• Политика этичного раскрытия информации

  • Introduction

    Жизненный цикл разработки системы безопасности в OSIsoft обеспечивает более безопасный код с меньшим количеством уязвимостей. Однако в реальности не существует программного обеспечения без единой потенциальной уязвимости или бреши в системе безопасности. Со временем появляются новые уязвимости, влияющие на продукты OSIsoft. Подготовка процедуры реагирования на уязвимость до того, как она повлияет на работу клиентов, является важным пунктом любого плана действий. Политика OSIsoft в отношении раскрытия информации с соблюдением этических норм — это собрание основополагающих принципов, которыми сотрудники компании руководствуются в ходе реагирования на уязвимость.

    Что подразумевается под раскрытием информации с соблюдением этических норм?

    Раскрытие информации об уязвимостях — это практика публикации информации, связанной с уязвимостью системы безопасности, обнаруженной в программном обеспечении. Целью такого раскрытия является информирование клиента о потенциальных рисках, чтобы он мог принять меры по минимизации последствий уязвимости. Вопрос о том, следует ли раскрывать информацию о недавно обнаруженной уязвимости, относится к числу наиболее важных решений, которые может принять поставщик программного обеспечения. Будучи надежным поставщиком, мы хотим информировать клиентов о проблемах, которые могут повлиять на их деятельность. Однако слишком быстрое раскрытие информации об уязвимости может привести к тому, что этой информацией воспользуются злоумышленники для того, чтобы воздействовать на клиентов. Компания OSIsoft руководствуется этой политикой и принципами, которые в ней изложены, для нахождения оптимального решения в подобных ситуациях.

    Цели раскрытия информации с соблюдением этических норм

    1. Общайтесь с клиентами предсказуемым способом

    OSIsoft стремится публиковать регулярные бюллетени по безопасности в сотрудничестве с Microsoft Patch Tuesday (обычно 2-й вторник каждого месяца). Регулярный выпуск бюллетеней по безопасности сводит к минимуму необходимость постоянного мониторинга проблем безопасности при развертывании продукта OSIsoft. Клиент знает, когда смотреть актуальную информацию о возможных уязвимостях, и может планировать установку обновлений в удобное для него время. Благодаря плану выпуска бюллетеней и скоординированному подходу к циклу выпуска образуется естественное окно для планирования нового бюллетеня по безопасности и выпуска обновлений для системы безопасности.

    2. Мы предоставляем расширенные возможности нашим клиентам, а не злоумышленникам

    В бюллетенях по безопасности и сопутствующей документации к продуктам имеется полезная информация по управлению киберрисками, при этом они не содержат конфиденциальных данных, которые могут использовать злоумышленники. На практике это сложнее, чем кажется. Часто люди, не знакомые со способами нарушения информационной безопасности, не понимают, что предоставили слишком много информации. Компания OSIsoft стремится тщательно исследовать и оценивать потенциальные риски для каждой уязвимости, чтобы принять решение об информировании общественности. При наличии сомнений мы привлекаем к анализу экспертов по безопасности в отрасли.

    3. Объясните, что происходит

    Бюллетени по безопасности составляются по результатам многочисленных исследований и тщательного анализа имеющейся информации и содержат как можно более точное описание каждой уязвимости системы безопасности. Если подытожить, насколько все плохо? Как клиент узнает из бюллетеня, повлияла ли уязвимость на его работу? Что может предпринять пользователь для защиты развернутой системы? Важно, чтобы пользователь был осведомлен о ситуации и имел в распоряжении информацию об обнаружении проблемы, наличии пакета исправления или обходного решения, а также уровне активности эксплойтов (если применимо). Это поможет клиентам оценить серьезность ситуации и разработать план действий. Основная цель каждого бюллетеня — предоставить пользователю необходимые инструменты и расширить его возможности. Большинство обновлений безопасности выполняются нашими клиентами в соответствии с графиком; однако OSIsoft стремится предоставлять клиентам информацию о степени серьезности любой конкретной проблемы с безопасностью.

    4. Сообщайте о том, что важно

    Не все продукты повсеместно доступны. Хотя обработке информации об уязвимостях в широко используемых компонентах PI System будет уделяться еще больше внимания, степень серьезности уязвимости, активная эксплуатация или запросы регулирующих органов — это факторы, повышающие важность бюллетеня по безопасности, независимо от использования соответствующих продуктов OSIsoft. Если необходимо предоставить информацию об уязвимостях сообществу специалистов по компьютерной безопасности, обычно мы согласовываем наши действия с Агентством кибербезопасности и безопасности инфраструктуры (CISA) Министерства национальной безопасности США. Общественные СМИ и отраслевые издания — неподходящие площадки для раскрытия информации об уязвимостях.

    Главные принципы раскрытия информации об уязвимостях

    1. Компания OSIsoft обязуется, прежде всего, не причинять вреда, когда речь идет о раскрытии уязвимостей системы безопасности. При публикации каждого бюллетеня основное внимание уделяется оценке риска непреднамеренного нанесения вреда нашим клиентам. Если такая вероятность существует, мы не сообщаем об уязвимости в текущем состоянии, поскольку нанесение ущерба интересам клиента противоречит нашим основным принципам. Это правило демонстрирует наше стремление принимать все решения по вопросам кибербезопасности с учетом отношений с каждым клиентом.
    2. Мы стремимся предоставлять нашим клиентам своевременную и полезную информацию, чтобы они могли принять взвешенные решения относительно безопасности при внедрении нашего программного обеспечения. Один из путей к этому — информирование клиентов об уязвимостях в системе безопасности, в том числе о необходимости выполнять регулярные обновления программного обеспечения для устранения уязвимостей. Как и в медицине, установка регулярных обновлений в рамках профилактического обслуживания часто более эффективна и при этом требует меньше ресурсов, чем исправления и временные решения.
    3. Безопасность основывается на доверии. Клиентам необходима открытая и прозрачная информация о безопасности продуктов OSIsoft, чтобы они могли лучше защитить себя, и OSIsoft стремится предоставлять соответствующую информацию для поддержания такого доверия.

