Lazarus Alliance proaktive cybersikkerhets-, akkrediterings- og NIST-vurderingstjenester.

Ocuco Secure Software Development Framework (SSDF) er definert i NIST Special Publication (SP) 800-218. Det er et sett med beste praksis på høyt nivå, resultatbasert, for å integrere sikkerhet i alle trinn av programvareutviklingslivssyklusen (SDLC). Den er organisert rundt fire hovedpraksisgrupper:

  • Forbered organisasjonen (PO) – Etablere styring, risikostyring, opplæring og prosesser.
  • Beskytt programvaren (PS) – Sikre utviklingsmiljøet, verktøyene og forsyningskjeden.
  • Produser godt sikret programvare (PW) – Implementer sikre design-, koding-, test- og gjennomgangspraksiser.
  • Svar på sårbarheter (RV) – Identifisere, rapportere og utbedre sårbarheter effektivt.

Målet er å redusere antallet og alvorlighetsgraden av sårbarheter i programvare før den lanseres, spesielt i programvarens forsyningskjede.

Hva innebærer egentlig en «SSDF-revisjon»?

Det er ingen formell NIST-sertifisering eller obligatorisk «SSDF-revisjon» som en SOC 2- eller ISO-revisjon. I stedet brukes ofte begrepet «SSDF-revisjon» for å beskrive:

  1. Intern selvvurdering – En organisasjon gjennomgår sin egen SDLC mot SSDF-praksis (ofte ved hjelp av SSDF-tabellen eller kartleggingsverktøy) for å identifisere hull og utarbeide bevis.

  2. Tredjepartsvurdering – En kvalifisert uavhengig vurderingsperson (ofte en FedRAMP-autorisert tredjepartsvurderingsorganisasjon, eller 3PAO) gjennomgår dokumentasjon, prosesser, verktøy og bevis på implementering av SSDF. Dette produserer en rapport som støtter formell attestering.

  3. attestasjon – Den nødvendige produksjonen for kontrakter med den amerikanske føderale regjeringen. Programvareprodusenter må sende inn en Attestasjonsskjema for sikker programvareutvikling (publisert av CISA) som erklærer at de følger en spesifikk delmengde av SSDF-praksis. Dette er pålagt av Executive Order 14028 og OMB Memorandum M-22-18 (oppdatert av M-23-16).

    • Egenattestering er grunnlinjen (signert av en leder).
    • Mange organisasjoner velger tredjepartsvurdering + attestasjon for sterkere troverdighet og for å redusere risikoen i henhold til loven om falske krav.

Frister for føderale programvareleverandører var juni/september 2024 (avhengig av om programvaren er «kritisk»).

Hvorfor det betyr noe

  • Føderale kontrakter — Nesten all programvare som selges til amerikanske myndigheter krever nå denne attesteringen.
  • Sikkerhet i forsyningskjeden – Det hjelper organisasjoner med å demonstrere at de reduserer risikoer som kan påvirke nedstrømsbrukere (f.eks. hendelser i SolarWinds-stil).
  • Bredere samsvar — Samsvarer med andre forskrifter (FDAs cybersikkerhet for medisinsk utstyr, EUs lov om cyberrobusthet osv.).

Kort sagt: En SSDF-revisjon er den praktiske prosessen med å sjekke og bevise at programvaren din er bygget sikkert ved hjelp av NIST SSDF-rammeverket, vanligvis slik at du lovlig kan selge til den amerikanske regjeringen eller styrke din generelle sikkerhetsposisjon. Hvis du forbereder deg på en, starter de fleste selskaper med en gapanalyse mot SSDF-praksisene og bestemmer seg deretter mellom egenattestering eller en 3PAO-ledet vurdering.

Grunnleggende SCA-V-revisjonstidslinje med Lazarus Alliance

Revisjonstidslinje: Hva du kan forvente med Lazarus Alliance

(Typisk varighet: 7–9 uker fra oppstart til endelig levering av attestering av sikker programvareutvikling – akselerert med 46 % via Lazarus Alliances Critical Path-metodikk og IT Audit Machine™-plattform.)

