FAQ | Murrelektronik

Folyamat

Röviden és tömören: itt még nem tartunk, de számos erőforrásba invesztálunk az IEC 62443-4-1 szabványnak való megfelelés elérése érdekében. Jelenlegi erőfeszítéseink középpontjában a termékeink minőségének biztosítására szolgáló folyamatok bővítése és kiegészítése áll, hogy azok az IEC 62443-4-1 szabvány speciális követelményeit is támogassák.

Jelenleg a következő törvények, szabványok és normák követelményeinek teljesítésére összpontosítunk:

CRA (Cyber Resilience Act)
IEC 62443
IEC 29147
IEC 30111
IEC 27036
Kaliforniai jelszótörvény (2020 California Senat Bill SB-327)

A Murrelektronik olyan folyamatokat hozott létre, amelyek feladatainkat minden szempontból proaktívan lefedik. A projektek ezeket a standard folyamatokat használják, szükség esetén módosítva azokat. Ez a CMMI szerint a 3. szintnek („definiált”) felel meg.

Igen. A 2024-ben vagy azt követően kifejlesztett összes új termék fejlesztési folyamata magában foglalja a kiberbiztonsági szempontok figyelembevételét a megfelelő fenyegetési modellek kidolgozása révén.

Igen. A 2024-ben vagy azt követően kifejlesztett összes új termék fejlesztési folyamata magában foglalja egy mélységi védelmi koncepció kidolgozását a fenyegetési modellezés során azonosított kockázatok kezelése érdekében.

Igen. A biztonsági ellenőrzés és validálás a 2024-ben vagy azt követően kifejlesztett termékeink átfogó tesztelésének és validálásának szerves részét képezi.

Igen. Kódolási szabványokat dolgoztunk ki, amelyeket a legújabb követelmények figyelembevétele érdekében folyamatosan frissítünk, beleértve a kiberbiztonsági megfontolásokon alapuló követelményeket is.

Igen. Új termékek fejlesztésekor a biztonsági követelmények már a koncepciófázisban meghatározásra kerülnek.

Azon vagyunk, hogy teljesítsük az IEC 62443-4-1 (SM-9 és SM-10) és az IEC 27036 szabvány követelményeit. Jelenleg a folyamatok meghatározására és a feladat támogatásához szükséges eszközök beszerzésére összpontosítunk.

Termékek

Több lépést is javaslunk. Nincs egyetlen rövid és tömör válasz, amely minden helyzetre és minden termékre alkalmazható. A legfontosabb ellenőrizendő források a következők:

A termékdokumentáció kiberbiztonsági fejezete, amely az újabb termékek esetében már a szabvány részét képezi
Általános kiberbiztonsági irányelvek, amelyeket a következő dokumentumok tartalmaznak:

Általános kiberbiztonsági irányelvek

Ezeket az információkat a vonatkozó termékdokumentáció kiberbiztonsági fejezetében találja meg, amely a 2024-től kezdődően fejlesztett új termékek dokumentációjának szabványos elemét képezi.

PSIRT

A Murrelektronik PSIRT csapatával a legegyszerűbben a psirt@murrelektronik.de e-mail-címen tudja felvenni a kapcsolatot.

A sebezhetőségek kezelésére szolgáló folyamatunkat akkor indítjuk el, ha sebezhetőséget jelentenek, akár külső forrásból, akár a folyamatos belső felügyelet révén, amelyet belső szereplők (K+F, tesztelés stb.) vagy külső tesztelési szolgáltatók végeznek a Murrelektronik megbízásából.

Az üzenetet tudomásul veszik, és megtörténik az első értékelés. A PSIRT ennek a folyamatnak a koordinátora kifelé és befelé, aki minden érintett féllel fenntartja a kapcsolatot.

A sebezhetőség ellenőrzése és elemzése során a PSIRT együttműködik minden érdekelt féllel a korrekciós intézkedések kidolgozása érdekében.

Részletesebb leírást a „Vulnerability Handling Process” című dokumentumunkban talál.

A frissítésekre a CERT@VDE weboldalon iratkozhat fel, ahol valamennyi útmutatónkat közzétesszük.

