介绍
该指南将提高组织对供应链安全的认识,并通过持续采用良好实践,帮助提高这方面的能力基线水平。虽然有益,但本指南并不是为具有国家安全(高保证)要求的组织编写的。
大多数组织依赖供应商来提供产品、系统和服务。您自己可能有许多供应商,这就是我们开展业务的方式。
但是,供应链可能庞大且复杂,涉及许多供应商做许多不同的事情。有效保护供应链可能很困难,因为漏洞可能是固有的,也可能在供应链的任何一点引入和利用。脆弱的供应链可能会造成损害和中断。
尽管存在这些风险,许多公司还是忽视了自己的供应链。事实上,根据 2023年安全漏洞调查,很少有英国企业为其供应商设定最低安全标准。
一系列针对公司的高调、极具破坏性的攻击表明,攻击者既有意图也有能力利用供应链安全中的漏洞。这种趋势是真实存在的,而且还在不断增长。因此,采取行动的必要性是显而易见的。
这些原则分为四个不同的阶段
-
一、了解风险
前三个原则涉及信息收集阶段。
-
二. 建立控制
本节的原则将帮助您获得并保持对供应链的控制。
-
三.检查你的安排
企业需要对其建立供应链控制的方法充满信心。
-
四.连续的提高
随着您的供应链的发展,您需要不断改进和维护安全性。
一、了解风险
前三个原则涉及信息收集阶段。
在您对供应链有清晰的了解之前,很难对其建立任何有意义的控制。您需要投入适当的努力和资源来实现这一目标。
1. 了解需要保护的内容以及原因
你应该知道:
-
已出租或将要出租的合同的敏感性。
-
作为合同的一部分,供应商持有、将持有、有权访问或处理的您的信息或资产的价值。
考虑一下您需要供应商为您的资产和信息提供的保护级别,以及他们作为合同的一部分向您提供的产品或服务。
2. 了解供应商是谁并了解他们的安全状况
你应该知道:
-
你的供应商是谁。您需要考虑您需要在供应链中走多远才能获得对供应商的理解和信心。
您可能必须依赖您的直接供应商提供有关分包商的信息,并且可能需要一些时间才能确定您的供应链的完整范围。
- 供应商当前安全安排的成熟度和有效性。 例如,您可以使用 CPNI 人员安全成熟度模型 来评估供应商人员安全安排的成熟度。
- 您要求直接供应商提供哪些安全保护,以及他们又要求任何分包商提供哪些安全保护:
- 确定您的供应商及其分包商是否满足了他们要求的安全要求。
- 了解您的供应商对您的系统、场所和信息拥有哪些访问权限(物理和逻辑)以及您将如何控制它们。
- 了解您的直接供应商如何控制他们雇用的任何分包商对您的信息和/或资产(包括系统和场所)的访问和使用。
您应该将这一领域的工作重点放在供应商业务或系统中用于处理您的合同信息或交付合同产品或服务的部分。
3.了解供应链带来的安全风险
评估这些安排对您的信息或资产、要交付的产品或服务以及更广泛的供应链带来的风险。
风险来源
供应链的风险有多种形式。例如,供应商可能无法充分保护其系统,可能存在恶意内部人员,或者供应商的员工可能无法正确处理或管理您的信息。
可能是您没有很好地传达您的安全需求,因此供应商做了错误的事情,或者供应商可能故意通过恶意行为破坏您的系统(这可能会受到国家安全应用程序的影响)。
使用尽可能最好的信息来了解这些安全风险。例如:
- 常见网络攻击 - 减少影响
- 内幕数据收集报告
- 内部风险评估
- CPNI 员工风险整体管理 (HomeER)。
这里还提供了对供应链的四种已知网络攻击(第三方软件提供商、网站建设者、第三方数据存储和水坑攻击)的描述 。您还应该留意 NCSC 和 CPNI 发布的常规威胁通报。
采取正确的缓解措施
了解与供应链相关的风险是确保安全措施和缓解措施相称、有效且响应迅速的关键。更多信息请参阅 风险指南 - 首次投放 和 CPNI 操作要求。
利用这种理解来决定您期望供应链中的供应商为任何合同信息以及合同产品或服务提供的适当保护级别。
行动计划
根据以下考虑因素,将不同的工作、合同或供应商分为不同的风险状况可能会很有用:任何损失、损坏或中断对您的运营的影响,可能威胁的能力,它们所提供的服务的性质。他们提供的信息、他们正在处理的信息的类型和敏感性等。每个配置文件都需要略有不同的处理和处理,以反映您对相关风险的看法。这可能会使事情更容易管理和控制。
