Fortinet bekräftigt sein Engagement für höchste Sicherheitsstandards für Organisationen und Unternehmen.

Auf der kürzlich in den USA abgehaltenen RSA 2024 Annual Conference on Cyber ​​Security, Security Technology, and Data Protection bekräftigte Fortinet sein Engagement, eine transparente und verantwortungsvolle Sicherheitseinheit zu werden, indem es als erstes Unternehmen eine Verpflichtungserklärung zur Einhaltung der von der US Cybersecurity and Infrastructure Security Agency (CISA) entwickelten Security by Design-Vorschriften unterzeichnete.

Diese freiwillige Branchenverpflichtung baut auf den bestehenden Best Practices für Softwaresicherheit von Fortinet sowie auf den von CISA, dem National Institute of Standards and Technology (NIST), anderen US-Bundesbehörden und internationalen Partnern entwickelten Verfahren auf. Die Verpflichtung beschreibt Ziele, darunter Richtlinien für die verantwortungsvolle Offenlegung von Sicherheitslücken, die bereits integraler Bestandteil des Produktentwicklungsprozesses von Fortinet sind.

Die jüngste Initiative von CISA steht im Einklang mit den bestehenden Produktentwicklungsprozessen von Fortinet, die auf den Prinzipien „Security by Design“ und „Security by Default“ basieren. Fortinet verpflichtet sich zu einer strengen Produktsicherheitsüberwachung in allen Phasen des Produktentwicklungszyklus und trägt so dazu bei, dass Sicherheit von Anfang bis Ende in jedes Produkt integriert wird.

Sicherer Produktentwicklungslebenszyklus (SPDLC): Fortinet richtet seine Prozesse an führenden Standards aus, darunter NIST 800-53, NIST 800-161, NIST 800-218, US EO 14028 und dem britischen Telekommunikationssicherheitsgesetz.

Strenge Sicherheitstests für Produkte: Fortinet nutzt Tools und Techniken wie statische Anwendungssicherheitstests (SAST) und Software-Kompositionsanalyse, die in den Build-Prozess integriert sind, dynamische Anwendungssicherheitstests (DAST), Schwachstellenscans und Fuzzing vor jeder Veröffentlichung sowie Penetrationstests und manuelle Code-Überprüfungen.

Vertrauenswürdige Lieferanten: Um eine sorgfältige Auswahl und präzise Qualifizierung wichtiger Fertigungspartner zu gewährleisten, hält sich Fortinet an NIST 800-161: Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations. Fortinets Engagement für Datenschutz und Datensicherheit zeigt sich in allen Aspekten der Geschäftstätigkeit und in jeder Phase der Produktentwicklung, Fertigung und des Vertriebs.

Informationssicherheitsprogramm: Das Informationssicherheitsprogramm von Fortinet wurde entwickelt und entspricht branchenführenden Sicherheitsstandards und -rahmenwerken, darunter ISO 27001/2, ISO 27017 und 27018 sowie NIST 800-53, und Datenschutzbestimmungen wie DSGVO und CCPA.

Zertifizierungen durch Dritte: Fortinet-Produkte werden regelmäßig nach Produktqualitätsstandards von Drittanbietern zertifiziert und validiert, darunter NIST FIPS 140-2 und NIAP Common Criteria NDcPP / EAL4+.

Darüber hinaus ist das Product Security Incident Response Team (PSIRT) von Fortinet für die Einhaltung der Sicherheitsstandards für Fortinet-Produkte verantwortlich und betreibt eines der branchenweit stärksten PSIRT-Programme, einschließlich der proaktiven und transparenten Offenlegung von Sicherheitslücken. Fast 80 % der im Jahr 2023 entdeckten Fortinet-Sicherheitslücken wurden durch die strengen internen Testverfahren des Unternehmens identifiziert. Dieser proaktive Ansatz ermöglicht es Fortinet, Korrekturen zu entwickeln und bereitzustellen, bevor es zu einer böswilligen Ausnutzung kommen kann. Fortinet arbeitet zudem eng mit Kunden, unabhängigen Sicherheitsforschern, Beratern, Branchenverbänden und anderen Anbietern zusammen, um erstklassige Reaktionsfähigkeit bei Sicherheitsvorfällen zu gewährleisten.

Um sein Engagement für eine Kultur radikaler Transparenz und verantwortungsvoller Geschäftspraktiken weiter zu stärken, unterhält Fortinet langfristige Partnerschaften mit öffentlichen und privaten Partnern, die mit der Mission des Unternehmens übereinstimmen.

Phan Minh