Naš bezbednosni proces

 

Lanac snabdevanja proizvoda

Lanac snabdevanja proizvoda kompanije Lenovo se poslednje tri godine nalazi na Gartnerovoj Top 25 listi. On ima ključnu ulogu u razvoju, proizvodnji i isporuci naših proizvoda. Ovaj lanac snabdevanja započinje upravljanjem i kontrolom baze ovlašćenih dobavljača, koji obezbeđuju pouzdane i bezbedne komponente za korišćenje u procesu razvoja i proizvodnje.

Kritične komponente koje se isporučuju u velikim količinama se prate putem barkodova i kontrolišu se u procesu popisa i montaže dobavljača, sve dok ih ne primi kompanija Lenovo. Proizvodnja se odvija u bezbednom, kontrolisanom okruženju, što obuhvata siguran fizički objekat i sigurnu mrežu. Završeni proizvodi se zatim pakuju sa sigurnosnim zatvaračima za kutije i palete. Pošiljke se zatim prate od mesta porekla do isporuke kupcu.

Dijagram u nastavku prikazuje ceo životni ciklus proizvoda. Lanac snabdevanja uključuje oblasti identifikovane kao „Dobavljači“ i „Proizvodnja i testiranje u kompaniji Lenovo“.

Zahtevi za bezbednost proizvoda

Primer zahteva za bezbednost:

  • – BIOS
  • – BIOS Guard
  • – Boot Guard
  • – Secure Boot
  • – Secure Flash (NIST) SP800-147
  • – itd.

* Pouzdane hardverske komponente

  • – Mikroprocesor kompanije Intel
  • – Intel skup čipova (Mgmnt Engine)
  • – TPM čip
  • – Čitač otisaka prstiju
  • – itd.

* Proizvodne lokacije

  • * Opcije za učitavanje softvera unapred
  • – Operativni sistem Windows
  • – Slike koje obezbeđuju korisnici
  • – Šifrovanje neaktivnih podataka
  • – itd.
Razvoj u kompaniji Lenovo
Dobavljači
Proizvodnja i testiranje u kompaniji Lenovo
Korisnici
Usluga

Deo celine

Sistem upravljanja

Kontrolisao tim Offering Development Team (ODT)
(obuhvata ceo životni vek proizvoda)

Primer kontrole procesa:

Bezbedne zgrade (kancelarije, laboratorije, proizvodne prostorije)

Bezbedne mreže

Kontrola softvera

Kontrola BIOS-a/firmvera

Upravljanje ključevima

Lista pouzdanih dobavljača

Proces kontrolne tačke (Decision Check Point, DCP)

Odgovornosti direktora tima ODT:

1) da osigura praćenje svih procesa

2) promoviše usklađenost sa bezbednosnim merama kod članova ODT tima

Zahtevi za bezbednost proizvoda
Razvoj u kompaniji Lenovo
Dobavljači
Proizvodnja i testiranje u kompaniji Lenovo
Korisnici
Usluga

Primer zahteva za bezbednost:

  • – BIOS
  • – BIOS Guard
  • – Boot Guard
  • – Secure Boot
  • – Secure Flash (NIST) SP800-147
  • – itd.

* Pouzdane hardverske komponente

  • – Mikroprocesor kompanije Intel
  • – Intel skup čipova (Mgmnt Engine)
  • – TPM čip
  • – Čitač otisaka prstiju
  • – itd.

* Proizvodne lokacije

  • * Opcije za učitavanje softvera unapred
  • – Operativni sistem Windows
  • – Slike koje obezbeđuju korisnici
  • – Šifrovanje neaktivnih podataka
  • – itd.
Razvoj
Hardver
Softver
BIOS
Firmver
Lanac snabdevanja
Distribucija
– Direktna
– Preko partnera
Prodajni alati
Povraćaji
Popravke
Nadogradnje
Odlaganje
Usluga i podrška

Deo celine

Sistem upravljanja

Kontrolisao tim Offering Development Team (ODT)
(obuhvata ceo životni vek proizvoda)

Primer kontrole procesa:

Bezbedne zgrade (kancelarije, laboratorije, proizvodne prostorije)

Bezbedne mreže

Kontrola softvera

Kontrola BIOS-a/firmvera

Upravljanje ključevima

Lista pouzdanih dobavljača

Proces kontrolne tačke (Decision Check Point, DCP)

Odgovornosti direktora tima ODT:

1) da osigura praćenje svih procesa

2) promoviše usklađenost sa bezbednosnim merama kod članova ODT tima

Pored toga, postoje tehnički poslovi neophodni za podršku proizvodu tokom njegovog veka trajanja. Kada se proizvod isporuči, obično je potrebno koristiti komponente za zamenu bilo kog dela koji je dostigao kraj svog veka trajanja (End-of-life, EOL), a potrebno je obezbediti i ažuriranja BIOS-a/firmvera putem bezbednog procesa. To su delovi upravljanja celim životnim ciklusom i tehničke podrške za proizvod.

