоумышленниками .
• Поддельное компьютерное оборудование

• Комплексная национальная кибер-инициатива
• Положения об оборонных закупках: указаны в разделе 806 Закона о полномочиях национальной обороны.
• Международная стратегия киберпространства : Белый дом впервые излагает видение США безопасного и открытого Интернета. В стратегии обозначены три основные темы: дипломатия, развитие и оборона.

• Дипломатия : Стратегия направлена ​​на «продвижение открытой, функциональной, безопасной и надежной информационной и коммуникационной инфраструктуры» путем установления норм приемлемого поведения государства, основанных на консенсусе между странами.
• Развитие : посредством этой стратегии правительство стремится «содействовать наращиванию потенциала кибербезопасности за рубежом, на двусторонней основе и через многосторонние организации». Цель состоит в том, чтобы защитить глобальную ИТ-инфраструктуру и построить более тесное международное партнерство для поддержания открытых и безопасных сетей.
• Защита : Стратегия призывает правительство «обеспечить, чтобы риски, связанные с атаками или эксплуатацией наших сетей, значительно перевешивали потенциальные выгоды» и призывает все страны расследовать, задерживать и преследовать преступников и негосударственных субъектов, которые вторгаются в сеть и нарушают ее работу. системы.

• Common Criteria предлагает с уровнем Evaluation Assurance Level (EAL) 4 возможность оценить все соответствующие аспекты безопасности цифровой цепочки поставок, такие как продукт, среда разработки, безопасность ИТ-систем, процессы в области человеческих ресурсов, физическая безопасность, а также с помощью модуля ALC_FLR. 3 (Систематическое устранение недостатков) также процессы и методы обновления безопасности даже при физическом посещении объекта. EAL 4 взаимно признан в странах, подписавших SOGIS-MRA , и до ELA 2 в странах, подписавших CCRA , но включая ALC_FRL.3.
• Россия: В России уже несколько лет действуют требования к сертификации нераскрытой функциональности, а недавно была инициирована разработка Национальной программной платформы на основе программного обеспечения с открытым исходным кодом. Это отражает очевидное стремление к национальной автономии, снижающей зависимость от иностранных поставщиков.
• Индия: Признание риска цепочки поставок в проекте Национальной стратегии кибербезопасности. Вместо того, чтобы нацеливаться на исключение конкретных продуктов, он рассматривает политику местных инноваций, отдавая преференции отечественным поставщикам ИТЦ, чтобы создать надежное, конкурентоспособное на глобальном уровне национальное присутствие в этом секторе.
• Китай: Руководствуясь целями 11-го пятилетнего плана (2006–2010 гг.), Китай ввел и реализовал сочетание ориентированной на безопасность и агрессивной политики в области инноваций коренных народов. Китай требует, чтобы каталог местной инновационной продукции использовался для государственных закупок и реализации многоуровневой схемы защиты (MLPS), которая требует (среди прочего), чтобы разработчики и производители продукции были китайскими гражданами или юридическими лицами, а также основные технологии и ключи продукта. компоненты должны иметь независимые права интеллектуальной собственности Китая или коренных народов. ^[3]

• SLSA (Уровни цепочки поставок для артефактов программного обеспечения) — это комплексная структура, обеспечивающая целостность артефактов программного обеспечения на протяжении всей цепочки поставок программного обеспечения. Требования основаны на внутренней « Двоичной авторизации для Borg » Google, которая используется уже более 8 лет и является обязательной для всех производственных рабочих нагрузок Google. Целью SLSA является улучшение состояния отрасли, особенно открытого ПО, для защиты от наиболее серьезных угроз целостности. Благодаря SLSA потребители могут сделать осознанный выбор в отношении уровня безопасности используемого ими программного обеспечения. ^[4]

• Центр обмена информацией и анализа финансового сектора
• Международная стратегия киберпространства (из Белого дома)
• НСТИК
• Технический документ SafeCode, заархивированный 21 октября 2013 г. на Wayback Machine.
• Форум доверенных технологий и стандарт открытого поставщика доверенных технологий (O-TTPS). Архивировано 3 января 2012 г. на Wayback Machine.
• Решение для кибербезопасности цепочки поставок
• Внедрение вредоносного ПО в прошивку
• Цепочка поставок в эпоху программного обеспечения
• ЦЕЛЕВАЯ ГРУППА ПО УПРАВЛЕНИЮ РИСКАМИ ЦЕПОЧКИ ПОСТАВОК ИНФОРМАЦИОННЫХ И КОММУНИКАЦИОННЫХ ТЕХНОЛОГИЙ: ПРОМЕЖУТОЧНЫЙ ОТЧЕТ

• Цепочка поставок
• Управление рисками цепочки поставок
• Безопасность цепочки поставок
• ИСО/ПАС 28000
• НИСТ
• Надежные вычисления