For SSDF-tjenester som reduserer kostnader og utnytter den rangerte førsteplassen SSDF NIST 800-218 revisjonsprogramvareplattform, ring +1 (888) 896-7580  å komme i gang. Michael Peters, administrerende direktør og grunnlegger

Med Lazarus Alliance følger en SSDF-revisjon (eller mer presist, et tredjeparts SSDF-vurderings-/attesteringsberedskapsoppdrag) vår standardiserte, effektive prosess og varer i 7–9 uker fra ende til ende for de fleste organisasjoner. Dette er raskere enn tyngre rammeverk som fullstendig NIST 800-53 eller FedRAMP fordi SSDF er resultatbasert og ikke krever samme nivå av formell sertifisering.

Lazarus Alliance følger denne strukturerte 6-faseprosessen for SSDF-engasjementer under NIST SP 800-218-kravene.

Fase Aktiviteter Typisk varighet Viktige leveranser og verktøy
Fase 0 – Forhåndsengasjement og beslutning

Innledende konsultasjon, definer omfang (SSDF praktiserer PO/PS/PW/RV), taushetserklæring, engasjementsbrev og tilgang til arkivet.

 1-2 uker Signert arbeidsplan, prosjektcharter og tilgang til Continuum GRC-portalen
Fase 1 – Oppstart og omfang

Oppstartsmøte + fullstendig gapvurdering av SDLC mot NIST SSDF-praksis. Gjennomgang av styring, verktøy, prosesser og bevis.

 Uke 0–1

Gaprapport, prioritert utbedringsveikart
Fase 2 – Bevisinnsamling og -beredskap

Valgfri støtte for utbedring (hvis det finnes mangler), innsamling/opplasting av bevis til Continuum GRC-portalen, oppdateringer av retningslinjer/prosedyrer.

 Uke 1–4

Komplett bevispakke, oppdatert SSDF-kartlegging
Fase 3 – Vurdering av feltarbeid

Dybdegående gjennomgang av kodepraksis, sikker design/testing, sårbarhetshåndtering, kontroller i forsyningskjeden, intervjuer og gjennomgang av verktøy/konfigurasjoner.

 Uke 4–7

Testresultater, foreløpige funn, sanntidsdashboards
Fase 4 – Rapportering og løsning av funn

Gjennomgang av utkast til rapport, handlingsplan og milepæler (POA&M) om nødvendig, og endelig verifisering av utbedring.

 Uke 7–9

Endelig vurderingsrapport + pakke klar for attestering
Fase 5 – Attestering og kontinuerlig støtte

Utfylling av bekreftelsesskjema for ledere, innsendingsstøtte til CISAs database (eller ditt byrå) og årlig overvåkingsplanlegging.

 Umiddelbart etter godkjenning + pågående

Offisiell SSDF-attesteringspakke, kontinuerlig overvåkingsveikart

Hvorfor klienter blir raskere ferdige med Lazarus Alliance: Vår Proactive Cyber ​​Security®-metodikk, Cybervisor™-plattformen og Continuum GRC-automatisering reduserer vanligvis SSDF-vurderingstiden med 40–50 % sammenlignet med tradisjonelle metoder, samtidig som den leverer resultater av høyere kvalitet som er mer forsvarbare.

Raskeste realistiske tidslinje (godt forberedt kunde med Lazarus Alliance)

~6–8 uker totalt (ved å utnytte full plattformautomatisering og forhåndslastet bevis).

Gjennomsnittlig tidslinje (de fleste organisasjoner)

8–10 uker (inkluderer mindre utbedring).

Lengste vanlige tidslinje

10–12+ uker (komplekse omfang, omfattende pristilbud og vedlikeholdsavtaler eller tilpassede integrasjoner).

