{"id":151286,"date":"2024-02-15T17:00:26","date_gmt":"2024-02-15T17:00:26","guid":{"rendered":"https:\/\/bas-ip.com\/security-policy\/"},"modified":"2025-11-27T11:15:03","modified_gmt":"2025-11-27T11:15:03","slug":"security-policy","status":"publish","type":"page","link":"https:\/\/bas-ip.com\/et\/security-policy\/","title":{"rendered":"Turvapoliitika"},"content":{"rendered":"<h1 class=\"wp-block-heading\">Haavatavuse avalikustamise poliitika<\/h1>\n\n\n\n<h1 class=\"wp-block-heading\">\u00dcldine teave<\/h1>\n\n\n\n<p>BAS-IP j\u00e4rgib valdkonna juhtivaid tavasid meie toodetes avastatud turvan\u00f5rkustega tegelemisel ja neile reageerimisel. On v\u00f5imatu garanteerida, et meie ettev\u00f5tte pakutavad tooted ja teenused on t\u00e4ielikult vabad turvan\u00f5rkustest. See ei ole ainulaadne omadus, vaid pigem levinud tingimus kogu tarkvara ja teenuste jaoks, kuid me garanteerime, et igas arendusj\u00e4rgus teeme j\u00f5upingutusi potentsiaalsete haavatavuste tuvastamiseks ja k\u00f5rvaldamiseks, v\u00e4hendades seel\u00e4bi riski, mis on seotud BAS-IP toodete ja teenuste juurutamisega klientide keskkondades.<\/p>\n\n\n\n<p>BAS-IP tunnistab, et m\u00f5nel standardse v\u00f5rguprotokollil ja teenusel v\u00f5ib olla kaasas\u00fcndinud n\u00f5rkusi, mida saab \u00e4ra kasutada. Kuigi BAS-IP ei vastuta nende protokollide ja teenuste eest, pakume soovitusi BAS-IP toodete, tarkvara ja teenustega seotud riskide v\u00e4hendamiseks <a href=\"https:\/\/basip.atlassian.net\/wiki\/spaces\/HP\/pages\/5046705\/The+practice+of+building+IP+intercom+systems\" target=\"_blank\" rel=\"noopener\">erinevate juhendite kujul<\/a>.<\/p>\n\n\n\n<h1 class=\"wp-block-heading\">Mida Poliitika h\u00f5lmab<\/h1>\n\n\n\n<p>Selles dokumendis kirjeldatud haavatavuste haldamise poliitika kehtib k\u00f5igi BAS-IP kaubam\u00e4rgi all olevate toodete, tarkvara ja teenuste kohta.<\/p>\n\n\n\n<h1 class=\"wp-block-heading\">Mida Poliitika ei h\u00f5lma<\/h1>\n\n\n\n<p>M\u00f5ned haavatavused ei kuulu BAS-IP haavatavuste haldamise poliitika alla. Palun \u00e4rge saatke turvan\u00f5rkuste aruandeid, mis ei kuulu haavatavuste haldamise poliitika alla, aadressile <a href=\"mailto:security@bas-ip.com\" data-type=\"link\" data-id=\"security@bas-ip.com\">security@bas-ip.com<\/a>:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Haavatavused, mis n\u00f5uavad <strong>k\u00f5rgeid privileege<\/strong> ja\/v\u00f5i <strong>sotsiaalset insenerit\u00f6\u00f6d<\/strong>, mis k\u00e4ivitatakse\/t\u00e4idetakse juur-\/administraatorijuurdep\u00e4\u00e4suga ja\/v\u00f5i n\u00f5uavad <strong>keerukat<\/strong> kasutaja suhtlust<\/li>\n\n\n\n<li><strong>Alamdomeeni \u00fclev\u00f5tmine<\/strong> (<em>Subdomain takeover<\/em>), n\u00e4iteks kontrolli saamine hetkel kasutamata teenusele osutava s\u00f5lme \u00fcle<\/li>\n\n\n\n<li><strong>Eba\u00f5iged kasutaja konfiguratsioonid<\/strong>, mida saab v\u00e4ltida BAS-IP juhendite