О безопасности продуктов Lenovo

Lenovo: что мы делаем для обеспечения безопасности продуктов

ЧТО МЫ ДЕЛАЕМ ДЛЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
ПРОЕКТИРОВАНИЕ И РАЗРАБОТКА
ПРОЦЕССЫ ПОСТАВКИ
УПРАВЛЕНИЕ И ПОДДЕРЖКА
РАЗРЕШЕНИЕ ИНЦИДЕНТОВ
НАШИ ОБЯЗАТЕЛЬСТВА


Быстрые темпы разработки продукта и наличие постоянной угрозы со стороны хакеров приводят к тому, что ни один производитель не может гарантировать стопроцентного отсутствия уязвимостей в своих продуктах. Lenovo понимает, что должна поставлять продукты и решения, которые не только обеспечивают необходимый уровень функциональности, но и содержат средства защиты конфиденциальности, целостности и доступности данных. Для выполнения такой задачи Lenovo непрерывно работает над тем, чтобы защитить своих клиентов от постоянно изменяющихся угроз безопасности.

Lenovo сформировала специальную команду профессионалов в области безопасности, обладающих опытом в следующих областях:

  • Архитектура безопасности. Соблюдение технических требований при проектировании продукта и его стратегии.
  • BIOS/микропрограммы/безопасность приложений. Проверка кода и аутентификация.
  • Этический взлом. Тестирование на уязвимости по принципу «белых хакеров».
  • Цепочка поставок. Тщательная оценка безопасности каждого поставщика, предоставляющего компоненты, сборки, микропрограммы, программное обеспечение и пользовательские конфигурации.
  • Служба поддержки. Устранение проблем и решение вопросов клиентов.
  • Реагирование на инциденты. Меры по снижению рисков и устранение выявленных проблем.
  • Управление проектами. Мониторинг контрактов подрядчиков и управление реализацией программ.
  • Осведомленность клиентов. Сообщения об инцидентах, связанных с безопасностью, а также уведомления о стратегии компании.

Весь этот опыт мы используем для решения проблем, связанных с безопасностью наших продуктов и услуг: отслеживаем на постоянной основе потенциальные риски и задействуем способы их снижения.

Система управления безопасностью продуктов Lenovo создана для обеспечения безопасности всего жизненного цикла продукта, включая этапы разработки и производства, поддержки клиентов, и гарантирует, что средства безопасности полностью интегрированы в продукты, а не являются неким дополнением.

  • Контроль безопасности продукта (или управление) является составной частью этого процесса, гарантируя разработку продукта в соответствии с необходимыми безопасными процессами, особенно при создании и распределения BIOS и микропрограмм.
  • Еще на стадии первоначального планирования своих продуктов мы стремимся учитывать критически важные функции безопасности, которые необходимы нашим клиентам.
  • На протяжении всего процесса разработки и тестирования программа этического взлома Lenovo позволяет получать представление о потенциальных проблемах клиентов, которые можно устранить еще до отправки продукта клиентам.
  • Учебные программы, проводимые на постоянной основе, помогают ключевым сотрудникам оставаться в курсе важнейших вопросов безопасности и способов их решения в отношении конкретных продуктов.

Используемый процесс с жесткими критериями оценки поставщиков продуктов позволяет также проводить оценку с учетом потенциала поставок и в соответствии со стандартами качества. Lenovo также оценивает весь процесс разработки и производства по каждому поставщику, тем самым помогая выявлять и сводить к минимуму угрозы безопасности. В соответствии с условиями контракта поставщики обязаны отвечать требованиям безопасности Lenovo. Получив необходимую квалификацию, поставщики проходят повторные проверки на регулярной основе, чтобы оставаться в курсе актуальных технологий и методов безопасности.

Lenovo защищает продукты по всей цепочке поставок. Для устранения риска подделки ключевые компоненты продуктов маркируются. Критически важные детали контролируются поставщиками и отслеживаются в ходе процесса сборки. Этот адрес поставщиков для загрузки микропрограмм и программного обеспечения тщательно оценивается, чтобы свести к минимуму возможность проникновения вредоносного ПО в продукт. Наконец, Lenovo использует надежные упаковочные материалы и методы отслеживания продукта, начиная с отгрузки до получения продукта.

Деятельность Lenovo, направленная на обеспечение безопасности своих продуктов и цепочки поставок, получила признание компании Chain Security, одного из лидеров в области обеспечения безопасности в США. Такое решение было принято на основании почти трехлетнего тщательного изучения процессов безопасности, корпоративного управления и программы поставок Lenovo. Результатом проведенного анализа стало 20-страничное свидетельство, в котором Chain Security подробно описывает свою работу с Lenovo, изменения и улучшения, реализованные Lenovo за последние два года, а также заключение Chain Security о том, что Lenovo «вероятнее всего опережает отрасль» в условиях данных процессов безопасности.

Чтобы ознакомиться с полной версией письма, нажмите здесь..

Lenovo оказывает постпродажную поддержку по обеспечению безопасности, которая включает: 1) обновления безопасности для программного обеспечения или микропрограммы и 2) замену предусмотренных деталей. Такие процедуры обеспечат защиту клиентов и безопасность их продуктов.

Ключевой частью департамента безопасности продуктов Lenovo является команда реагирования на инциденты безопасности продукта. Ни один продукт не может быть защищен на все 100 процентов от угроз и уязвимостей системы безопасности, и в этой связи Lenovo стремится свести к минимуму риски или
уязвимости, воздействующие на продукты. Команда реагирования на инциденты безопасности продуктов Lenovo сотрудничает с другими специалистами отрасли для выявления новых уязвимостей или угроз, представляющих риски для продуктов Lenovo, и по результатам такой работы выпускает исправления для их устранения. Рекомендации по обеспечению безопасности продуктов Lenovo доступны здесь: https://support.lenovo.com/product_security/home. Чтобы сообщить о новых уязвимостях, свяжитесь с командой реагирования на инциденты безопасности продуктов Lenovo: psirt@lenovo.com

Технологии безопасности, используемые в продуктах Lenovo, сделали ее лидером отрасли. Lenovo осознает необходимость постоянно завоевывать доверие своих клиентов и сообщества профессионалов в области безопасности. Мы признаем, что всегда можем добиться большего успеха, и поэтому стремимся выявлять лучшие отраслевые практики и руководствоваться ими.

ПОДЕЛИТЬСЯ