Biztonságos termékek és szolgáltatások beszerzése – ajánlás
Mivel egyre több kiberfenyegetés veszélyezteti a felhasználók magánéletét és adatait, a szervezeteknek biztosítaniuk kell, hogy következetesen biztonságos és ellenőrizhető technológiákat válasszanak. Az érintett szervezet felelőssége a digitális termék vagy szolgáltatás beszerzésével és működtetésével kapcsolatos alkalmasság, biztonság és kockázatok értékelése. Fontos azonban, hogy a szervezetek egyre inkább megköveteljék a gyártóktól, hogy olyan termékeket és szolgáltatásokat fogadjanak el és nyújtsanak, amelyek már a tervezéskor (secure-by-design) és alapértelmezés szerint (secure-by-default) is biztonságosak. Ily módon a szervezetek növelhetik ellenálló képességüket, csökkenthetik kockázataikat, és csökkenthetik a javításokkal és az incidensek elhárításával kapcsolatos költségeket.
Amikor egy szervezet eldönti, hogy digitális terméket vagy szolgáltatást kell beszereznie, mérlegelnie kell, hogy a termék vagy szolgáltatás biztonságos-e, és hogy a biztonságot a meghatározott életciklusa során fenntartják-e. A nem megfelelő vagy rossz biztonság megnövekedett és esetleg kezelhetetlen kockázatoknak és magasabb működési költségeknek teheti ki a szervezeteket. A biztonsági megfontolások proaktív beépítése a beszerzési folyamatba segíthet a kockázatok kezelésében és jelentős mérséklésében, valamint a költségek csökkentésében.
Az Ausztrál Signals Directorate Kiberbiztonsági Központja (ASD ACSC), az amerikai Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA), a Kanadai Kiberbiztonsági Központ (CCCS), az Egyesült Királyság Nemzeti Kiberbiztonsági Központja (NCSC-UK), Új-Zéland Nemzeti Kiberbiztonsági Központja (NCSC-NZ) és a Koreai Köztársaság Nemzeti Hírszerző Szolgálata (NIS) és a NIS Nemzeti Kiberbiztonsági Központja (NCSC) által kiadott útmutató ajánlásokat tesz a biztonságos és ellenőrizhető technológiák kiválasztásához.
A kockázatok megértése – Bármilyen digitális termék vagy szolgáltatás beszerzése növeli a szervezet információs környezetének támadási felületét. A szervezetek számára létfontosságú, hogy megértsék a fenyegetettségi környezetet és a lehetséges ellátási láncbeli támadási vektorokat, hogy a beszerzés előtti és utáni kockázatkezeléssel azonosítani és kezelni tudják a kockázatokat.
Külső beszerzési megfontolások – Egy gyártó és termék- vagy szolgáltatás értékelésekor a beszerző szervezeteknek két lépcsős megközelítést kell követniük: a beszerzés előtti és a beszerzés utáni időszakot. Ez a megközelítés a technológia alapszintű biztonságát és a biztonság fenntartásának valószínűségét értékeli az életciklusa során.
Belső beszerzési megfontolások – Amikor a szervezetek terméket vagy szolgáltatást szereznek be, a gyártó értékelése mellett a szervezetnek értékelnie kell a saját belső irányelveit, eljárásait és gyakorlatát is. Ez az értékelés három szakaszban végezhető: a beszerzés előtti, a szolgáltatásba való átmenet és az üzemeltetés szakaszában.