j\u00e4rgimisega<\/li>\n\n\n\n<li>Haavatavused sisus v\u00f5i rakendustes, mille on loonud <strong>kolmandate osapoolte kasutajad<\/strong> v\u00f5i <strong>partnerid<\/strong>, n\u00e4iteks rakendused, mida saab BAS-IP seadmetele alla laadida ja k\u00e4ivitada<\/li>\n\n\n\n<li><strong>Cross-Site Request Forgery (CSRF)<\/strong> v\u00f5i <strong>Cross-Site Scripting (XSS)<\/strong> haavatavused, mis petavad kasutaja k\u00fclastama pahatahtlikku veebisaiti v\u00f5i kl\u00f5psama maskeeritud lingile BAS-IP seadmete veebiliidesele juurdep\u00e4\u00e4sul<\/li>\n\n\n\n<li><strong>Kolmandate osapoolte avatud l\u00e4htekoodiga<\/strong> haavatavused, mis on registreeritud CVE-identifikaatoriga ja asuvad BAS-IP toodetes, tarkvaras v\u00f5i teenustes kasutatavates tarkvarakomponentides v\u00f5i pakettides. Levinud n\u00e4ited sellistest tarkvarakomponentidest on Linuxi kernel, OpenSSL, AOSP ja teised<\/li>\n\n\n\n<li><strong>HTTP(S) turvap\u00e4iste puudumine<\/strong>, n\u00e4iteks X-Frame-Options<\/li>\n\n\n\n<li>Haavatavuste aruanded, mille on genereerinud <strong>kolmandate osapoolte v\u00f5rguturbe skannerid<\/strong><\/li>\n\n\n\n<li><strong>Toetamata<\/strong> tooted\/tarkvara\/teenused<\/li>\n\n\n\n<li><strong>V\u00f5rgu teenuse keeldumise (DoS v\u00f5i DDoS)<\/strong> testid v\u00f5i muud testid, mis h\u00e4irivad juurdep\u00e4\u00e4su s\u00fcsteemile v\u00f5i andmetele v\u00f5i p\u00f5hjustavad neile kahju<\/li>\n<\/ul>\n\n\n\n<h1 class=\"wp-block-heading\">Kohustused<\/h1>\n\n\n\n<p>BAS-IP hindab ja julgustab teadlaste j\u00f5upingutusi BAS-IP toodete, tarkvara ja teenuste haavatavuste tuvastamisel ja neist teatamisel. J\u00e4rgides vastutustundliku avalikustamise protsessi, austab BAS-IP toodete turvameeskond oma parimate v\u00f5imete kohaselt teadlaste huve vastastikuse koost\u00f6\u00f6 ja l\u00e4bipaistvuse kaudu kogu avalikustamisprotsessi v\u00e4ltel.<\/p>\n\n\n\n<p>Ettev\u00f5te BAS-IP eeldab, et teadlased <strong>ei avalikusta haavatavusi enne 90-p\u00e4evase perioodi m\u00f6\u00f6dumist v\u00f5i vastastikku kokkulepitud kuup\u00e4eva<\/strong> ning viivad haavatavuste uuringud l\u00e4bi <strong>seaduslikes piirides<\/strong>, ilma kahju tekitamata, konfidentsiaalsust avaldamata v\u00f5i Ettev\u00f5tte BAS-IP, selle partnerite ja klientide turvalisust ohtu seadmata.<\/p>\n\n\n\n<h1 class=\"wp-block-heading\">Haavatavuste haldamine<\/h1>\n\n\n\n<p>Ettev\u00f5te BAS-IP hindab haavatavusi, kasutades tuntud <a href=\"https:\/\/www.first.org\/cvss\/calculator\/3-1\" target=\"_blank\" rel=\"noopener\"><strong>CVSS<\/strong> hindamiss\u00fcsteemi<\/a>.<\/p>\n\n\n\n<p>Seoses avatud l\u00e4htekoodiga komponentide haavatavustega v\u00f5ib BAS-IP haavatavust hinnata s\u00f5ltuvalt selle olulisusest kontekstis, kuidas BAS-IP soovitab oma tooteid, tarkvara ja teenuseid juurutada. Turvakonsultatsioonid antakse tavaliselt ainult BAS-IP-spetsiifiliste haavatavuste kohta.