Fortinet підтверджує свою відданість високому рівню безпеки для організацій та бізнесу

На щорічній конференції RSA 2024 з кібербезпеки, технологій безпеки та захисту даних, що нещодавно відбулася в США, компанія Fortinet підтвердила своє прагнення стати прозорим та відповідальним підрозділом безпеки, ставши піонером у підписанні зобов'язання дотримуватися правил «Безпека за проектом», розроблених Агентством з кібербезпеки та безпеки інфраструктури США (CISA).

Це добровільне галузеве зобов'язання базується на існуючих передових практиках Fortinet у сфері безпеки програмного забезпечення, а також на практиках, розроблених CISA, Національним інститутом стандартів і технологій (NIST), іншими федеральними агентствами США, а також галузевими та міжнародними партнерами. Зобов'язання окреслює цілі, зокрема політику відповідального розкриття інформації про вразливості, яка вже є невід'ємною частиною процесу розробки безпеки продуктів Fortinet.

Найновіша ініціатива CISA відповідає існуючим процесам розробки продуктів Fortinet, що базуються на принципах безпеки за проектом та безпеки за замовчуванням. Fortinet прагне суворо контролювати безпеку продукту на всіх етапах життєвого циклу розробки продукту, допомагаючи забезпечити безпеку, встановлену в кожному продукті від початку до кінця, наступним чином.

Безпечний життєвий цикл розробки продукту (SPDLC): Fortinet узгоджує свої процеси з провідними стандартами, включаючи NIST 800-53, NIST 800-161, NIST 800-218, US EO 14028 та Закон про безпеку телекомунікацій Великобританії.

Ретельне тестування продуктів безпеки: Fortinet використовує такі інструменти та методи, як статичне тестування безпеки додатків (SAST) та аналіз складу програмного забезпечення, інтегровані в процес збірки, динамічне тестування безпеки додатків (DAST), сканування вразливостей та фаззинг перед кожним релізом, а також тестування на проникнення та ручна перевірка коду.

Надійні постачальники: Щоб забезпечити ретельний відбір і точну кваліфікацію ключових партнерів-виробників, Fortinet дотримується NIST 800-161: Практики управління ризиками кібербезпеки ланцюжка поставок для систем та організацій. Відданість Fortinet конфіденційності та безпеці даних очевидна в кожному аспекті бізнес-операцій компанії та на кожному етапі розробки, виробництва та розповсюдження продукції.

Програма інформаційної безпеки: Програма інформаційної безпеки Fortinet розроблена та відповідає провідним галузевим стандартам і структурам безпеки, включаючи ISO 27001/2, ISO 27017 та 27018, а також NIST 800-53, а також нормам конфіденційності даних, таким як GDPR та CCPA.

Сертифікація третіх сторін: Продукція Fortinet регулярно сертифікується та перевіряється відповідно до стандартів якості продукції третіх сторін, включаючи NIST FIPS 140-2 та NIAP Common Criteria NDcPP / EAL4+.

Крім того, Команда реагування на інциденти безпеки продуктів Fortinet (PSIRT) відповідає за підтримку стандартів безпеки продуктів Fortinet та керує однією з найсильніших програм PSIRT у галузі, включаючи проактивне та прозоре розкриття інформації про вразливості. Майже 80% вразливостей Fortinet, виявлених у 2023 році, були виявлені завдяки ретельному внутрішньому процесу тестування компанії. Такий проактивний підхід дозволяє Fortinet розробляти та розгортати виправлення до того, як може статися зловмисне використання. Fortinet також тісно співпрацює з клієнтами, незалежними дослідниками безпеки, консультантами, галузевими організаціями та іншими постачальниками, щоб забезпечити найкращі у своєму класі можливості реагування на інциденти безпеки.

Щоб ще більше посилити свою відданість культурі радикальної прозорості та відповідальної ділової поведінки, Fortinet підтримує довгострокові партнерські відносини з державними та приватними партнерами, що відповідають місії компанії.

Фан Мінь