포티넷은 최근 미국에서 개최된 RSA 2024 사이버 보안, 보안 기술 및 데이터 보호 연례 컨퍼런스에서 미국 사이버 보안 및 인프라 보안국(CISA)이 개발한 보안 설계 규정을 준수하겠다는 약정에 서명함으로써 투명하고 책임감 있는 보안 부서가 되겠다는 의지를 재확인했습니다.

이는 Fortinet의 기존 소프트웨어 보안 모범 사례와 CISA, 미국 국립표준기술원(NIST), 기타 미국 연방 기관, 업계 및 국제 파트너가 개발한 사례를 기반으로 하는 보안 산업에 대한 자발적인 약속입니다. 이 약속은 Fortinet의 제품 보안 개발 프로세스의 필수적인 부분이었던 책임 있는 취약성 공개 정책을 포함한 목표를 개략적으로 설명합니다.

CISA의 최신 이니셔티브는 보안 설계 및 보안 기본 원칙을 기반으로 하는 Fortinet의 기존 제품 개발 프로세스와 일치합니다. Fortinet은 제품 개발 수명 주기의 모든 단계에서 엄격한 제품 보안 감독을 실시하여, 다음과 같은 방법을 통해 처음부터 끝까지 모든 제품에 보안이 설계되도록 보장합니다.

보안 제품 개발 수명 주기(SPDLC): Fortinet은 NIST 800-53, NIST 800-161, NIST 800-218, US EO 14028, 영국 통신보안법을 비롯한 주요 표준에 맞춰 프로세스를 조정합니다.

엄격한 보안 제품 테스트: Fortinet은 빌드 프로세스에 통합된 정적 애플리케이션 보안 테스트(SAST) 및 소프트웨어 구성 분석, 동적 애플리케이션 보안 테스트(DAST), 각 릴리스 전 취약성 스캐닝 및 퍼징, 침투 테스트 및 수동 코드 검토와 같은 도구와 기술을 활용합니다.

신뢰할 수 있는 공급업체: Fortinet은 핵심 제조 파트너의 역량을 엄격하게 선정하고 정확하게 평가하기 위해 NIST 800-161: 시스템 및 조직을 위한 사이버 보안 공급망 위험 관리 관행을 준수합니다. Fortinet은 데이터 개인정보 보호 및 보안에 전념하며, 이러한 노력은 회사 사업 운영의 모든 측면과 제품 개발, 제조, 유통의 모든 단계에 반영되어 있습니다.

정보 보안 프로그램: Fortinet의 정보 보안 프로그램은 ISO 27001/2, ISO 27017 및 27018, NIST 800-53을 비롯한 업계 최고의 보안 표준과 프레임워크는 물론 GDPR 및 CCPA와 같은 데이터 개인정보 보호 규정을 준수하도록 개발되었습니다.

타사 인증: Fortinet 제품은 NIST FIPS 140-2 및 NIAP Common Criteria NDcPP/EAL4+를 포함한 타사 제품 품질 표준을 통해 정기적으로 인증 및 검증을 받습니다.

또한, Fortinet의 제품 보안 사고 대응팀(PSIRT)은 Fortinet 제품의 보안 표준을 유지 관리하는 업무를 담당하고 있으며, 사전 예방적이고 투명한 취약성 공개를 포함하여 업계에서 가장 강력한 PSIRT 프로그램 중 하나를 운영하고 있습니다. 2023년에 발견된 Fortinet 취약점의 약 80%는 회사의 엄격한 내부 테스트 과정을 통해 식별되었습니다. 이러한 사전 예방적 접근 방식은 Fortinet이 맬웨어 악용이 발생하기 전에 수정 프로그램을 개발하고 배포하는 데 도움이 됩니다. Fortinet은 또한 고객, 독립 보안 ​​연구원, 컨설턴트, 업계 조직 및 기타 공급업체와 긴밀히 협력하여 최고의 보안 사고 대응 역량을 보장합니다.

철저한 투명성과 책임 있는 사업 행위 문화에 대한 당사의 헌신을 더욱 강화하고자, Fortinet은 당사의 사명에 부합하는 공공 및 민간 파트너와 장기적인 파트너십을 유지하고 있습니다.

판 민