Често задавани въпроси за киберсигурност на Siemens
Прочетете нашите често задавани въпроси за киберсигурността, за да научите за мерките, които Siemens Digital Industries Software (DI SW) предприема за сигурността на нашите системи.
Контрол на достъпа
Да. Данните в нашите облачни услуги по подразбиране имат нулев достъп. Администраторите на клиентите ще предоставят или премахват достъп на потребителите.
В рамките на софтуера за цифрова индустрия на Siemens (Siemens) тримесечно преглеждаме облачните акаунти за достъп с най-малко привилегии. Този модел включва разделяне на задълженията, принципа „необходимост да се знае“ и процес на искане и одобрение за всички искания за достъп.
Достъпът до производствената облачна среда се контролира чрез определен набор от точки за достъп и се ограничава до специфични, привилегировани членове на екипа. Потребителите се удостоверяват до точките за достъп, като използват фирмени идентификационни данни с хардуерно многофакторно удостоверяване (MFA) в зависимост от това къде се намират производствените активи. Паролите, заедно с двуфакторното удостоверяване, се използват за достъп до мрежови устройства. Те са ограничени до упълномощени лица и системни процеси въз основа на служебните отговорности и се променят периодично.
Приложимите изисквания за контрол на достъпа включват също управление на потребителския достъп, привилегирован достъп, преглед на достъпа, многофакторно удостоверяване и изтичане на паролата, продължителност, блокиране и сложност, заедно с изисквания за процесите на регистрация и дерегистрация, ограничаване на достъпа, най-добрите практики за идентификационни данни и прегледи на правата за достъп на потребителите.
Да. Отделът за съоръжения на Siemens отговаря за оценката на физическите ни местоположения, прилагането на физически мерки за сигурност и периодичното коригиране на тези мерки според нуждите. Механизмите за физически контрол на достъпа (например идентификационни значки, контролиран прием, камери, регистриране на достъп) се прилагат в офис сгради, центрове за данни и други локации на Siemens.
Сертификати и стандарти
Поддържаме различни сертификати за информационна сигурност, включително ISO 27001/17/18, SOC2, TISAX, Cloud Security Alliance (CSA) STAR Level One CAIQ и Cyber Essentials Plus.
За повече информация вижте Страница Системни сертификати.
Внедрихме и продължаваме да наблюдаваме значителен брой контроли в NIST SP 800-53 и нашите насоки са в съответствие с ISO 27001 и рамките за съответствие SOC 2.
Поверителност на данните
Да. Внедрихме технически и организационни мерки (TOMs), базирани на принципите за защита на данните, за да защитим нашите системи, да отговорим на изискванията на GDPR и да защитим правата на субектите на данни.
За подробности относно TOMs на Сименс вижте Приложение II към нашите Terms за поверителност на данните.
Процедурите за справяне с правата на субектите на данни са намерени в нашите Terms за поверителност на данните, раздел 10, който описва как се обработват правата на субектите на данни в съответствие с GDPR. По принцип Siemens уведомява клиента без ненужно забавяне, ако Siemens получи искане от субект на данни за упражняване на правата на субекта на данни (като право на достъп, коригиране, изтриване или ограничаване на обработването). След това Siemens ще съдейства на клиента с технически и организационни мерки за изпълнение на задължението му да отговаря на такива искания и да спазва приложимото законодателство за защита на данните.
Практики за развитие
Вашата организация има ли структуриран подход „Защита на данните по дизайн/по подразбиране“ при внедряването на нови технологии? Как превръщате защитата на данните в основен компонент на основната функционалност на вашите системи и услуги за обработка?
Да. За Siemens Privacy by Design означава, че законността, прозрачността, информационното самоопределение, икономиката на данните и сигурността на данните вече се вземат предвид при разработването на нашите продукти и услуги. Следователно концепциите за поверителност по дизайн са интегрирани в нашите процеси за разработване на продукти, където е приложимо.
