PSIRT / SBOM Starter dla producentów urządzeń i oprogramowania
Uruchamiamy powtarzalny proces obsługi podatności produktu, tak aby firma wiedziała, co robi, gdy przyjdzie zgłoszenie aktywnie wykorzystywanej podatności.
Co obejmuje
- Polityka skoordynowanego ujawniania podatności (CVD).
- Plik security.txt i kanał zgłaszania podatności.
- Procedura triage zgłoszeń.
- SBOM-lite, czyli wykaz komponentów oprogramowania.
- Szablon advisory dla klientów.
- Proces aktualizacji i dystrybucji poprawek.
- Runbook art. 14 CRA: kto i w jakim terminie zgłasza podatność.
- Tabletop, czyli ćwiczenie na sucho: co robimy po zgłoszeniu aktywnie wykorzystywanej podatności.
Krótkie definicje
PSIRT to zespół i proces obsługi podatności produktu. SBOM (software bill of materials) to maszynowo czytelny wykaz komponentów oprogramowania, wymagany w Załączniku I część II CRA. CVD to skoordynowane ujawnianie podatności, czyli ustalony sposób przyjmowania i obsługi zgłoszeń.
Dla producentów objętych CRA art. 14 wyznacza terminy zgłaszania aktywnie wykorzystywanej podatności: wczesne ostrzeżenie w ciągu 24 godzin, zgłoszenie w ciągu 72 godzin oraz raport końcowy do 14 dni po udostępnieniu poprawki, do CSIRT pełniącego rolę koordynatora i do ENISA.
Dla kogo i jak to się łączy
PSIRT / SBOM Starter jest naturalnym kolejnym krokiem po CRA Snapshot. Uruchamiamy proces, a następnie możemy go utrzymywać w modelu stałej współpracy. Przygotowujemy proces obsługi podatności, ale nie gwarantujemy braku podatności w produkcie.
- CRA Snapshot jako punkt wyjścia.
- Cyber Insurance Evidence Check dla dowodów do polisy.
- OT / IEC 62443 Mini-Gap dla produktów przemysłowych.