Управление происшествиями в области безопасности

Недостатки безопасности программного обеспечения не могут быть устранены на 100%. Ввиду этого, важно сообщать пользователям и администраторам о таких недостатках, чтобы они могли принять контрмеры до того, как их системам будет нанесен ущерб. Для повышения эффективности процесса важно организовать в компании соответствующую систему управления, включая Группу реагирования на происшествия в области безопасности продукции (PSIRT).

Рекомендации по безопасности содержат информацию об имеющихся недостатках безопасности одного из видов продукции и, как правило, включают в себя:

• Описание недостатка,
• Оценка серьезности недостатка по шкале CVSS*,
• Перечень видов продукции, имеющих данный недостаток, с указанием их версий,
• Возможные контрмеры и, при необходимости, указание источника сообщения о данном недостатке.

*CVSS (Общая система ранжирования уязвимостей) – признанная во всем мире процедура оценки серьезности недостатка. В данный момент действует версия 3.0 CSVV. В CVSSv3 используется шкала от 0 до 10. Минимальная степень серьезности имеет значение 0, максимальная – 10.

Далее приводится информация о действующих рекомендациях по безопасности.

Рекомендации по безопасности

Эксперты по безопасности группы PSIRT компании Pilz анализируют, оценивают и контролируют потенциальные недостатки безопасности и происшествия в области безопасности, связанные с изделиями и решениями компании Pilz. Если наличие недостатка подтверждено, компания Pilz публикует Рекомендации по безопасности, разработанные PSIRT, с указанием порядка устранения данного недостатка.

Мы просим экспертов по безопасности, независимых исследователей, клиентов и прочие лица сообщать нам обо всех проблемах безопасности нашей продукции и решений. Это единственный способ, с помощью которого мы можем совместно обсудить дальнейшие действия, скоординировать их и повысить безопасность нашей продукции и решений. Для предотвращения угроз для наших клиентов и независимых третьих сторон мы просим о скоординированной публикации информации о недостатках и включении нашей группы PSIRT в перечень рассылки.

Специалисты по информационной безопасности группы PSIRT компании Pilz контролируют и анализируют все сообщения о возможных недостатках безопасности изделий. Если у вас имеются вопросы по безопасности наших изделий или инфраструктуры, или сообщения о недостатках в системе безопасности, свяжитесь со специалистами группы PSIRT. Составляйте ваши сообщения для PSIRT на немецком или английском языках. Как правило, первое ответное сообщение приходит в течение двух рабочих дней (среднеевропейское время).

Сообщайте обо всех проблемах безопасности изделий, решений и онлайн-сервисов:

контактному лицу PSIRT

В сообщении укажите следующую информацию:

• Идентификационный номер соответствующего изделия
• Название устройства и версию прошивки (при наличии)
• Вредоносный код или иные данные, которые помогут нам воспроизвести проблему, если это возможно
• Указание о том, публиковалась ли информация об уязвимости ранее (вами или иными лицами).

1. Анализ: Наша группа PSIRT изучает обнаруженный недостаток и, при необходимости, запрашивает дополнительную информацию у отправителя. Следует отметить, что исследование может занять от нескольких дней до нескольких недель в зависимости от сложности выявленного недостатка и типа продукции. Несмотря на это, во всех случаях срок предоставления ответа отправителю не должен превышать 15 рабочих дней.

2. Определение мер: Обновления подготавливаются с учетом степени серьезности недостатка и, при необходимости, прочих пограничных условий. В случае серьезных недостатков компания Pilz подготавливает Рекомендации по безопасности. В ходе этого процесса компания регулярно информирует отправителя о ходе работ.

3. Публикация: Окончательные Рекомендации по безопасности и все связанные с ними патчи публикуются здесь и доступны для скачивания всем клиентам. Для их загрузки войдите в систему, используя имя пользователя. Если у вас еще нет учетной записи, вы можете бесплатно зарегистрироваться, перейдя по ссылке. Помните, что патчи выпускаются только в контексте типового цикла выпуска продукции, с учетом степени серьезности выявленного недостатка.

Рекомендации по безопасности