<\/p>\n\n\n\n<p><strong>Prioriteetide jaotus<\/strong>, kui haavatavus on hinnatud ja kuulub parandamisele:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>CVSS 3.1 high\/critical (7.0 \u2013 10.0)<\/strong><br>BAS-IP p\u00fc\u00fcab haavatavuse parandada enne v\u00f5i hiljemalt <strong>4 n\u00e4dala<\/strong> jooksul p\u00e4rast v\u00e4list avalikustamist. Avatud l\u00e4htekoodiga komponentide puhul on ajakava tavaliselt pikem, kuna BAS-IP s\u00f5ltub teabest, parandustest ja\/v\u00f5i kontrollist kolmandatest osapooltest<\/li>\n\n\n\n<li><strong>CVSS 3.1 medium (4.0 \u2013 6.9)<\/strong><br>BAS-IP eesm\u00e4rk on haavatavus parandada, tavaliselt <strong>2-3 kuu<\/strong> jooksul<\/li>\n\n\n\n<li><strong>CVSS 3.1 low (0.1 \u2013 3.9)<\/strong><br>BAS-IP plaanib haavatavuse parandada <strong>j\u00e4rgnevas plaanip\u00e4rases versioonis<\/strong><\/li>\n\n\n\n<li>Toetatud tarkvara\/teenused<br>BAS-IP tarkvara\/teenuste tugifaas m\u00e4\u00e4ratakse \u00fcldise tarkvara eluts\u00fckli protsessi raames. BAS-IP tarkvara\/teenuseid toetatakse tavaliselt <strong>1 aasta p\u00e4rast eluts\u00fckli l\u00f5ppemise<\/strong> (<em>end-of-life<\/em>) teatamist.<\/li>\n<\/ul>\n\n\n\n<h1 class=\"wp-block-heading\">Haavatavusest teatamine<\/h1>\n\n\n\n<p>BAS-IP t\u00f6\u00f6tab pidevalt selle nimel, et tuvastada ja leevendada meie toodetega seotud riske. Kui olete aga avastanud BAS-IP toote, tarkvara v\u00f5i teenusega seotud turvas\u00fcsteemi haavatavuse, soovitame tungivalt probleemist <strong>kohe<\/strong> teatada. Turvas\u00fcsteemi haavatavustest \u00f5igeaegne teatamine on \u00fclioluline nende praktilise kasutamise t\u00f5en\u00e4osuse v\u00e4hendamiseks. Turvan\u00f5rkustest, mis on seotud avatud l\u00e4htekoodiga tarkvarakomponentidega, tuleks teatada otse vastutavale organisatsioonile.<\/p>\n\n\n\n<p>L\u00f5ppkasutajaid, partnereid, tarnijaid, t\u00f6\u00f6stusgruppe ja s\u00f5ltumatuid teadlasi, kes on avastanud potentsiaalse haavatavuse, julgustatakse teatama oma leidudest aadressile <strong><a href=\"mailto:security@bas-ip.com\">security@bas-ip.com<\/a><\/strong> v\u00f5i t\u00e4ites <strong><a href=\"https:\/\/docs.google.com\/forms\/d\/e\/1FAIpQLSdetHDUfdt0Fxk9ctY1-XWJARmQA_2-wBeXVbX2fnweQasVAA\/viewform\" target=\"_blank\" rel=\"noopener\">anon\u00fc\u00fcmse vormi<\/a><\/strong>.<\/p>\n\n\n\n<p>Esitatud aruanne peaks sisaldama:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Technical information about the potential vulnerability<\/li>\n\n\n\n<li>Steps to reproduce<\/li>\n\n\n\n<li>Estimated impact and severity in case of exploitation according to CVSS 3.1<\/li>\n\n\n\n<li>Researcher&#8217;s own vulnerability disclosure policy, if any<\/li>\n<\/ul>\n\n\n\n<p>Ettev\u00f5ttelt BAS-IP v\u00f5ite oodata j\u00e4rgmist:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Aeg esimesele vastusele \u2014 <strong>3 t\u00f6\u00f6p\u00e4eva<\/strong> jooksul p\u00e4rast esialgse s\u00f5numi saamist<\/li>\n\n\n\n<li>T\u00f6\u00f6tlemisaeg (alates esimese vastuse saamise hetkest) \u2014 <strong>10 t\u00f6\u00f6p\u00e4eva<\/strong> jooksul<\/li>\n\n\n\n<li>Oleme v\u00f5imalikult l\u00e4bipaistvad seoses sammudega, mida astume parandamise protsessis, sealhulgas k\u00fcsimuste ja probleemidega, mis v\u00f5ivad lahendust edasi l\u00fckata<\/li>\n\n\n\n<li>Hoiame avatud dialoogi probleemide arutamiseks<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Haavatavuse avalikustamine<\/h2>\n\n\n\n<p>Kui avastatud haavatavuse aruanne on l\u00e4bi vaadatud ja kinnitatud autentsena, alustab BAS-IP <strong>vastutustundliku avalikustamise<\/strong> protsessi. BAS-IP p\u00fc\u00fcab teha teadlasega koost\u00f6\u00f6d t\u00e4iendavate \u00fcksikasjade osas, nagu CVSS 3.1 hindamine, turvasoovituse sisu ja\/v\u00f5i pressiteated (kui need on asjakohased) ning v\u00e4lise avalikustamise kuup\u00e4ev.<\/p>\n\n\n\n<p>P\u00e4rast Ettev\u00f5tte BAS-IP ja teadlase vahel kokkuleppe saavutamist avalikustatakse haavatavus v\u00e4listel eesm\u00e4rkidel Ettev\u00f5tte BAS-IP poolt turvasoovituste ja\/v\u00f5i pressiteate avaldamisega.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Dokumendi muudatuste ajalugu<\/h2>\n\n\n\n<figure class=\"wp-block-table\"><table><tbody><tr><th>Versioon<\/th><th>Kuup\u00e4ev<\/th><th>Kirjeldus<\/th><\/tr><tr><td>1.0<\/td><td>15.02.2024<\/td><td>Esimene v\u00e4ljaanne<\/td><\/tr><\/tbody><\/table><\/figure>","protected":false},"excerpt":{"rendered":"<p>Haavatavuse avalikustamise poliitika \u00dcldine teave BAS-IP j\u00e4rgib valdkonna juhtivaid tavasid meie toodetes avastatud turvan\u00f5rkustega tegelemisel ja neile reageerimisel. On v\u00f5imatu garanteerida, et meie ettev\u00f5tte pakutavad tooted ja teenused on t\u00e4ielikult vabad turvan\u00f5rkustest. See ei ole ainulaadne omadus, vaid pigem levinud tingimus kogu tarkvara ja teenuste jaoks, kuid me garanteerime, et igas arendusj\u00e4rgus teeme j\u00f5upingutusi potentsiaalsete [&hellip;]<\/p>","protected":false},"author":1,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"inline_featured_image":false,"footnotes":""},"class_list":["post-151286","page","type-page","status-publish","hentry"],"acf":[],"_links":{"self":[{"href":"https:\/\/bas-ip.com\/et\/wp-json\/wp\/v2\/pages\/151286","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/bas-ip.com\/et\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/bas-ip.com\/et\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/bas-ip.com\/et\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/bas-ip.com\/et\/wp-json\/wp\/v2\/comments?post=151286"}],"version-history":[{"count":2,"href":"https:\/\/bas-ip.com\/et\/wp-json\/wp\/v2\/pages\/151286\/revisions"}],"predecessor-version":[{"id":151358,"href":"https:\/\/bas-ip.com\/et\/wp-json\/wp\/v2\/pages\/151286\/revisions\/151358"}],"wp:attachment":[{"href":"https:\/\/bas-ip.com\/et\/wp-json\/wp\/v2\/media?parent=151286"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}