Часто задаваемые вопросы по кибербезопасности Siemens

Да. Данные в наших облачных сервисах по умолчанию не имеют доступа. Администраторы клиентов предоставляют или отключают доступ пользователям.

В Siemens Digital Industry Software (Siemens) мы ежеквартально проверяем облачные учетные записи на предмет доступа с наименьшими привилегиями. Эта модель включает разделение обязанностей, принцип «необходимо знать», а также процесс запроса и одобрения всех запросов на доступ.

Доступ к рабочей облачной среде контролируется с помощью определенного набора точек доступа и ограничен определенными привилегированными членами команды. Аутентификация пользователей на точках доступа осуществляется с использованием учетных данных компании с аппаратной многофакторной аутентификацией (MFA) в зависимости от того, где расположены производственные активы. Для доступа к сетевым устройствам используются пароли, а также двухфакторная аутентификация. Они доступны только уполномоченным лицам и системным процессам, основанным на должностных обязанностях, и периодически меняются.

Применимые требования к контролю доступа также включают управление доступом пользователей, привилегированный доступ, проверку доступа, многофакторную аутентификацию и истечение срока действия, длительность, блокировку и сложность пароля, а также требования к процессам регистрации и отмены регистрации, ограничению доступа, передовым практикам по учетным данным и проверке прав доступа пользователей.

Да. Отдел Siemens Facilities отвечает за оценку нашего физического местоположения, применение мер физической безопасности и периодическую корректировку этих мер по мере необходимости. Механизмы контроля физического доступа (например, идентификационные бейджи, контролируемый прием, камеры, регистрация доступа) внедрены в офисных зданиях, центрах обработки данных и других объектах Siemens.

У нас есть различные сертификаты по информационной безопасности, включая сертификаты ISO 27001/17/18, SOC2, TISAX, Cloud Security Alliance (CSA) STAR Level One CAIQ и Cyber Essentials Plus.

Для получения дополнительной информации см. Страница «Системные сертификаты».

Мы внедрили и продолжаем контролировать значительное количество средств управления, предусмотренных NIST SP 800-53, и наши рекомендации соответствуют стандарту ISO 27001 и стандартам соответствия SOC 2.

Да. Мы внедрили технические и организационные меры (TOM), основанные на принципах защиты данных, для защиты наших систем, соблюдения требований GDPR и защиты прав субъектов данных.

Подробнее о TOM компании Siemens см. Приложение II к нашим Условиям конфиденциальности данных.

Процедуры рассмотрения прав субъектов данных приведены в разделе 10 наших Условий конфиденциальности данных, в котором описано, как права субъектов данных обрабатываются в соответствии с GDPR. Как правило, Siemens уведомляет клиента без неоправданной задержки, если Siemens получает запрос от субъекта данных об осуществлении прав субъекта данных (таких как право на доступ, исправление, удаление или ограничение обработки). Затем Siemens поможет заказчику принять технические и организационные меры для выполнения своих обязательств по реагированию на такие запросы и соблюдению применимого законодательства о защите данных.

См. Условия конфиденциальности данных.

Применяется ли в вашей организации структурированный подход «Защита данных по умолчанию» при внедрении новых технологий? Как сделать защиту данных важным компонентом основной функциональности ваших систем обработки и услуг?

Да. Для Siemens принцип конфиденциальности через дизайн означает, что законность, прозрачность, информационное самоопределение, экономика данных и безопасность данных уже учтены при разработке наших продуктов и услуг. Поэтому концепции Privacy by Design интегрированы в наши процессы разработки продуктов там, где это применимо.

Да. Мы разработали рекомендации и требования к разработке программного обеспечения и репозиториям исходного кода, включая рекомендации по безопасности на протяжении всего жизненного цикла разработки программного обеспечения и услуг. В этих рекомендациях рассматриваются такие темы, как хранение исходного кода в утвержденных репозиториях (включая ведение журнала и мониторинг), обучение безопасной разработке для инженеров-программистов и аналитиков-программистов, а также требования к безопасной среде разработки, тестирования и эксплуатации.

Наши методы кодирования напрямую основаны на Открытый всемирный проект безопасности приложений (OWASP) стандарты. Для выявления «10 основных» угроз безопасности веб-приложений OWASP и связанных с ними проблем реализуется комбинация тестов безопасности (таких как анализ на проникновение, статический и/или динамический анализ). Любые обнаруженные критические проблемы устраняются как можно скорее, в то время как более мелкие проблемы обычно рассматриваются в будущих версиях.

Да. Как передаваемые в облаке, так и данные в состоянии покоя (включая резервные копии) зашифрованы.

Да. Наши сотрудники обязаны ежегодно проходить обучение по вопросам безопасности. Темы этого тренинга включают безопасное использование программ и инструментов, методы фишинга, защиту паролей и многофакторную аутентификацию, классификацию информации, безопасность мобильной работы/домашнего офиса, защищенную связь и многое другое.

Да. Неразглашение информации регулируется директивами компании Siemens, которые каждый сотрудник обязуется соблюдать в трудовых соглашениях. Наши соглашения с партнерами и поставщиками также включают обязательства по конфиденциальности и соответствуют правилам Siemens Rules for Business Partners, которые определяют надлежащее обращение с конфиденциальной информацией.

Да. Наше соглашение об уровне обслуживания в отношении безотказной работы варьируется в зависимости от уровня обслуживания, применимого к соответствующему облачному сервису.

Стандарт = 98%

Улучшено = 99,5%

Максимум = 99,95%

(Расширенная и максимальная доступность могут быть доступны не для каждого облачного сервиса)

Подробную информацию см. Облачная поддержка и структура уровней обслуживания (Cloud SLA).

Да, используя наш уровень обслуживания поддержки Gold.

Посмотрите наш Облачная поддержка и структура уровней обслуживания (Cloud SLA) для получения подробной информации.

Да. Если иное не указано в Центре поддержки, облачные сервисы имеют еженедельное периодическое обслуживание в каждом обслуживаемом регионе, а именно:

• Америка: с субботы с 1:00 до 3:00 понедельника по восточную часть США (GMT -4)
• Европа, Ближний Восток и Африка: суббота с 1:00 до 3:00 понедельника по центральноевропейское время (GMT +2)
• Азиатско-Тихоокеанский регион: суббота с 1:00 до 3:00 понедельника по японское стандартное время (GMT +9)

Клиенты могут подписаться на автоматическое уведомление о запланированных простоях в нашем Центре поддержки.

Да, мы создаем резервные копии данных клиентов, размещенных в наших облачных сервисах. Все облачные сервисы, предоставляемые в рамках нашего стандартного уровня обслуживания, выполняют ежедневное резервное копирование в течение двух недель и ежемесячное резервное копирование в течение трех месяцев. После тех же процессов доступа и шифрования, что и исходные данные, все объектные данные сохраняются во вторичной системной учетной запись/центре обработки данных в том же географическом регионе, что и исходные данные.

Дополнительные сведения о хранении данных и опциях Siemens Enhanced и Maximum (доступность зависит от продукта) см. в разделе 3.1 в Облачная поддержка и структура уровней обслуживания («Cloud SLA»).

Да. Мы внедряем требования к процессам управления информационной безопасностью, критериям и собственности для поддержания бизнеса в неблагоприятных ситуациях.

Процедуры восстановления данных из резервных копий тестируются не реже одного раза в год и пересматриваются в рамках процессов внутреннего и внешнего аудита.