Нашите процеси за сигурност

 

Верига за доставки на продукти

Веригата за доставки за продукти на Lenovo получи признание в класацията Топ 25 на Gartner в последните три години. Тя играе важна роля в разработването, производството и доставката на нашите продукти. Веригата за доставки започва с управлението и контрола на база от квалифицирани доставчици, които осигуряват квалифицирани и сигурни компоненти за използване в разработката и производството.

Важните компоненти с големи обеми се проследяват чрез баркодове и се контролират в инвентара и процеса на сглобяване на доставчика до получаването им в Lenovo. Производството се осъществява в защитена, контролирана среда, включително защитено физическо съоръжение и защитена мрежа. След това завършените продукти се опаковат с пломби против външна намеса за кутиите и палетите. Пратките се проследяват от началната точка до доставката при клиента.

Диаграмата по-долу показва целия жизнен цикъл на продукта. Веригата за доставки включва области, идентифицирани като доставчици, и производство и тестване от Lenovo.

Изисквания относно сигурността на продуктите

Примерни изисквания за сигурност:

  • - BIOS
  • - BIOS Guard
  • - Boot Guard
  • - Secure Boot
  • - Secure Flash (NIST) SP800-147
  • - и други

* Надеждни хардуерни компоненти

  • - Микропроцесор Intel
  • - Чипсет Intel (Mgmnt Engine)
  • - TPM (модул за надеждна платформа)
  • - Четец за пръстови отпечатъци
  • - и други

* Местоположения на производство

  • * Опции за предварително зареждане на софтуер
  • - Операционни системи Windows
  • - Предоставени от клиенти изображения
  • - Шифроване в покой (at rest)
  • - и други
Разработване от Lenovo
Доставчици
Производство и тестване от Lenovo
Клиенти
Обслужване

Част от цялото

Система за управление

Под контрола на екипа за разработване на предложения Offering Development Team (ODT)
(обхваща целия жизнен цикъл на продукта)

Примерни мерки за контрол на процеса:

Защитени сгради (офис, лаборатории, производство)

Защитени мрежи

Контрол на софтуера

Контрол на BIOS/фърмуера

Управление на ключове

Списък с доверени доставчици

Процес на контролна точка за вземане на решение (Decision Check Point (DCP))

Ръководител на ODT екипа, отговорен за:

1) Гарантиране, че всички процеси се спазват

2) Осигуряване на съответствие на членовете на ODT екипа по отношение на сигурността

Изисквания относно сигурността на продуктите
Разработване от Lenovo
Доставчици
Производство и тестване от Lenovo
Клиенти
Обслужване

Примерни изисквания за сигурност:

  • - BIOS
  • - BIOS Guard
  • - Boot Guard
  • - Secure Boot
  • - Secure Flash (NIST) SP800-147
  • - и други

* Надеждни хардуерни компоненти

  • - Микропроцесор Intel
  • - Чипсет Intel (Mgmnt Engine)
  • - TPM (модул за надеждна платформа)
  • - Четец за пръстови отпечатъци
  • - и други

* Местоположения на производство

  • * Опции за предварително зареждане на софтуер
  • - Операционни системи Windows
  • - Предоставени от клиенти изображения
  • - Шифроване в покой (at rest)
  • - и други
Разработване
Хардуер
Софтуер
BIOS
Фърмуер
Верига за доставки
Дистрибуция
- Директно
- Партньор
Инструменти за продажби
Връщане
Ремонт
Надграждане
Изхвърляне
Обслужване и поддръжка

Част от цялото

Система за управление

Под контрола на екипа за разработване на предложения Offering Development Team (ODT)
(обхваща целия жизнен цикъл на продукта)

Примерни мерки за контрол на процеса:

Защитени сгради (офис, лаборатории, производство)

Защитени мрежи

Контрол на софтуера

Контрол на BIOS/фърмуера

Управление на ключове

Списък с доверени доставчици

Процес на контролна точка за вземане на решение (Decision Check Point (DCP))

Ръководител на ODT екипа, отговорен за:

1) Гарантиране, че всички процеси се спазват

2) Осигуряване на съответствие на членовете на ODT екипа по отношение на сигурността

Наред с това, има техническа работа, необходима за поддръжка на продукта през целия му жизнен цикъл. След като продуктът бъде изпратен, обикновено има необходимост от квалифициране на компоненти за подмяна на части в края на жизнения им цикъл, както и нужда от осигуряване на актуализации на BIOS/фърмуера посредством сигурен процес. Това е част от цялостната поддръжка и управление на жизнения цикъл на продукта.