Az általunk közzétett útmutatók általában a következőket (vagy azok nagy részét) tartalmazzák:

Útmutató azonosítója
Az első közzététel dátuma és időpontja, valamint a módosítási előzmények, ha az útmutatót frissítették.
Cím: Elegendő információt tartalmaz (pl. az érintett termékről) ahhoz, hogy az olvasó gyorsan el tudja dönteni, hogy az útmutató releváns-e a számára.
Áttekintés: a biztonsági rés rövid általános leírása.
Érintett termékek: beleértve a termék(ek) nevét, az érintett hardver- és firmware-verzió(ka)t, és adott esetben egy, a sebezhetőség meglétének tesztelésére szolgáló biztonságos módszert.
Leírás: Pontosan annyi részletet tartalmaz, hogy a felhasználók felmérhessék a kockázatokat anélkül, hogy megkönnyítenék vagy valószínűbbé tennék a sebezhetőség kihasználását. A leírásban szerepelhet az osztály és a CVSS pontszám is.
Hatás: A feltárt sebezhetőség kihasználása esetén fennálló lehetséges következmények leírása, valamint a lehetséges támadási forgatókönyvek.
Súlyossági szint: A sebezhetőség besorolása a Common Vulnerability Scoring System (CVSS) szerint.
Elhárítási intézkedések: Azon lépések, amelyeket a felhasználók megtehetnek a sebezhetőség kihasználásának enyhítése vagy megakadályozása érdekében (kerülő megoldások), valamint a sebezhetőség megszüntetéséhez szükséges lépések (pl. szoftverjavítások vagy frissítések telepítése).
Kapcsolódó információkra való hivatkozások, például kapcsolódó útmutatók vagy CVE (gyakori sebezhetőségek és kitettségek).
Adott esetben a sebezhetőséget bejelentő személyek általi megerősítés.
A Murrelektronik PSIRT elérhetőségi adatai
Felhasználási feltételek: Másolásra és terjesztésre vonatkozó feltételek.

A Murrelektronik által közzétett biztonsági útmutatók több csatornán keresztül is elérhetők:

Weboldal: PSIRT weboldalunkon megtalálható a legfrissebb és legrelevánsabb útmutatók listája. Ugyanitt egy hivatkozás is szerepel az összes közzétett útmutató archívumára.
CERT@VDE: Útmutatóinkat a CERT@VDE adatbázisában is beállítjuk.

Igen. Biztonsági útmutatóinkat CSAF formátumban bocsátjuk rendelkezésre. A biztonsági utasítások letöltésekor Ön ember által olvasható PDF fájl és géppel olvasható CSAF fájl közül választhat.

Az Ön által használt termék legújabb firmware- vagy szoftververziója mindig megtalálható online áruházunkban az adott termék „Letöltések” részén.

A közzétett biztonsági útmutatók tartalmazzák a biztonsági szempontból lényeges frissítések vagy javítások telepítéséhez szükséges összes hivatkozást és utasítást is.

Folyamat

A Murrelektroniknál zajló fejlesztési folyamatok megfelelnek az IEC 62443-4-1 szabványnak?

Milyen kiberbiztonsági szabványoknak felel meg vagy szeretne a jövőben megfelelni a Murrelektronik?

Milyen folyamatérettségi szintet ér el a Murrelektronik a Capability Maturity Model Integration (CMMI) szerint?

Felvázolnak fenyegetési modelleket új termékek fejlesztésekor? Ezek rendelkezésre állnak ellenőrzés céljára?

Létrehoznak Defense-in-Depth-koncepciót új termékek fejlesztésekor?

A komponenseket és alkalmazásokat alávetik biztonsági validálásnak és ellenőrzésnek?

Léteznek a Murrelektroniknál biztonságos titkosítási szabványok?

A kiberbiztonsági követelmények meg vannak határozva és dokumentálva vannak?

Hogyan kezeli a Murrelektronik a termékeiben használt, harmadik féltől származó és nyílt forráskódú komponenseket?

Termékek

Mely irányelvek vonatkoznak a Murrelektronik termékek alkalmazásomon belüli biztonságosságának maximalizálására?

Melyik biztonsági szintnek (SL) felel meg az általam beszerzett Murrelektronik termék?

Milyen biztonsági funkciók vannak beépítve az általam használt vagy használni tervezett konkrét ME termékben?

PSIRT

Hogyan tudom felvenni a kapcsolatot a Murrelektronik Product Security Incident Response csapatával?

Mi történik akkor, ha biztonsági rést fedeznek fel egy Murrelektronik termékben?

Hogyan kaphatok automatikus értesítést, ha a Murrelektronik új tanácsadó útmutatót tesz közzé?

Milyen információkra számíthatok a közzétett biztonsági útmutatókban?

Hol találom a Murrelektronikhoz kapcsolódó jelenlegi és régebbi biztonsági útmutatók listáját?

A Murrelektronik CSAF formátumban teszi közzé biztonsági utasításait?

Hol kaphatok biztonsági frissítéseket Murrelektronik termékemhez?