Fortinet подтверждает свою приверженность высокому уровню безопасности для организаций и предприятий

На ежегодной конференции RSA 2024 по кибербезопасности, технологиям безопасности и защите данных, недавно прошедшей в США, компания Fortinet подтвердила свое стремление стать прозрачным и ответственным подразделением безопасности, впервые подписав обязательство соблюдать правила Security by Design, разработанные Агентством США по кибербезопасности и безопасности инфраструктуры (CISA).

Это добровольное обязательство перед индустрией безопасности основано на передовых практиках Fortinet в области безопасности программного обеспечения, а также на практиках, разработанных CISA, Национальным институтом стандартов и технологий (NIST), другими федеральными агентствами США, а также отраслевыми и международными партнёрами. В обязательстве обозначены цели, включая политику ответственного раскрытия информации об уязвимостях, которые уже являются неотъемлемой частью процесса разработки безопасности продуктов Fortinet.

Последняя инициатива CISA согласуется с существующими процессами разработки продуктов Fortinet, основанными на принципах «безопасности по умолчанию» и «безопасности при проектировании». Fortinet стремится осуществлять строгий контроль безопасности продуктов на всех этапах их разработки, обеспечивая полную безопасность каждого продукта от начала до конца, используя следующие методы.

Безопасный жизненный цикл разработки продукта (SPDLC): Fortinet приводит свои процессы в соответствие с ведущими стандартами, включая NIST 800-53, NIST 800-161, NIST 800-218, US EO 14028 и Закон Великобритании о безопасности телекоммуникаций.

Строгое тестирование безопасности продукта: Fortinet использует такие инструменты и методы, как статическое тестирование безопасности приложений (SAST) и анализ состава программного обеспечения, интегрированные в процесс сборки, динамическое тестирование безопасности приложений (DAST), сканирование уязвимостей и фаззинг перед каждым выпуском, а также тестирование на проникновение и ручная проверка кода.

Надёжные поставщики: Для обеспечения строгого отбора и точной квалификации ключевых партнёров-производителей Fortinet придерживается стандарта NIST 800-161: «Практики управления рисками кибербезопасности в цепочке поставок для систем и организаций». Приверженность Fortinet принципам конфиденциальности и безопасности данных очевидна во всех аспектах деятельности компании, на каждом этапе разработки, производства и дистрибуции продукции.

Программа информационной безопасности: программа информационной безопасности Fortinet разработана и соответствует ведущим отраслевым стандартам и нормам безопасности, включая ISO 27001/2, ISO 27017 и 27018, а также NIST 800-53, а также нормам конфиденциальности данных, таким как GDPR и CCPA.

Сертификация сторонних организаций: продукты Fortinet регулярно сертифицируются и проверяются на соответствие стандартам качества сторонних организаций, включая NIST FIPS 140-2 и NIAP Common Criteria NDcPP/EAL4+.

Кроме того, группа реагирования на инциденты безопасности продуктов Fortinet (PSIRT) отвечает за поддержание стандартов безопасности продуктов Fortinet и реализует одну из самых эффективных программ PSIRT в отрасли, включая проактивное и прозрачное раскрытие информации об уязвимостях. Почти 80% уязвимостей Fortinet, обнаруженных в 2023 году, были выявлены в ходе тщательного внутреннего тестирования компании. Этот проактивный подход позволяет Fortinet разрабатывать и внедрять исправления до того, как злоумышленники смогут их эксплуатировать. Fortinet также тесно сотрудничает с клиентами, независимыми исследователями безопасности, консультантами, отраслевыми организациями и другими поставщиками, чтобы обеспечить лучшие в своем классе возможности реагирования на инциденты безопасности.

Чтобы еще больше укрепить нашу приверженность культуре радикальной прозрачности и ответственного ведения бизнеса, Fortinet поддерживает долгосрочные партнерские отношения с государственными и частными партнерами, которые соответствуют нашей миссии.

Фан Минь