Our website is available in multiple languages. Visiting your country's website provides you with the most relevant information. Would you like to switch?
Choose your country
Subsidiaries
Sales partner
Subsidiaries
Subsidiaries
Sales partner
Sales partner
Language
Language
Language
Language
Proces
Krótka odpowiedź brzmi: jeszcze tego nie osiągnęliśmy, jednak inwestujemy znaczące zasoby, aby zapewnić pełną zgodność z normą IEC 62443-4-1. Obecnie koncentrujemy się na rozszerzaniu i uzupełnianiu istniejących procesów zapewniających jakość naszych produktów, tak aby spełniały także specyficzne wymagania normy IEC 62443-4-1.
Obecnie koncentrujemy się na spełnianiu wymagań następujących przepisów, norm i standardów:
- CRA (Cyber Resilience Act)
- IEC 62443
- IEC 29147
- IEC 30111
- IEC 27036
- California Password Law (2020 California Senat Bill SB-327)
W Murrelektronik funkcjonują procesy, które w sposób proaktywny obejmują wszystkie obszary naszej działalności. W realizowanych projektach korzystamy z tych standardów i odpowiednio je dostosowujemy, gdy jest to konieczne. Odpowiada to poziomowi 3 („defined") w modelu CMMI.
Tak. Proces tworzenia wszystkich nowych produktów, opracowywanych od 2024 roku, uwzględnia aspekty cyberbezpieczeństwa poprzez opracowywanie odpowiednich modeli zagrożeń.
Tak. Proces tworzenia wszystkich nowych produktów, opracowywanych od 2024 roku, obejmuje opracowanie koncepcji "defense-in-depth", mającej na celu przeciwdziałanie wszystkim ryzykom zidentyfikowanym w modelach zagrożeń.
Tak. Testy i walidacja bezpieczeństwa są standardową częścią szeroko zakrojonych testów i walidacji, które przeprowadzamy dla naszych produktów opracowywanych od 2024 roku.
Tak. Posiadamy ustalone standardy programowania, które są na bieżąco aktualizowane, aby uwzględniać najnowsze wymagania, w tym te wynikające z aspektów cyberbezpieczeństwa.
Tak. W procesie tworzenia nowych produktów wymagania dotyczące bezpieczeństwa są określane już na etapie koncepcyjnym rozwoju.
Wdrażamy wymagania określone w normach IEC 62443-4-1 (SM-9 i SM-10) oraz w IEC 27036. Obecnie koncentrujemy się na definiowaniu odpowiednich procesów oraz pozyskaniu niezbędnych narzędzi wspierających to zadanie.
Produkty
Zalecamy podjęcie kilku kroków. Nie jest możliwe udzielenie krótkiej i jednoznacznej odpowiedzi, która obejmowałaby wszystkie sytuacje i wszystkie produkty. Najważniejsze źródła, które warto sprawdzić, to:
- Rozdział poświęcony cyberbezpieczeństwu, który od teraz stanowi standardową część dokumentacji nowszych produktów
- Ogólne wytyczne dotyczące cyberbezpieczeństwa, które zostały omówione w następujących dokumentach:
- Ogólne wytyczne dotyczące cyberbezpieczeństwa (General Cybersecurity Guidelines)
Informacje te można znaleźć w rozdziale dotyczącym cyberbezpieczeństwa w odpowiedniej dokumentacji produktu, który od 2024 roku stanowi standardową część dokumentacji nowych produktów.
Informacje te znajdują się w rozdziale dotyczącym cyberbezpieczeństwa w odpowiedniej dokumentacji produktu, która od 2024 roku stanowi standardową część dokumentacji nowych produktów.
PSIRT
Najprostszym sposobem kontaktu z zespołem PSIRT Murrelektronik jest kontakt pod adresem e-mail: psirt@murrelektronik.de
Proces obsługi luk bezpieczeństwa rozpoczyna się w momencie zgłoszenia podatności, zarówno ze źródła zewnętrznego, jak i w wyniku ciągłego wewnętrznego monitoringu prowadzonego przez pracowników Murrelektronik (działy R&D, testów itp.) lub przez zewnętrznych dostawców usług testowych działających w imieniu firmy Murrelektronik.