Planiranje i razvoj proizvoda obuhvataju mnoge oblasti tokom životnog ciklusa proizvoda. Aktivnost planiranja započinje definisanjem bezbednosnih zahteva kada se proizvodi dizajniraju po prvi put da bi se uravnotežile potrebe koje se odnose na bezbednost i dostupnost podataka. Poboljšanja se razvijaju da bi se obuhvatile tekuće revizije i napredak u kritičnim procesima razvoja bezbednosti tokom kojih su proizvodi projektovani i testirani. Kada se dokumentuju bezbednosni zahtevi, timovi za razvoj proizvoda kompanije Lenovo utvrđuju planove za uključivanje novih funkcija u nove proizvode. Faza razvoja se fokusira na sledeće oblasti:

  • Razvoj i kvalifikacije
  • BIOS/firmver
  • Softver

Upravljanje i kontrola dobavljača

Snažna baza dobavljača u lancu snabdevanja proizvoda, što uključuje ODM, OEM, proizvođače komponenti, dobavljače BIOS-a i softvera, je ključna za uspeh svakog proizvođača tehnoloških uređaja. Da bi to osigurala, kompanija Lenovo je uspostavila proces za svoje primarne isporučioce, tako da oni moraju da ispune određene zahteve, a zatim se oni formalno ocenjuju kvartalno. Mnogi dobavljači kompanije Lenovo su njeni partneri preko 20 godina. Pažljivo upravljamo ovim odnosima, a novi dobavljači se temeljno procenjuju.

Kompanija Lenovo je poboljšala odnose sa dobavljačima putem programa Trusted Supplier.  Cilj ovog programa je upravljanje rizikom klijenta putem implementacije dokumentovanog i proverljivog bezbednosnog programa lanca snabdevanja kao jednog dela ukupnog procesa koji za cilj ima bezbednost proizvoda.  Program Trusted Supplier se fokusira na dobavljače inteligentnih komponenti, ODM, OEM i pružalaca usluga popravke koji mogu uticati na bezbednost korisnika.

Inteligentne komponente obuhvataju:

  • bilo koji softverski program ili program za firmver na bilo kom mikroprocesoru,
  • sam mikroprocesor,
  • bilo koji poluprovodnički uređaj koji ima sposobnost obrade podataka,
  • bilo koju komponentu ili uređaj koji ima internu memoriju,
  • bilo koju komponentu ili uređaj koji obavlja neku ulaznu/izlaznu funkciju.

Kompanija Lenovo proaktivno i neprekidno razmatra svoje izvorne zahteve da bi ostala u toku sa trendovima i mogućim ranjivostima, i da bi bila i ispred njih, pošto na tehnološkom tržištu stalno nastaju novi trendovi i pretnje.

Kompanija Chain Security, LLC, jedna od vodećih kompanija za bezbednost u SAD, prepoznala je napore koje kompanija Lenovo ulaže da osigura bezbednost svojih proizvoda i lanca snabdevanja. Ovaj zaključak je donet nakon gotovo tri godine detaljnog proučavanja procesa vezanih za bezbednost u kompaniji Lenovo, korporativnog upravljanja i programa dobavljača. Rezultat ove analize je sertifikat na 20 stranica u kojem kompanija Chain Security iznosi detalje o svom radu sa kompanijom Lenovo, promenama i poboljšanjima koje je kompanija Lenovo načinila u poslednje dve godine i zaključak kompanije Chain Security da je kompanija Lenovo “verovatno ispred drugih kompanija u svom sektoru” u pogledu ovih bezbednosnih procesa.

Da biste pročitali ceo sertifikat, kliknite ovde.

Upravljanje rizicima

Kompanija Lenovo se oslanja na svoj globalni lanac snabdevanja koji joj omogućava projektovanje, izgradnju i isporuku pouzdanih tehnoloških rešenja svojim korisnicima. Strateški, postoji pet ključnih oblasti/koraka koje sledimo u procesu upravljanja rizicima u lancu snabdevanja:

  1. identifikovanje potencijalnih rizika u lancu snabdevanja;
  2. zaštita lanca snabdevanja kompanije Lenovo putem specijalnih kontrola;
  3. rano otkrivanje problema, što daje više vremena i opcija kojima može da se reaguje;
  4. što je moguće brža reakcija da bi se umanjile bilo koje pretnje; i
  5. projektovanje prilagodljivog lanca snabdevanja koji korisnicima obezbeđuje minimalni period zastoja.

