Принципы управления уязвимостями кибербезопасности
HSGQ стремится создать надежный процесс реагирования на кибер-уязвимости продуктов, чтобы предоставить клиентам надежные рекомендации и решения для минимизации рисков кибербезопасности. С этой целью HSGQ создала группу реагирования на инциденты кибербезопасности продуктов (PSIRT), ответственную за реагирование на инциденты кибербезопасности продуктов и возможные уязвимости продуктов. HSGQ всегда стремилась внедрять методы кибербезопасности, основанные на принятых и используемых международных отраслевых стандартах, постоянно оптимизируя процедуры и реагирование на уязвимости кибербезопасности, а также активно поддерживая промышленную кибербезопасность, чтобы стать надежным партнером наших клиентов. Мы стали надежным партнером для наших клиентов.
Программа управления уязвимостями сетевой безопасности продукта
Программа управления уязвимостями кибербезопасности продукта HSGQ разделена на пять этапов, каждый этап имеет определенные процессы и эксплуатационные требования. HSGQ строго следует следующим правилам кибербезопасности.
Первоначальный ответ: после получения внешнего отчета об уязвимости в продукте HSGQ PSIRT свяжется с отправителем сообщения для первоначального ответа в течение семи рабочих дней.
Оценка и классификация: PSIRT проанализирует и классифицирует уязвимости кибербезопасности продукта, включенные в отчет, чтобы первоначально определить степень, в которой уязвимость влияет на продукты HSGQ. По завершении этого этапа HSGQ предоставит репортеру предварительные результаты оценки.
Расследование и исследования: PSIRT будет сотрудничать с командой разработчиков продуктов для выявления основной причины уязвимости, оценки степени воздействия уязвимости на продукты HSGQ и предложения решений по снижению риска и устранению уязвимости. PSIRT будет поддерживать активную связь с репортером на этом этапе.
Устранение уязвимостей: PSIRT будет сотрудничать с группами разработчиков продуктов для разработки исправлений для программного и встроенного ПО или определения мер по снижению рисков. Тем временем PSIRT продолжит отслеживать информацию об уязвимости, чтобы правильно оценить серьезность уязвимости. Если уязвимость имеет высокий рейтинг риска и время, необходимое для разработки исправления, велико, HSGQ сначала предоставит клиентам экстренные меры по смягчению последствий в течение 90 дней.
Раскрытие информации: PSIRT будет публиковать результаты выявления уязвимостей кибербезопасности на странице «Бюллетени безопасности» веб-сайта HSGQ. Содержимое включает в себя: описание уязвимости, потенциально затронутые продукты и версии, меры по смягчению последствий, план устранения и т. д.
Используя общую систему оценки уязвимостей (CVSS) и модель управления уязвимостями рисков HSGQ, PSIRT HSGQ и группа исследований и разработок оценивают потенциальный риск уязвимости кибербезопасности на основе таких факторов, как контекст безопасности, вероятность использования уязвимости, ее влияние и т. д., и соответственно определяют сроки решения проблемы. После подтверждения влияния уязвимости на продукты HSGQ компания HSGQ немедленно создаст специальную среду тестирования для оценки серьезности уязвимости и при необходимости свяжется с лицом, сообщившим об уязвимостях. После определения основной причины уязвимости и степени ее влияния на продукты HSGQ HSGQ проведет анализ исправлений и предложит решения или меры по снижению риска.
Выявленные уязвимости: нет. Для получения последней информации о безопасности конкретных продуктов вы можете связаться с HSGQ по электронной почте.
Окно контактов по уязвимостям кибербезопасности продукта
Если вы обнаружите подозрительную уязвимость в каком-либо продукте HSGQ, немедленно сообщите об этом в HSGQ. Для HSGQ своевременное обнаружение уязвимостей кибербезопасности является ключом к минимизации рисков безопасности продукта. Вы можете уведомить PSIRT об уязвимостях кибербезопасности продукта по электронной почте. Ваши сообщения и файлы будут зашифрованы с использованием защищенной формы HTTPS HSGQ PSIRT. Сообщая об уязвимости кибербезопасности продукта, предоставьте следующую информацию, чтобы ускорить оценку рисков и разработку мер по их устранению:
1. Название продукта и номер модели 2. Версия программного обеспечения/микропрограммы 3. Оборудование и программное обеспечение, необходимые для воспроизведения истории событий 4. Действия по воспроизведению инцидента (если возможно, прикрепите изображения или программный код) 5. Код эксплойта для проверки концепции 6. Краткое описание того, как злоумышленник может использовать уязвимость 7. Пакетное ведение журнала процесса атаки (с использованием таких инструментов, как Wireshark)
Сайт использует протокол HTTPS, чтобы обеспечить шифрование информации пользователя при передаче. Любая другая информация, которую вы считаете ценной. электронная почта: hsgq@hsgq.com
Отказ от ответственности
Особенности Принципов управления уязвимостями кибербезопасности могут быть изменены в каждом конкретном случае. Мы не гарантируем ответ на какой-либо конкретный вопрос. Вы используете информацию, содержащуюся в этом документе, или содержимое, связанное с этим документом, на свой страх и риск, и HSGQ оставляет за собой право изменять любое содержание настоящих Принципов в любое время без предварительного уведомления. Если будут внесены какие-либо изменения, пересмотренный документ будет опубликован на официальном сайте HSGQ: www.hsgq.com.
