确保国防部(Mod)符合适当的网络安全标准的所有供应商是国家网络安全策略的一个关键要求,该策略显示它具有顶级买入,这是MOD的一部分的菲尔布鲁登国防网络保护合作伙伴关系(DCPP),2013年成立。
“Mod的供应链包括材料制造商,基础设施提供商和产品制造商等各种组织,但网络威胁对供应链是真实的,国家网络安全战略认识到,”他告诉2018年公共部门ICT峰会。
DCPP成员包括顶级国防供应商;广告贸易组织代表小于中型企业(中小企业)的防御;国家网络安全中心(NCSC);文化部,媒体和运动(DCMS);和Mod的商业和国防设备和支持组织。
Blunden,Blunden,通过在高调的组织(如美国零售链目标)等违规行为中,供应链网络安全的重要性强调了许多次。
在2013年的目标违约期间,攻击者损害了匹兹堡的加热,通风和空调(HVAC)承包商,这些承包商与目标系统相连,以提供电子结算服务,合同提交和项目管理服务。
作为与行业合作的一部分,MOD已经确定了许多必须满足的网络安全标准,这些标准必须与MOD结合,这些标准在网络安全模型(CSM)中概述的基于风险的控制旨在保护供应链的控制。
CSM建立在Government的Cyber Essentials方案上,该方案旨在通过防火墙,恶意软件保护,补丁管理,用户访问控制和安全配置确保基本的网络卫生。
这意味着任何组织竞标符合网络要素或其他行业标准等ISO27001等行业标准的竞标将不得不进行相对较少的工作来满足CSM供应链安全标准。
“我们要求的是等效的控制,以避免国防承包商必须遵守30种不同的标准,这些标准有效地做到同样的事情,”布卢登说。
目的是确保所有供应商都了解他们的网络风险,实施适当的网络防御,在不妨碍业务的情况下满足最低网络安全标准,并分享最佳实践。
虽然所评估的供应商不需要或非常低的风险来遵守基本的网络要素要求,但低风险供应商必须符合网络要点和一些额外的控制,而中等和高风险的组织必须符合更多的额外控制。
超过一半的Mod合约属于NO或非常低的风险类别,33%的评估为低风险,而只有7%的评估为中等风险和4%的风险。
“CSM基本上概述了供应商MOD希望他们如何照顾任何Mod识别信息,并且我们提供ASupplier保证问卷,使供应商能够评估他们是否满足要求并确定任何潜在的差距,”Blunden表示即使他们没有为MOD合同竞标也可以自由地进行。
最初从2014年10月1日开始为MOD供应商引入的要求,但2017年10月的要求将扩大,包括供应链中的所有其他组织,包括所有子承包商及其子承包商,无论位置还是国籍。
“我们首次能够映射供应链,看看不同程度的风险程度以及对此有何接受的风险,”布鲁登说。
为了确保该过程中的透明度,并在国防行业中提高网络安全水平,他表示,MOD在线发布所有合同的风险概况,供应商可以出价,以及所需的所有网络控制和支持文档帮助公司 - 特别是中小企业 - 识别和填补任何潜在的差距。
展望未来,Blunden表示,DCPP计划增加与中小企业的接触,但他说这是挑战的,因为是潜在供应商到MOD的中小企业的庞大,直到“小部件制造商”。
“至少,我试图通过展示良好的网络卫生帮助他们保持竞争力,使他们能够获得其投标,帮助保护他们的知识产权,并有助于确保他们的关键供应商有助于保护他们的知识产权他说,没有被网络犯罪活动扰乱。“
为了实现与中小企业的更大接触,布鲁德表示,他正在努力加深与广告贸易组织和特殊兴趣集团,科技行业协会Techuk,美国董事会的国防信息系统代理(DISA)的关系(IOD ),小企业联合会(FSB)和各种非营利组织。
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。