Da bi ova strategija u potpunosti uspela, kompanija Lenovo neprekidno ocenjuje, ažurira i optimizuje sisteme u svom lancu snabdevanja da bi zadovoljila potrebe klijenata i poslovnih korisnika.

  • Kompanija Lenovo redovno proverava svoje dobavljače i prodavce kako bi videla njihov finansijski status, sigurnost i status usklađenosti sa našim zahtevima. Za ključne komponente će biti procenjena potreba za više dobavljača (ili više proizvodnih lokacija dobavljača).
  • Kompanija Lenovo pažljivo nadgleda i interne procese i redovno testira pouzdanost svojih kontrola.


Sve okolnosti koje utiču na našu sposobnost da ispunimo potrebe svojih korisnika moraju da se nadgledaju, analiziraju i kontrolišu, a po potrebi i koriguju. Rana identifikacija problema kompaniji Lenovo omogućava sledeće:

  1. da prilagodi lanac snabdevanja kako bi uticaj tog problema svela na najmanju meru,
  2. da radi sa dobavljačima na rešavanju problema,
  3. da zameni dobavljača ako problemi ostanu nerešeni.

Smanjenje rizika u lancu snabdevanja je od ključne važnosti i za kompaniju Lenovo i za njene korisnike.

Bezbedna proizvodnja

Za bezbednu lokaciju za proizvodnju je potrebno sledeće:

  • Fizička bezbednost: dobre prakse i kontrole upravljaju bezbednošću zaposlenih i fizičkih objekata. Ovo obuhvata kontrole pristupa i praćenje posetilaca i isporuka.
  • Bezbedni proizvodni procesi: unutar proizvodnih oblasti, pažljivo se upravlja procesima proizvodnje i kontrole, dok se proizvodnja glavnih komponenti i podmodula prati elektronski. Konačni proizvodi se pregledaju, a zatim testiraju da bi se potvrdilo da ispunjavaju zahteve za bezbednost, pouzdanost i funkcionalnost.
  • Bezbedno snimanje softvera i distribucija BIOS-a: obrada korisničkih zahteva (npr. prethodna instalacija operativnog sistema koji je izabrao korisnik i drugog aplikativnog softvera) i konfiguracija BIOS-a su osetljivi koraci u procesu proizvodnje. Kompanija Lenovo preduzima dodatne mere predostrožnosti kako bi ovi koraci bili zaštićeni od spoljnih uticaja.

Bezbedna logistika

Logistika kompanije Lenovo obuhvata pakovanje, otpremanje i isporuku. Kada su proizvodi napravljeni i testirani, oni se pakuju i pripremaju za otpremanje sa materijalima za evidentiranje neovlašćenog rukovanja, tako da se svi problemi mogu zabeležiti odmah tokom tranzita, a svi incidenti se mogu istražiti. Nakon pakovanja, kompanija Lenovo sarađuje sa pouzdanim logističkim dobavljačima da bi sigurno isporučila proizvode krajnjim korisnicima. Zaštita tokom procesa otpremanja obuhvata bezbedne objekte, kamione i prevozna sredstva i temeljne procese verifikacije zaposlenih, posetilaca i vozača. Pošiljke se prate od trenutka kada napuste zgrade kompanije Lenovo pa sve dok se ne isporuče korisnicima.

Upravljanje životnim ciklusom

Posvećenost kompanije Lenovo pitanjima vezanim za bezbednost se nastavlja i nakon što se proizvodi isporuče korisnicima. Kompanija Lenovo može često da ažurira operativni sistem i aplikativni softver, skup čipova, firmver i BIOS, kao i sistem dobavljača, uključujući i mobilne operatere.  Ova ažuriranja mogu biti zakazana poboljšanja ili mogu nastati kao rezultat rada tima PSIRT na ispravljanju ranjivosti bezbednosti. Bez obzira na razlog, kompanija Lenovo ima ustanovljene procese za bezbednu isporuku softverskih ažuriranja i komponenti tokom celog veka trajanja proizvoda, čak i u slučajevima kada su dobavljači prekinuli proizvodnju komponenti koje se koriste u Lenovo sistemima. Rezultat toga je potreba za određivanjem novih delova koji se mogu koristiti za popravke. Kompanija Lenovo se obavezala da obezbedi rezervne delove od dobavljača koji se nalaze na listi pouzdanih dobavljača.

 
DELI