Profftips fra Lazarus Alliance: Ta kontakt tidlig med en gratis Cybervisor™-beredskapskonsultasjon (+1-888-896-7580) for å laste opp bevis 2–4 uker før avspark. Metodikken vår legger vekt på kontinuerlig revisjon året rundt for å unngå hastverk ved slutten av syklusen, og sikre vellykket attestering med minimal forstyrrelse.

Lazarus Alliance tilbyr eksperttjenester innen cybersikkerhet, samsvar og risikostyring, inkludert internasjonale revisjoner, føderale vurderinger og IT-styringsløsninger, og sikrer at bedrifter oppnår robust sikkerhet og samsvar med regelverk.

Ofte Stilte Spørsmål

Enhver organisasjon som utvikler, selger eller leverer programvare til den amerikanske føderale regjeringen må fremlegge en SSDF-bekreftelse i henhold til Executive Order 14028 og OMB Memoranda M-22-18/M-23-16. Dette kravet gjelder både kommersielle standardprodukter (COTS) og spesialutviklede løsninger. Mange hovedleverandører viderefører også dette kravet til underleverandører.

De fleste kunder fullfører hele oppdraget i løpet av 4–8 uker fra oppstart til endelig rapport. Godt forberedte organisasjoner kan fullføre på så lite som 4–6 uker. Vår proprietære Continuum GRC IT Audit Machine™-plattform og forhåndsbygde SSDF-maler akselererer innsamling og gjennomgang av bevis dramatisk.

Lazarus Alliance spesialiserer seg på uavhengige tredjeparts SSDF-vurderinger. Selv om vi kan støtte egenattestering, velger de fleste av våre kunder en fullstendig tredjepartsvurdering fordi den har betydelig større vekt hos føderale etater, kontraktsførere og hovedleverandører.

Ja. Lazarus Alliance er en erfaren A2LA-akkreditert leverandør av samsvarsregler med dyp ekspertise innen føderale krav til cybersikkerhet. Våre SSDF-vurderingspakker er spesielt utviklet for å møte eller overgå forventningene til CISA, føderale kontraktsansvarlige og hovedleverandører.

Vi gjennomgår retningslinjer, prosedyrer, opplæringslogger, standarder for sikker koding, prosesser for kodegjennomgang og testing, arbeidsflyter for sårbarhetshåndtering, praksis for programvareliste (SBOM) og verktøykonfigurasjoner. Du vil motta en skreddersydd liste over forespørsler om bevis ved starten av oppdraget, slik at ingenting er overlatt til gjetting.

Vår velprøvde prosess inkluderer en detaljert gap-analyse, innsamling og gjennomgang av bevis, intervjuer med utviklings- og sikkerhetsteamene dine, undersøkelse av verktøy, pipelines og forsyningskjedekontroller, pluss en omfattende sluttrapport med eventuell nødvendig utbedringsstrategi.

Ja. Vi tilbyr en valgfri utbedrings- og klargjøringsfase. Mange organisasjoner bruker dette trinnet for å lukke identifiserte mangler raskt, slik at de kan oppnå et rent vurderingsresultat og sende inn attestasjonen sin uten åpne funn.

Kvalifikasjoner du kan stole på

American Association for Laboratory Accreditation (A2LA) ISO/IEC 17020 akkreditert sertifiseringsnummer 3822.01.

I alle jurisdiksjoner og bransjer. Vi er din globale partner innen samsvar, risiko, policy, sikkerhetstesting, finansiell revisjon og Cybervisor®-tjenester.

Snakk med en av våre eksperter

Våre Lazarus Alliance Cybervisor™-team har erfaring med å utføre tusenvis av vurderinger for organisasjoner som tilbyr tjenester til kunder over hele verden.

Vi er her for å svare på alle spørsmål du måtte ha.

Last ned vår firmabrosjyre.