二. 建立控制
本节的原则将帮助您获得并保持对供应链的控制。
一旦您更好地控制供应链,您将能够分析其战略风险。例如:
- 找出那些持续无法满足您的安全和性能期望的供应商。
- 识别关键资产以及对单一供应商的过度依赖。这将帮助您在规划中建立更多的多样性和冗余性。
4. 向供应商传达对安全需求的看法
确保您的供应商了解他们有责任为您的合同信息以及合同产品和服务提供适当的保护,以及不这样做的影响。
确保您的供应商遵守其安全责任,并在他们签订的任何分包合同中包含任何相关的安全要求。
您应该决定是否愿意允许您的供应商进行分包并适当授权这样做。
向您的供应商提供关于此类决策所使用的标准的明确指导(例如,他们可以在很少/没有追索权的情况下签订的合同类型,以及必须始终寻求您事先批准和签署的合同类型)。
5. 为供应商设定并传达最低安全要求
您应该为供应商设定合理、相称且可实现的最低安全要求。
确保这些要求反映您对安全风险的评估,但也要考虑供应商安全安排的成熟度及其交付您打算设定的要求的能力。
确定不适宜期望供应商满足最低安全要求的情况也可能是明智的。例如,这可能仅与那些只需要临时或偶尔访问有限和特定数据和/或访问您的场所的供应商相关。
您应该记录这些注意事项,并就您打算采取的管理这些业务的步骤提供指导。这种方法可以帮助减少您的工作量,并避免为这些各方带来额外的、不必要的工作。
具体情况具体分析
考虑根据与不同类型的合同相关的风险,为不同类型的合同设置不同的保护要求 - 避免强迫所有供应商提供同一组安全要求的情况,而这样做可能不相称或不合理。
向您的供应商解释这些要求的理由,以便他们了解他们的要求。
在您与供应商签订的合同中包含您的最低安全要求,此外,要求您的供应商将这些要求传递给他们可能拥有的任何分包商。
四个案例研究 - 设定最低标准
根据您对供应链中安全风险的看法和理解,您可以设定哪些最低安全要求?
最低安全要求将根据具体情况而有所不同。为了帮助阐明如何设置最低要求,我们提供了四个案例研究来说明可以采取的不同方法。
这些要求不一定是累积的,但您可以为解决一个用例而实施的措施可以重复用于其他用例。案例研究还提出了不同的保证方法,可用于增强对一系列不同风险管理的信心。
保护您与供应商共享的信息
您必须保护与供应商共享的信息免遭任何未经授权的访问、修改或删除,这可能会导致您的组织及其业务中断。
例子
一名 IT 承包商出售从一家航空公司偷来的计算机来偿还债务,其中包含商业和军事飞行计划的详细信息。
供应商有一个未完全修补的遗留应用程序,但托管了来自客户的一些敏感信息。
你应该:
- 考虑要求供应商使用 Cyber Essentials 作为基准保护级别。它显着减少了最常见的基于互联网的威胁(黑客攻击和网络钓鱼1)的漏洞。所有政府供应商都必须证明他们将如何实现五项技术控制。如果这种程度的承诺不现实,新的 网络安全小型企业指南 可能会为供应商提供一种更可行的方式来开始提高其弹性。
- 如果需要更大的保证,并且您希望供应商能够自信地识别其系统上存在的任何潜在攻击者,则要求供应商了解其系统、实施安全监控并开发事件响应能力。
- 为了防范更广泛的攻击,要求供应商实施整体安全方法,遵循 网络安全 10 个步骤、ISO27001(或类似标准)。
- 在适当的情况下,需要人员、物理和程序控制,以防止欺诈、盗窃和内部威胁。 所有从事合同工作的员工都应按照内阁办公室基线保护安全标准 (BPSS) 概述的原则进行筛选,并根据该职位的需要添加额外的检查(例如财务检查)。
- 要求实施 ICO 指南 来保护和离岸个人信息,其中个人信息作为合同的一部分进行存储、处理或处理。
- 如果供应商使用基于云的服务,您应该了解不可能将保护信息的全部责任或义务转移给该服务的提供商。在任何情况下都是如此。保护信息、系统和服务的安全要求应反映在您与供应商签订的合同和服务协议中,并应告知他们关于如何部署和交付云服务的选择。对于 HMG 来说, G-Cloud 数字市场提供了一系列可满足您组织需求的服务产品。至少,建议供应商遵循 NCSC 的 云安全原则 来确定其安全需求。
