Федеральные агентства США проведут инвентаризацию всего ПО

На этой неделе Белый дом выпустил новое руководство , предписывающее федеральным агентствам в течение 90 дней составить полную инвентаризацию программного обеспечения (ПО), которое они используют.

Национальный институт стандартов и технологий ( NIST ) опубликовал руководство о том, как агентства могут лучше защитить государственные системы с помощью более безопасного ПО.

Директор Административно-бюджетного управления (OMB) Белого дома Шаланда Янг хочет, чтобы все агентства внедрили инструкции NIST для любого стороннего ПО, используемого организациями. Правила не распространяются на программное обеспечение, разработанное самими агентствами.

Согласно одному из ключевых принципов руководства NIST, агентства должны просить производителей ПО показать, что они оценивали все риски для безопасной разработки ПО, и теперь агентствам запрещено использовать программное обеспечение, которое не соответствует рекомендациям NIST.

Поставщики ПО должны отправлять агентствам письмо о функциях безопасности продукта, последних изменениях и другой информации. Поставщики также должны подтвердить соблюдение «безопасных методов разработки». Агентства также могут потребовать спецификацию ПО (Software Bill of Materials, SBOM) — список компонентов, составляющих часть программного обеспечения.

Также агентства в течение 120 дней должны разработать процесс доведения новых требований до поставщиков ПО. А в течение 270 дней организации собрать письма от поставщиков о «критическом» программном обеспечении.

По словам федерального директора по кибербезопасности Криса Деруша, цель этих усилий — обеспечить, чтобы «миллионы строк кода, лежащие в основе работы федеральных агентств, были разработаны с учетом действующих отраслевых стандартов безопасности».

Янг сказала, что эти задачи являются частью более масштабных усилий, направленных на то, чтобы агентства регулярно использовали рекомендации NIST при выборе ПО.