Po otrzymaniu zgłoszenia następuje jego potwierdzenie oraz wstępna ocena. Zespół PSIRT koordynuje cały proces zarówno wewnętrznie, jak i na zewnątrz, zapewniając komunikację ze wszystkimi zainteresowanymi stronami.
Gdy luka bezpieczeństwa zostanie zweryfikowana i przeanalizowana, zespół PSIRT koordynuje działania ze wszystkimi zainteresowanymi stronami w celu opracowania środków zaradczych.
Szczegółowy opis można znaleźć w naszym dokumencie „Proces obsługi luk bezpieczeństwa” (Vulnerability Handling Process).
Możesz subskrybować aktualizacje na platformie CERT@VDE, gdzie publikujemy wszystkie nasze komunikaty bezpieczeństwa, pod tym linkiem.
Publikowane przez nas komunikaty bezpieczeństwa zazwyczaj zawierają większość lub wszystkie z następujących elementów:
- Numer identyfikacyjny komunikatu
- Data i godzina pierwszej publikacji oraz historia zmian, jeśli komunikat został zaktualizowany
- Tytuł: zawiera wystarczające informacje (np. o produkcie, którego dotyczy), pozwalające czytelnikowi szybko ocenić, czy komunikat jest dla niego istotny.
- Przegląd: krótki, ogólny opis luki bezpieczeństwa.
- Produkty dotknięte problemem: zawiera nazwę produktu, wersje sprzętu i oprogramowania, których dotyczy luka bezpieczeństwa, oraz – jeśli to możliwe – prosty i bezpieczny sposób sprawdzenia jej obecności.
- Opis: zawiera tyle informacji, aby użytkownicy mogli ocenić związane z luką ryzyko, nie zwiększając przy tym prawdopodobieństwa jej wykorzystania. W opisie można podać klasę podatności oraz wynik CVSS.
- Wpływ: zawiera potencjalne konsekwencje w przypadku wykorzystania odkrytej luki bezpieczeństwa oraz scenariusze ataków, które może ona umożliwić.
- Ważność: klasyfikacja luki bezpieczeństwa zgodnie z systemem oceniania podatności Common Vulnerability Scoring System (CVSS).
- Środki zaradcze: kroki, które użytkownicy mogą podjąć, aby ograniczyć lub zapobiec wykorzystaniu luki (obejścia), oraz działania niezbędne do usunięcia luki (np. poprzez instalację poprawek lub aktualizacji oprogramowania).
- Odnośniki do powiązanych informacji, np. innych komunikatów bezpieczeństwa lub identyfikatorów CVE (Common Vulnerabilities and Exposures).
- Podziękowanie dla osób zgłaszających lukę bezpieczeństwa, jeśli ma to zastosowanie.
- Dane kontaktowe zespołu PSIRT Murrelektronik
- Warunki użytkowania: zasady dotyczące praw autorskich i ponownego rozpowszechniania.
Komunikaty bezpieczeństwa publikowane przez Murrelektronik są dostępne za pośrednictwem kilku kanałów:
- Strona internetowa: Nasza strona PSIRT zawiera listę najnowszych i aktywnych komunikatów bezpieczeństwa. Znajduje się na niej także link do archiwum wszystkich opublikowanych komunikatów.
- CERT@VDE: Publikujemy nasze komunikaty bezpieczeństwa w bazie danych CERT@VDE.
Tak. Nasze komunikaty bezpieczeństwa są dostępne w formacie CSAF. Przy pobieraniu komunikatów można wybrać wersję PDF lub plik CSAF do odczytu przez systemy komputerowe.
Najnowszą wersję oprogramowania układowego (firmware) lub oprogramowania dla konkretnego produktu, którego używasz, zawsze można znaleźć w sekcji „Pobierz” tego produktu w naszym sklepie internetowym.
Każdy opublikowany komunikat bezpieczeństwa zawiera wszystkie niezbędne linki i instrukcje do instalacji aktualizacji lub poprawek związanych z bezpieczeństwem.