- 如果信息保存在公共数据环境中,无论是否基于云,建议使用 CPNI 网站 https://www.cpni.gov.uk/ 上提供的“公共数据环境指南”进行 审查数字化内置资产和环境。
1 请注意。任何人都可以注册他们的 DMARC/SPF 记录,而且他们应该这么做。向您的主要供应商推荐这些也可能是值得的。
向供应商指定安全要求
您必须确保已向供应商有效指定保护产品或服务所需的安全属性或要求。
例子
供应商正在为您构建数字服务,该服务将处理非常敏感的信息。您没有很好地描述您的安全需求,因此供应商提供的东西无法提供您所需的安全性。
您需要绝对清楚您的安全和功能需求。这些必须向供应商清楚、明确地描述。如果供应商正在交付 IT 系统 - 那么它必须满足已指定的安全要求。例如,网络必需品或您设定的任何其他需求。
此外,您还应该考虑:
- 请注意 Cyber Essentials 等计划覆盖范围内的任何已知差距。
- 需要额外的控制来为要交付的产品或服务提供保证。例如,如果合同涉及新软件工具的开发或组件的制造,您将需要指定供应商遵循这些领域的最佳实践。
- 如果供应链使用协作数字工程系统交付项目或资产/设施管理,此类缓解方法将无效,可在以下位置获得进一步的指导……。https://www.cpni.gov.uk/digital-built-assets-and-environments。
- 在交付云服务时,您应该遵循上面用例 A 中详细说明的指导。
将供应商的系统连接到您的系统
您必须确保与第三方的任何网络连接或数据共享不会引入可能影响业务系统安全的不受管理的漏洞。
对于所有包含与供应商系统的连接的合同来说,这是一个重要的考虑因素。您需要决定供应商如何代表您执行工作。他们会在您的场所还是他们的场所工作?他们需要多少访问权限和连接才能执行此操作?
例子
网络犯罪分子利用用于管理客户环境控制系统的未受保护的供应商连接攻击了一家大型商业公司。这导致大量数据丢失、业务中断以及公司声誉严重受损。
当供应商的系统与系统连接时,您应该:
-
确保您对系统、服务、信息和场所的访问受到限制、控制和监控。对于供应商的人员及其 系统来说都是如此 。应定期审查这些访问权限,并在不再需要时将其删除。
- 如果您希望供应商在您的系统和场所执行合同工作,请确保它们与网络的其他部分适当隔离。 《网络安全 10 个步骤》《网络安全》向 您展示了如何做到这一点。
- 对合同相关信息、合同产品或服务的访问应在“最小特权”的基础上受到限制。
- 采用安全的方式与供应商交换硬拷贝和软拷贝信息。有关硬拷贝交换的指导,请参阅内阁办公室、政府分类方案;有关传输/交换数据的指导,请参阅 网络安全、家庭和移动工作的 10 个步骤。
- 如果组织使用运营技术作为系统的一部分或提供服务,则与其他技术一样,应将其视为“不可信”,并进行相应的管理。
国家安全 - 国家行为者可能会针对您
您必须确信您的供应链安全能够应对国家行为者的攻击和企图颠覆 - 但仅限于您的威胁模型保证的情况下。
例子
一名与一家国防公司签约的保安人员盗窃并试图将详细介绍用于保护英国和北约船只的电子战系统的文件出售给外国情报机构。
在此类国家安全案件中,您需要向 NCSC 和 CPNI 寻求专业建议,因为这超出了所提供指导的范围。
事项可能包括:
- 采用定制的安全方法。
- 使用高保证产品,并改进人员和物理安全安排。
- 制造或构建过程中可能出现的漏洞。
- 保护订约伙伴及其采购活动的隐私和身份的其他措施。
6. 将安全考虑纳入签约流程中,并要求供应商也这样做
将安全考虑纳入您的正常签约流程中。这将帮助您管理整个合同的安全性,包括终止和将服务转移给其他供应商。
证据
要求潜在供应商提供证据证明其安全方法以及满足 您在合同竞争的不同阶段设定的最低安全要求的能力。
提供支持
制定适当的支持指南、工具和流程,使您和您的供应商能够在各个层面上有效管理供应链。
你应该:
- 确保您在合同中构建的安全考虑因素是相称的,并且与合同流程的各个阶段保持一致。
- 要求在合同中采用它们并对所有各方进行使用培训。