    Основные положения сообщения об уязвимостях

    Компания OSIsoft гордится своими лидерскими позициями в вопросах сообщения об обнаруженных уязвимостях Агентству по информационной безопасности и безопасности инфраструктуры (CISA), клиентам и общественности. Компания принимает решение о раскрытии информации об уязвимости после тщательного анализа каждого отдельного случая. Один из наиболее важных факторов, который учитывают при принятии решения о раскрытии информации, — общая система оценки уязвимости (CVSS), которая дает представление о степени серьезности и потенциальном вреде. Эта оценка используется для присвоения уязвимости степени «низкая», «средняя», «высокая» и «критическая» в качестве метрики для анализа каждого отдельного случая. Еще один фактор — влияние на работу наших клиентов, которое определяется в результате тщательного анализа. Необходимо определить контекст и оценить целесообразность раскрытия информации с учетом общей схемы внедрения продукта.

    Почему мы сами сообщаем об уязвимостях?

    1. Чтобы поставить в центр внимания клиента. Наша основная цель — обеспечить внедрение нашего программного обеспечения клиентами.
    2. Мы хотим, чтобы наши клиенты могли легко найти информацию обо всех уязвимостях в базе CISA.
    После получения результатов анализа мы, как правило, сообщаем об уязвимостях наших продуктов CISA через шестьдесят дней после обновления программного обеспечения. Это способствует достижению нашей основной цели — не навредить, если речь идет о раскрытии уязвимостей.

    Корпоративная политика относительно раскрытия с соблюдением этических принципов

    Настоящая политика применяется к уязвимостям программного кода в соответствии со стандартами ISO/IEC 29147 и Основными принципами раскрытия информации об уязвимостях промышленной системы управления, разработанными объединенной рабочей группой по промышленным системам управления Министерства внутренней безопасности США.

    1. OSIsoft раскрывает информацию об уязвимости только в том случае, если может предоставить полезную информацию, такую как способ устранения или исправления последствий.
    2. Компания OSIsoft никогда не будет раскрывать какие-либо сведения об уязвимости, которые могут привести к разработке средства эксплуатации уязвимости.
    3. Компания предоставляет информацию об уязвимостях в виде бюллетеней по безопасности, примечаний к версии, заметок о технической поддержке, статей базы знаний и рекомендаций через веб-сайт поддержки.

    Как OSIsoft реагирует на различные типы уязвимостей?

    Для оценки уязвимости и определения соответствия основным критериям дальнейшего реагирования активируется план реагирования на инциденты. Для координирования действий по реагированию назначается руководитель работ по устранению инцидента. Он осуществляет руководство всеми процессами, в том числе передачей информации об уязвимости руководящим сотрудникам, занимающимся решением критических проблем, которые негативно воздействуют на выпущенные ранее продукты.

    При реагировании на уязвимость компания OSIsoft использует один из трех подходов, в зависимости от того, кто ее выявил, насколько серьезными могут быть последствия потенциального взлома и других составляющих факторов. Способы коммуникации отличаются согласно списку подходов, как указано ниже.

    1. Уязвимость в PI System обнаруживает OSIsoft

    Разрабатывается план устранения проблемы, в том числе план бюллетеней по безопасности для уязвимостей высокого и среднего уровня. Необходимо сообщить о наличии полезной информации, например выпуске обновления продукта или процедуре устранения уязвимости. Клиентам и заинтересованным лицам торговых партнеров направляют уведомление. Компания OSIsoft также раскрывает и предоставляет информацию CISA (или аналогичному государственному агентству), если после тщательного анализа приходит к выводу, что необходимо привлечь более широкую аудиторию.

    2. Уязвимость в PI System обнаруживает третья сторона

    OSIsoft поощряет отчеты об уязвимостях от третьих сторон и стремится поддерживать регулярную связь с третьей стороной на этапах реагирования на инциденты, включая воспроизведение проблемы, определение первопричины, оценку воздействия, план устранения последствий и подтверждение исправления в случае необходимости. Планы раскрытия информации разрабатываются совместно с третьим лицом. Компания OSIsoft поддерживает скоординированное раскрытие информации, имеющей практическое значение, например о выпуске обновления продукта или процедуре устранения уязвимости. Для подтверждения раскрытия информации третьей стороной требуется согласие.

    3. Активно используемая уязвимость в PI System

    OSIsoft будет активно общаться со всеми партнерами и клиентами относительно рекомендуемых средств защиты и действий, а также способов смягчения последствий в связи с уязвимостями, которые уже известны общественности и могут быть использованы. Важно отметить, что в такой ситуации компания OSIsoft свяжется с клиентами незамедлительно и не будет ждать планового выпуска корректирующего файла или программного обеспечения. Кроме того, по возможности компания будет предоставлять клиентам регулярное плановое обновление программного обеспечения, направленное на устранение уязвимостей. Высшее руководство компании также прилагает все усилия, чтобы уязвимость была устранена быстро и эффективно.

    ​(Last revised 5 марта, 2020 r.)

Powered by Translations.com GlobalLink OneLink Software