Lazarus Alliance-tjenester

Viktige fordeler med SSDF-samsvar (med uavhengig sikkerhetskontrollvurdering og validering)

Oppnå NIST SP 800-218 Sikker programvareutviklingsrammeverk (SSDF) Samsvar gjennom Lazarus Alliances uavhengige tredjepartsvurdering gir langt mer enn en avkrysningsboks for føderale kontrakter. Det gir målbare sikkerhets-, forretnings- og troverdighetsfordeler – spesielt når kontrollene dine er uavhengig validert i stedet for selvattestert.

Her er de topp fordeler organisasjoner får:

  1. Låser opp og beskytter føderale (og hovedleverandørens) inntekter SSDF-attestering er obligatorisk for salg av programvare til amerikanske myndigheter i henhold til EO 14028 og OMB M-22-18/M-23-16. Uavhengig validering fra Lazarus Alliance gir kontraktsansvarlige og hovedleverandører umiddelbar trygghet, noe som fremskynder godkjenninger og reduserer risikoen for kontraktsdiskvalifisering.
  2. Leverer troverdig og forsvarlig tredjepartsvalidering I motsetning til egenerklæring, produserer Lazarus Alliances uavhengige sikkerhetskontrollvurdering og -validering en objektiv, A2LA-akkreditert rapport som tåler gransking. Dette reduserer eksponeringen for False Claims Act betydelig og styrker din posisjon i revisjoner eller tvister.
  3. Reduserer sårbarheter og risiko i forsyningskjeden SSDF integrerer sikkerhet i hver fase av SDLC (Forbered, Beskytt, Produser, Respond). Uavhengig vurdering identifiserer hull tidlig, noe som resulterer i færre sårbarheter i utgitt programvare og sterkere beskyttelse mot angrep i forsyningskjeden som SolarWinds.
  4. Senker langsiktige utbedrings- og sikkerhetsbruddskostnader Å fikse sikkerhetsproblemer under utvikling er eksponentielt billigere enn oppdateringer eller hendelsesrespons etter utgivelse. Vårt validerte SSDF-program hjelper deg med å svinge til venstre, noe som reduserer kostbart omarbeid og potensielle tap relatert til sikkerhetsbrudd.
  5. Bygger kundenes tillit og konkurransefortrinn Tredjepartsvalidert SSDF-samsvar fungerer som et kraftig bevis på din forpliktelse til designsikkerhet. Det skiller deg ut i anbudsforespørsler, salgssykluser og kundevurderinger – spesielt med bedrifter og regulerte bransjer som krever åpenhet i forsyningskjeden.
  6. Gir en tydelig, prioritert veikart for kontinuerlig forbedring Lazarus Alliances vurdering avkrysser ikke bare bokser – den leverer en skreddersydd gapanalyse, bevispakke og utbedringsveikart. Du får kontinuerlig innsikt i sikkerhetssituasjonen din via Continuum GRC-plattformen.
  7. Effektiviserer fremtidige samsvarsarbeid SSDF-praksis er i samsvar med FedRAMP, FISMA, CMMC, ISO 27001 og andre rammeverk. Et validert SSDF-program skaper gjenbrukbare artefakter og prosesser som akselererer revisjoner på tvers av flere samsvarsinitiativer.
  8. Styrker ledelsens ansvarlighet og styrets tillit Uavhengig validering gir ledelse og styrer forsikring om at programvareutviklingspraksisen deres oppfyller de høyeste føderale standardene – noe som reduserer personlig og organisatorisk risiko samtidig som det demonstrerer proaktiv styring.

Bottom line: Selverklæring får deg inn døren. Lazarus Alliance's uavhengig SSDF-vurdering og validering gir deg en forsvarlig, markedsledende sikkerhetsposisjon som vinner kontrakter, reduserer risiko og bygger varig tillit.

Vi ønsker å være din foretrukne partner og SCA-V-samsvarsvurderingsvurderer! For ytterligere informasjon, vennligst ring 1-888-896-7580.