Планирането и разработването на продукти включва множество области през целия жизнен цикъл на продукта. Дейността по планирането започва с дефиниране на изискванията за сигурност при изготвянето на първоначалната концепция за продукта, за да се балансират нуждите от сигурност и достъпност на данните. Осъществяват се подобрения, за да се включи текущ преглед и усъвършенстване на важните процеси за защитено разработване, чрез които продуктите се проектират и тестват. След като изискванията за сигурност бъдат документирани, екипите на Lenovo за разработване на продукти установяват планове за внедряване на подходящите функции в новите продукти. Фазата на разработване се фокусира върху следните области:

  • Разработване и квалификации
  • BIOS/фърмуер
  • Софтуер

Контрол и управление на доставчиците

Стабилната и надеждна база от доставчици във веригата за доставки за продукти – включително ODM и ОЕМ, производители на компоненти, доставчици на BIOS и софтуер – е много важна за успеха на всеки производител на технологични устройства. За да гарантира това, Lenovo използва процес за квалифициране на своите основни доставчици и последващо официално оценяване на всяко тримесечие. Много от доставчиците на Lenovo са партньори на компанията от над 20 години. Тези взаимоотношения се управляват внимателно и новите доставчици подлежат на щателна оценка.

Lenovo усъвършенства своите взаимоотношения с доставчиците чрез програма за доверени доставчици Trusted Supplier Program.  Целта на програмата е управление на риска за клиента чрез внедряване на документирана и подлежаща на одит програма за сигурност на веригата за доставки като част от цялостния процес за сигурност на продуктите.  Програмата за доверени доставчици Trusted Supplier Program се фокусира върху доставчиците на интелигентни компоненти, ODM, OEM и доставчиците на ремонтни услуги, които могат да повлияят върху сигурността на клиента.

Интелигентните компоненти включват:

  • всеки софтуер или фърмуер на всеки микропроцесор,
  • самия микропроцесор,
  • всяко устройство с полупроводникова технология, което има способност за обработка на данни,
  • всеки компонент или устройство, което има вътрешна памет,
  • всеки компонент или устройство, което извършва входно/изходна функция.

Lenovo преглежда постоянно и проактивно своите изходни изисквания, за да гарантира, че е в крак с – и изпреварва – тенденциите и уязвимостите в хода на тяхното възникване на технологичния пазар.

Работата на Lenovo за осигуряване на защита на своите продукти и верига за доставки е получила признание от Chain Security, LLC, една от водещите компании в областта на сигурността в САЩ. Това заключение идва след почти три години детайлно проучване на процесите за сигурност, корпоративното управление и програмите за доставчици на Lenovo. Резултатът от този анализ е 20 страници писмо за атестация, в което Chain Security описва своята работа с Lenovo, промените и подобренията, които Lenovo е въвела през последните две години, и заключението на Chain Security, че Lenovo “вероятно изпреварва тенденциите в сектора” по отношение на тези процеси за сигурност.

За да прочетете цялото писмо, кликнете тук.

Управление на риска

Lenovo разчита на глобалната си верига за доставки при проектирането, изграждането и доставянето на технологични решения, на които нашите клиенти могат да се доверят. Стратегически, има пет основни аспекта/стъпки, които следваме при управлението на рисковете, свързани с веригата за доставки:

  1. Идентифициране на потенциалните рискове, свързани с веригата за доставки;
  2. Защита на веригата за доставки на Lenovo посредством специални мерки;
  3. Ранно разпознаване на проблемите, което осигурява повече време и възможности за реакция;
  4. Възможно най-бърза реакция за редуциране на всякакви заплахи;
  5. Възстановяване с минимум последствия за клиентите чрез създаване на верига за доставки, която е устойчива.

