Недостатки безопасности программного обеспечения не могут быть устранены на 100%. Ввиду этого, важно сообщать пользователям и администраторам о таких недостатках, чтобы они могли принять контрмеры до того, как их системам будет нанесен ущерб. Для повышения эффективности процесса важно организовать в компании соответствующую систему управления, включая Группу реагирования на происшествия в области безопасности продукции (PSIRT).
Управление происшествиями в области безопасности
Зачем требуется управление происшествиями?
Что такое рекомендации по безопасности?
Рекомендации по безопасности содержат информацию об имеющихся недостатках безопасности одного из видов продукции и, как правило, включают в себя:
- Описание недостатка,
- Оценка серьезности недостатка по шкале CVSS*,
- Перечень видов продукции, имеющих данный недостаток, с указанием их версий,
- Возможные контрмеры и, при необходимости, указание источника сообщения о данном недостатке.
*CVSS (Общая система ранжирования уязвимостей) – признанная во всем мире процедура оценки серьезности недостатка. В данный момент действует версия 3.0 CSVV. В CVSSv3 используется шкала от 0 до 10. Минимальная степень серьезности имеет значение 0, максимальная – 10.
Далее приводится информация о действующих рекомендациях по безопасности.
Группа реагирования на происшествия в области безопасности продукции компании Pilz (PSIRT)
Эксперты по безопасности группы PSIRT компании Pilz анализируют, оценивают и контролируют потенциальные недостатки безопасности и происшествия в области безопасности, связанные с изделиями и решениями компании Pilz. Если наличие недостатка подтверждено, компания Pilz публикует Рекомендации по безопасности, разработанные PSIRT, с указанием порядка устранения данного недостатка.
Мы просим экспертов по безопасности, независимых исследователей, клиентов и прочие лица сообщать нам обо всех проблемах безопасности нашей продукции и решений. Это единственный способ, с помощью которого мы можем совместно обсудить дальнейшие действия, скоординировать их и повысить безопасность нашей продукции и решений. Для предотвращения угроз для наших клиентов и независимых третьих сторон мы просим о скоординированной публикации информации о недостатках и включении нашей группы PSIRT в перечень рассылки.
Как связаться с группой PSIRT компании Pilz?
Специалисты по информационной безопасности группы PSIRT компании Pilz контролируют и анализируют все сообщения о возможных недостатках безопасности изделий. Если у вас имеются вопросы по безопасности наших изделий или инфраструктуры, или сообщения о недостатках в системе безопасности, свяжитесь со специалистами группы PSIRT. Составляйте ваши сообщения для PSIRT на немецком или английском языках. Как правило, первое ответное сообщение приходит в течение двух рабочих дней (среднеевропейское время).
Сообщайте обо всех проблемах безопасности изделий, решений и онлайн-сервисов:
В сообщении укажите следующую информацию:
- Идентификационный номер соответствующего изделия
- Название устройства и версию прошивки (при наличии)
- Вредоносный код или иные данные, которые помогут нам воспроизвести проблему, если это возможно
- Указание о том, публиковалась ли информация об уязвимости ранее (вами или иными лицами).
Процесс управления происшествиями компании Pilz
1. Анализ: Наша группа PSIRT изучает обнаруженный недостаток и, при необходимости, запрашивает дополнительную информацию у отправителя. Следует отметить, что исследование может занять от нескольких дней до нескольких недель в зависимости от сложности выявленного недостатка и типа продукции. Несмотря на это, во всех случаях срок предоставления ответа отправителю не должен превышать 15 рабочих дней.
2. Определение мер: Обновления подготавливаются с учетом степени серьезности недостатка и, при необходимости, прочих пограничных условий. В случае серьезных недостатков компания Pilz подготавливает Рекомендации по безопасности. В ходе этого процесса компания регулярно информирует отправителя о ходе работ.
3. Публикация: Окончательные Рекомендации по безопасности и все связанные с ними патчи публикуются здесь и доступны для скачивания всем клиентам. Для их загрузки войдите в систему, используя имя пользователя. Если у вас еще нет учетной записи, вы можете бесплатно зарегистрироваться, перейдя по ссылке. Помните, что патчи выпускаются только в контексте типового цикла выпуска продукции, с учетом степени серьезности выявленного недостатка.
Подробнее о промышленной безопасности
ООО "Пильц Рус" / Pilz Rus LLC
Ленинский пр., д. 160, литера А, офис 702 / Leninskiy pr., 160, building А, office 702
196247 Санкт-Петербург / Saint-Petersburg
Россия / Russia
Телефон: +7 812 6777219
Эл. почта: pilz@pilzrussia.ru
Ленинский пр., д. 160, литера А, офис 702
196247 Санкт-Петербург
Россия
Телефон: +7 812 6777219
Эл. почта: pilz@pilzrussia.ru
Телефон: +7 495 665 4993
Эл. почта: pilz@pilzrussia.ru