Политика уведомления пользователей об обнаруженных уязвимостях ПАК "Изола"1. НазначениеНастоящая политика описывает методы доведения до пользователей/заказчиков информации об обнаруженных уязвимостях ПАК "Изола" и рекомендации по их устранению, в том числе путем обновления прошивок (firmware) и BIOS/UEFI оборудования.
2. Область действияПолитика распространяется на уязвимости и небезопасные конфигурации, затрагивающие компоненты ПАК "Изола", включая:
- аппаратные элементы и их прошивки (BIOS/UEFI, firmware), в том числе MIG T8X x86 и Rixet EХ-113;
- мобильную ОС, оболочку (платформу) "Изола", MDM и связанные компоненты безопасности/криптоканала;
- конфигурации и обновления, влияющие на требования информационной безопасности.
3. Источники информации об уязвимостяхПоставщик ПАК "Изола" осуществляет самостоятельный мониторинг:
- бюллетеней производителей аппаратного обеспечения и программных компонент;
- уведомлений и публикаций об уязвимостях (security advisories);
- результатов внутреннего контроля/испытаний/мониторинга ИБ в контуре эксплуатации.
4. Каналы уведомленияИнформация доводится до заказчика/пользователей одним или несколькими каналами:
- корпоративная рассылка для клиентов (security notifications / release notes);
- единая точка входа в техподдержку (портал/Service Desk) с регистрацией уведомления/обращения;
- адресные уведомления ответственным ролям (эксплуатация, ИБ заказчика) при критичных/высоких рисках.
5. Содержание уведомления (минимальный состав)Каждое уведомление содержит:
- краткое описание уязвимости/проблемы и затронутые компоненты;
- оценку критичности и возможные последствия;
- рекомендации по устранению:
- обновление версии (BIOS/UEFI, firmware/прошивка, пакеты ОС, компоненты платформы);
- компенсирующие меры (временные ограничения/настройки), если обновление требует времени;
- порядок внедрения (централизованно, под контролем вендора; при необходимости с изъятием устройств);
- ожидаемое влияние на эксплуатацию (простои, перезагрузки, тест после обновления).
6. Порядок устранения уязвимостей- Поставщик контролирует процесс устранения уязвимостей, включая получение обновлений и их внедрение.
- Уязвимости, требующие обновления BIOS/firmware/прошивок аппаратных компонент, устраняются централизованно: устройства изымаются, обновляются в контролируемом контуре, проверяются и возвращаются в эксплуатацию.
- Пользователи ПАК не выполняют самостоятельные прошивки/обновления аппаратных компонент.
7. Сроки и приоритизация (без привязки к SLA договора)- Уведомления выпускаются по мере подтверждения применимости уязвимости к ПАК.
- Исправления и обновления безопасности внедряются в приемлемые сроки по мере их публикации разработчиками/производителями, с приоритетом для критичных и высоких уязвимостей.