Нужно ли регламентировать безопасность поставщиков КИИ?

В последние годы государство стало активнее контролировать безопасность организаций-субъектов критической информационной инфраструктуры (КИИ). С февраля 2022-го требований к ним стало еще больше – к 187-ФЗ добавились новые приказы ФСТЭК и ФСБ.

В итоге субъекты КИИ справились с волной кибератак. Чего не скажешь о поставщиках ПО, аппаратных платформ и инжиниринговых компаниях. Теперь киберпреступники атакуют их. Почему подрядчики часто становятся мишенью? Насколько они защищены от массовых атак? Стоит ли регламентировать их безопасность на уровне государства? Мнения экспертов – в этой статье.

При выборе поставщика эксперты рекомендуют обращать внимание на следующие особенности:

— достаточно ли заявленного функционала продукта;

— есть ли сертификаты регуляторов;

— степень локализации: собственная разработка производителя либо open source с доработанным интерфейсом;

— насколько качественно обеспечивается техническое сопровождение.

Если речь идет о разработке ПО «на заказ», то эксперты советуют уточнять у разработчика, какими средствами обеспечиваются безопасность кода и проверка его на уязвимости. 

Если же субъект КИИ выбирает интегратора, то эксперты рекомендуют оценить его опыт. Подрядчик достоин внимания, если в портфеле есть подобные проекты, в том числе с нужными системами безопасности КИИ.

Владимир Арышев, эксперт по комплексным ИБ-проектам STEP LOGIC:

«Со своей стороны также стоит проверять софт: если разработчик передает код – статическими анализаторами, если дистрибутив – динамическими.
Также важным шагом к уверенности в безопасности софта является передача разработчиком так называемого Software Bill of Materials (SBOM) – это список всех open source и других сторонних компонентов, используемых в кодовой базе программного продукта».

Читать материал целиком по ссылке.