На ежегодной конференции RSA 2024 по кибербезопасности, технологиям безопасности и защите данных, которая недавно прошла в США, компания Fortinet подтвердила свое стремление стать прозрачным и ответственным подразделением безопасности, впервые подписав обязательство соблюдать правила Security by Design, разработанные Агентством по кибербезопасности и безопасности инфраструктуры США (CISA).

Это добровольное обязательство перед отраслью безопасности, которое основывается на передовых практиках обеспечения безопасности программного обеспечения Fortinet, а также на практиках, разработанных CISA, Национальным институтом стандартов и технологий (NIST), другими федеральными агентствами США, а также отраслевыми и международными партнерами. В обязательстве изложены цели, включая политику ответственного раскрытия уязвимостей, которые являются неотъемлемой частью процесса разработки безопасности продуктов Fortinet.

Последняя инициатива CISA соответствует существующим процессам разработки продуктов Fortinet, основанным на принципах «безопасности по умолчанию» и «безопасности по проекту». Fortinet стремится осуществлять строгий надзор за безопасностью продукции на всех этапах жизненного цикла разработки продукта, помогая гарантировать, что безопасность заложена в каждый продукт от начала до конца, следующими способами.

Безопасный жизненный цикл разработки продукта (SPDLC): Fortinet приводит свои процессы в соответствие с ведущими стандартами, включая NIST 800-53, NIST 800-161, NIST 800-218, US EO 14028 и Закон Великобритании о безопасности телекоммуникаций.

Строгое тестирование безопасности продукта: Fortinet использует такие инструменты и методы, как статическое тестирование безопасности приложений (SAST) и анализ состава программного обеспечения, интегрированные в процесс сборки, динамическое тестирование безопасности приложений (DAST), сканирование уязвимостей и фаззинг перед каждым выпуском, а также тестирование на проникновение и ручная проверка кода.

Надежные поставщики: для обеспечения строгого отбора и точной оценки возможностей ключевых производственных партнеров Fortinet придерживается стандарта NIST 800-161: Методы управления рисками в цепочке поставок кибербезопасности для систем и организаций. Приверженность Fortinet принципам конфиденциальности и безопасности данных находит свое отражение в каждом аспекте деятельности компании и на каждом этапе разработки, производства и распространения продукции.

Программа информационной безопасности: Программа информационной безопасности Fortinet разработана и соответствует ведущим в отрасли стандартам и фреймворкам безопасности, включая ISO 27001/2, ISO 27017 и 27018 и NIST 800-53, а также правилам конфиденциальности данных, таким как GDPR и CCPA.

Сертификация сторонних организаций: продукция Fortinet регулярно сертифицируется и проверяется на соответствие сторонним стандартам качества продукции, включая NIST FIPS 140-2 и NIAP Common Criteria NDcPP / EAL4+.

Кроме того, группа реагирования на инциденты безопасности продуктов Fortinet (PSIRT) отвечает за поддержание стандартов безопасности продуктов Fortinet и реализует одну из самых надежных программ PSIRT в отрасли, включая упреждающее и прозрачное раскрытие информации об уязвимостях. Почти 80% уязвимостей Fortinet, обнаруженных в 2023 году, были выявлены в ходе тщательного внутреннего тестирования компании. Такой проактивный подход помогает Fortinet разрабатывать и внедрять исправления до того, как произойдет эксплуатация вредоносного ПО. Fortinet также тесно сотрудничает с клиентами, независимыми исследователями в области безопасности, консультантами, отраслевыми организациями и другими поставщиками для обеспечения наилучших возможностей реагирования на инциденты безопасности.

Чтобы еще больше укрепить нашу приверженность культуре радикальной прозрачности и ответственного делового поведения, Fortinet поддерживает долгосрочные партнерские отношения с государственными и частными партнерами, которые соответствуют нашей миссии.

Фан Минь