За да изпълни тази стратегия, Lenovo постоянно оценява, актуализира и оптимизира своите системи за верига за доставки, за да удовлетвори нуждите на клиентите и бизнеса.

  • Lenovo редовно проверява своите доставчици по отношение на съвместимостта, сигурността и финансовата им стабилност. За важните компоненти ще се извършва оценка при необходимостта от няколко доставчици (или няколко производствени обекта на доставчик).
  • Lenovo също така наблюдава отблизо вътрешните процеси, тествайки редовно силата на нашите контролни мерки.


Всяко обстоятелство, което влияе на способността ни да удовлетворяваме нуждите на нашите клиенти, трябва да бъде наблюдавано, анализирано и овладявано – и в крайна сметка редуцирано. Чрез ранно идентифициране на проблемите Lenovo може:

  1. да адаптира веригите за доставки, за да намали влиянието,
  2. да работи с доставчиците за решаване на проблемите,
  3. да смени доставчика, ако проблемите остават нерешени.

Минимизирането на риска във веригата за доставки както за Lenovo, така и за клиентите, е важен аспект.

Сигурно производство

Защитеното производствено съоръжение изисква следното:

  • Физическа сигурност: стабилни практики и контролни мерки, които управляват сигурността на персонала и физическите съоръжения. Това включва контрол на достъпа и наблюдение на посетителите и доставките.
  • Защитени производствени процеси: вътрешните производствени зони, процеси и контролни мерки се управляват стриктно, а по-големите компоненти и модули се проследяват електронно. Крайните продукти се инспектират и след това тестват, за да се потвърди, че отговарят на изискванията за сигурност, надеждност и функционалност.
  • Защитено инсталиране на софтуер и BIOS дистрибуция: инсталирането на софтуер за клиента (т.е. предварително инсталиране на избрана от клиента ОС и друг софтуер) и конфигурирането на BIOS са чувствителни стъпки в производствения процес. Lenovo предприема допълнителни предпазни мерки, за да осигури защита на тези компоненти от всякакъв вид външна намеса.

Сигурна логистика

Логистичната дейност на Lenovo покрива опаковане, спедиция и доставка. След като продуктите бъдат изградени и тествани, те се опаковат и подготвят за спедиция с материали за регистриране на външна намеса, така че всякакви проблеми да могат да бъдат забелязани незабавно и по пътя и инцидентът да бъде обследван. След опаковането Lenovo работи с квалифицирани доставчици на логистични услуги, за да организира сигурна доставка на продуктите до крайните клиенти. Сигурността през целия процес на спедиция включва защитени съоръжения, камиони и превозни средства и внимателно подбрани служители, посетители и шофьори. Пратките се проследяват от момента, в който напуснат сградите на Lenovo, до получаването им в обекта на клиента.

Управление на жизнения цикъл

Ангажиментът на Lenovo към сигурността продължава много след като продуктите бъдат доставени до клиентите. Операционните системи, приложенията, чипсетовете, фърмуерът и BIOS могат да получават чести актуализации както от Lenovo, така и от доставчиците в екосистемата на компанията, включително доставчиците на мобилни услуги.  Тези актуализации могат да представляват планирани подобрения или да бъдат резултат от работата на екипа PSIRT за корекция на уязвимост в сигурността. Независимо от техния тип, Lenovo използва процеси за защитено доставяне на софтуерни актуализации и компоненти през целия жизнен цикъл на продукта дори и в случаите, когато доставчиците може да са преустановили производството на компоненти, използвани в системите на Lenovo. Това създава нуждата от квалифициране на нови части, които да могат да се използват за обслужване. Lenovo има ангажимента да използва части за подмяна на доставчици от списъка с доверени доставчици.

 
СПОДЕЛЯНЕ