Да. Създадохме насоки и изисквания за разработване на софтуер и хранилища на изходни кодове, които включват насоки за сигурност през целия жизнен цикъл на разработване на софтуер и услуги. Тези насоки обхващат теми като поддържане на изходен код в одобрени хранилища (включително регистриране и мониторинг), обучение за сигурна разработка за софтуерни инженери и анализатори на програмисти и изисквания за сигурна разработка, тестване и оперативна среда.
Нашите практики за кодиране са пряко информирани от Отворен световен проект Security на приложенията (OWASP) стандарти. Внедрява се комбинация от тестове за сигурност (като проникване, статичен и/или динамичен анализ), за да се идентифицират рисковете за сигурността на уеб приложенията „Топ 10“ на OWASP и свързаните с тях проблеми. Всички открити критични проблеми се решават възможно най-скоро, докато по-малките проблеми обикновено се разглеждат в бъдещи издания.
Защита на данните
Да. Както данните в облака при транзит, така и данните в покой (включително резервни копия) са криптирани.
Да. Нашите служители са длъжни да преминават ежегодно обучение по осведоменост за сигурността. Темите, обхванати в това обучение, включват сигурно използване на програми и инструменти, методи за фишинг, сигурност на паролата и многофакторно удостоверяване, класификация на информацията, мобилна сигурност на работата/домашния офис, сигурна комуникация и др.
Да. Неразкриването е разгледано в Директивите на компанията на Siemens, които всеки служител се съгласява да се придържа в трудовите споразумения. Нашите споразумения с нашите партньори и доставчици включват също задължения за поверителност и прилагат Правилата на Siemens за бизнес партньори, които определят правилното боравене с поверителна информация.
Непрекъснатост на бизнеса и възстановяване при ката
Да. Нашата SLA за работа варира в зависимост от нивото на обслужване, приложимо за съответната облачна услуга.
Стандарт = 98%
Подобрен = 99.5%
Максимум = 99,95%
(Подобрена и максимална наличност може да не са налични за всяка облачна услуга)
За подробности вижте Рамка за поддръжка в облак и ниво на обслужване (Cloud SLA).
Да, чрез нашето ниво на услуга за поддръжка на злато.
Вижте нашите Рамка за поддръжка в облак и ниво на обслужване (Cloud SLA) за подробности.
Да. Освен ако не е посочено друго в Центъра за поддръжка, облачните услуги имат прозорец за редовна поддръжка седмично за обслужван регион, както следва:
- Америка: Събота 1:00 сутринта до понеделник 3:00 сутринта Източна САЩ (GMT -4)
- Европа, Близкия изток и Африка: събота 1:00 сутринта до понеделник 3:00 сутринта Централноевропейско време (GMT +2)
- Азиатско-тихоокеанско: събота 1:00 сутринта до понеделник 3:00 сутринта Японско стандартно време (GMT +9)
Клиентите могат да се абонират за автоматично уведомяване за планираните престои в нашия Център за поддръжка.
Да, архивираме клиентските данни, хоствани чрез нашите облачни услуги. Всички облачни услуги, които се предоставят на стандартно ниво на обслужване, извършват ежедневно архивиране, което се поддържа в продължение на две седмици, и месечно архивиране, което се поддържа в продължение на три месеца. Следвайки същите процеси на достъп и криптиране като оригиналните данни, всички обектни данни се архивират във вторичен системен акаунт/център за данни в същия географски регион като оригиналните данни.
За повече информация относно запазването на данни и опциите за подобрено и максимално ниво на Siemens (наличността варира в зависимост от продукта) вижте раздел 3.1 в Рамка за поддръжка в облак и ниво на обслужване („Cloud SLA“).
Да. Ние прилагаме изисквания към процесите на управление на информационната сигурност, критерии и собственост, за да поддържаме бизнеса в неблагоприятни ситуации.
Процедурите за възстановяване на данни от резервни копия се тестват поне веднъж годишно и се преразглеждат като част от процесите на вътрешен и външен одит.