Управление происшествиями в области безопасности

Зачем требуется управление происшествиями?

Недостатки безопасности программного обеспечения не могут быть устранены на 100%. Ввиду этого, важно сообщать пользователям и администраторам о таких недостатках, чтобы они могли принять контрмеры до того, как их системам будет нанесен ущерб. Для повышения эффективности процесса важно организовать в компании соответствующую систему управления, включая Группу реагирования на происшествия в области безопасности продукции (PSIRT).

Что такое рекомендации по безопасности?

Рекомендации по безопасности содержат информацию об имеющихся недостатках безопасности одного из видов продукции и, как правило, включают в себя:

  • Описание недостатка,
  • Оценка серьезности недостатка по шкале CVSS*,
  • Перечень видов продукции, имеющих данный недостаток, с указанием их версий,
  • Возможные контрмеры и, при необходимости, указание источника сообщения о данном недостатке.

*CVSS (Общая система ранжирования уязвимостей) – признанная во всем мире процедура оценки серьезности недостатка. В данный момент действует версия 3.0 CSVV. В CVSSv3 используется шкала от 0 до 10. Минимальная степень серьезности имеет значение 0, максимальная – 10.

Рекомендации по безопасности

Далее приводится информация о действующих рекомендациях по безопасности.

Рекомендации по безопасности

Группа реагирования на происшествия в области безопасности продукции компании Pilz (PSIRT)

Группа реагирования на происшествия в области безопасности продукции компании Pilz

Эксперты по безопасности группы PSIRT компании Pilz анализируют, оценивают и контролируют потенциальные недостатки безопасности и происшествия в области безопасности, связанные с изделиями и решениями компании Pilz. Если наличие недостатка подтверждено, компания Pilz публикует Рекомендации по безопасности, разработанные PSIRT, с указанием порядка устранения данного недостатка.

Мы просим экспертов по безопасности, независимых исследователей, клиентов и прочие лица сообщать нам обо всех проблемах безопасности нашей продукции и решений. Это единственный способ, с помощью которого мы можем совместно обсудить дальнейшие действия, скоординировать их и повысить безопасность нашей продукции и решений. Для предотвращения угроз для наших клиентов и независимых третьих сторон мы просим о скоординированной публикации информации о недостатках и включении нашей группы PSIRT в перечень рассылки.

Как связаться с группой PSIRT компании Pilz?

Специалисты по информационной безопасности группы PSIRT компании Pilz контролируют и анализируют все сообщения о возможных недостатках безопасности изделий. Если у вас имеются вопросы по безопасности наших изделий или инфраструктуры, или сообщения о недостатках в системе безопасности, свяжитесь со специалистами группы PSIRT. Составляйте ваши сообщения для PSIRT на немецком или английском языках. Как правило, первое ответное сообщение приходит в течение двух рабочих дней (среднеевропейское время).

Сообщайте обо всех проблемах безопасности изделий, решений и онлайн-сервисов:

контактному лицу PSIRT

В сообщении укажите следующую информацию:

  • Идентификационный номер соответствующего изделия
  • Название устройства и версию прошивки (при наличии)
  • Вредоносный код или иные данные, которые помогут нам воспроизвести проблему, если это возможно
  • Указание о том, публиковалась ли информация об уязвимости ранее (вами или иными лицами).

Процесс управления происшествиями компании Pilz

1. Анализ: Наша группа PSIRT изучает обнаруженный недостаток и, при необходимости, запрашивает дополнительную информацию у отправителя. Следует отметить, что исследование может занять от нескольких дней до нескольких недель в зависимости от сложности выявленного недостатка и типа продукции. Несмотря на это, во всех случаях срок предоставления ответа отправителю не должен превышать 15 рабочих дней.

2. Определение мер: Обновления подготавливаются с учетом степени серьезности недостатка и, при необходимости, прочих пограничных условий. В случае серьезных недостатков компания Pilz подготавливает Рекомендации по безопасности. В ходе этого процесса компания регулярно информирует отправителя о ходе работ.

3. Публикация: Окончательные Рекомендации по безопасности и все связанные с ними патчи публикуются здесь и доступны для скачивания всем клиентам. Для их загрузки войдите в систему, используя имя пользователя. Если у вас еще нет учетной записи, вы можете бесплатно зарегистрироваться, перейдя по ссылке. Помните, что патчи выпускаются только в контексте типового цикла выпуска продукции, с учетом степени серьезности выявленного недостатка.

Рекомендации по безопасности

Подробнее о промышленной безопасности

Центральный офис

ООО "Пильц Рус" / Pilz Rus LLC
Ленинский пр., д. 160, литера А, офис 702 / Leninskiy pr., 160, building А, office 702
196247 Санкт-Петербург / Saint-Petersburg
Россия / Russia

Телефон: +7 812 6777219
Эл. почта: pilz@pilzrussia.ru

Центральный офис

Ленинский пр., д. 160, литера А, офис 702
196247 Санкт-Петербург
Россия

Телефон: +7 812 6777219
Эл. почта: pilz@pilzrussia.ru

Техническая поддержка

Телефон: +7 495 665 4993
Эл. почта: pilz@pilzrussia.ru