- 检查您的支持指南、工具和流程是否在整个供应链中得到使用。
- 要求按适当的时间间隔续签合同,同时要求重新评估相关风险。
- 寻求确保您的供应商理解并支持您的安全方法,并且仅要求他们在支持供应链安全风险管理所需的情况下采取行动或提供信息。
- 确保合同明确规定供应商在合同终止或转让时返还和删除您的信息和资产的具体要求。
7. 作为供应商和消费者履行自己的安全责任
确保您作为供应商执行并满足对您的任何要求。
提供向上报告并将安全要求向下传递给分包商。
欢迎您的客户可能进行的任何审核干预,告诉他们您遇到的任何问题,并积极与他们合作进行改进。
如果没有提供涵盖客户安全需求的指导,请向客户提出质疑,并确保他们对您正在采取的措施感到满意。
8. 提高供应链内的安全意识
使用供应商可以理解的语言向他们解释安全风险。鼓励他们确保关键员工(例如采购、安全、营销)接受培训并了解这些风险,以及帮助管理这些风险的责任。
设立目标
为适当的员工建立供应链安全意识和教育。 NCSC 和 CPNI 意识材料 可能有用。
信息共享
促进并采用整个供应链的安全信息共享,以便更好地理解和预测新出现的安全攻击。网络 安全信息共享合作伙伴关系 (CiSP) 是免费网络安全信息共享服务的一个很好的例子。
9. 为安全事件提供支持
虽然期望您的供应商根据合同管理安全风险是合理的,但您应该准备好在安全事件可能影响您的业务或更广泛的供应链时提供必要的支持和帮助。
明确要求
您应该在合同中明确规定管理和报告安全事件的要求。
这些应明确供应商就此类事件向您提供建议的责任 - 报告时间表、向谁报告等。供应商还应明确如果发生事件,他们可以期望从您那里获得哪些支持 - 所需的“清理”行动、造成的损失等。
GDPR 规定向信息专员通报任何事件的时间范围相当短,因此您和您的供应链需要为此做好准备。
传播经验教训
如果从安全事件中吸取了教训,请将这些教训传达给所有供应商,以帮助他们成为“已知且可管理”攻击的受害者。
三.检查你的安排
企业需要对其建立供应链控制的方法充满信心。
10. 将保证活动纳入供应链管理
-
通过合同,要求对供应链安全至关重要的供应商提供安全绩效向上报告,并遵守任何风险管理政策和流程。
- 将“审计权”纳入所有合同并予以行使。要求您的供应商对其与您的合同和组织相关的任何合同执行相同的操作。(请注意,这可能并不总是可行或理想的,特别是在与云服务相关的情况下)。
- 在合理的情况下,将 Cyber Essentials Plus、渗透测试、外部审计或正式安全认证等保证要求构建到您的 安全要求中。
- 建立关键绩效指标来衡量供应链安全管理实践的绩效。
- 审查任何发现和吸取的教训并采取行动。
- 鼓励供应商提倡 良好的安全行为。
四.连续的提高
随着您的供应链的发展,您需要不断改进和维护安全性。
11. 鼓励持续改进供应链内的安全性
- 鼓励您的供应商继续改进他们的安全安排,强调这如何使他们能够与您竞争并赢得未来的合同。这也将帮助您扩大供应链并选择潜在供应商。
- 当供应商寻求进行这些改进时,为他们提供建议和支持。
- 避免对此类改进造成不必要的障碍:承认并准备承认他们可能拥有的任何现有安全实践或认证,这些实践或认证可以证明他们如何满足您的最低安全要求。
- 给您的供应商留出时间来实现安全改进,但要求他们向您提供时间表和计划,以证明他们打算如何实现这些目标。
- 倾听并采取行动解决通过绩效监控、事件或供应商向上报告所强调的任何问题,这些问题可能表明当前的方法没有按计划有效。
12. 与供应商建立信任
- 寻求与主要供应商建立战略合作伙伴关系,与他们分享问题,鼓励并重视他们的意见。获得他们对您的供应链安全方法的认可,以便该方法能够考虑到他们的需求以及您自己的需求。
- 让他们为您管理分包商,但要求他们向您提供适当的报告以确认这些关系的状态。
- 与供应商保持持续有效的沟通。
- 将供应链管理视为一个共同问题。
原文始发于微信公众号(祺印说信安):网络安全知识:英国供应链安全指导12原则
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论