BAS-IP noudattaa alan johtavia k\u00e4yt\u00e4nt\u00f6j\u00e4 tuotteissamme havaittujen tietoturva-aukkojen hallinnassa ja niihin reagoimisessa. On mahdotonta taata, ett\u00e4 yrityksemme tarjoamat tuotteet ja palvelut ovat t\u00e4ysin vapaita haavoittuvuuksista. T\u00e4m\u00e4 ei ole ainutlaatuinen piirre, vaan pikemminkin yleinen ehto kaikille ohjelmistoille ja palveluille, mutta voimme taata, ett\u00e4 pyrimme kaikissa kehitysvaiheissa tunnistamaan ja poistamaan mahdolliset haavoittuvuudet, v\u00e4hent\u00e4en siten riski\u00e4, joka liittyy BAS-IP-tuotteiden ja -palveluiden k\u00e4ytt\u00f6\u00f6nottoon asiakasymp\u00e4rist\u00f6iss\u00e4.<\/p>\n\n\n\n
BAS-IP tunnistaa, ett\u00e4 joillakin standardeilla verkkoprotokollilla ja palveluilla voi olla luontaisia heikkouksia, joita voidaan hy\u00f6dynt\u00e4\u00e4. Vaikka BAS-IP ei ole vastuussa n\u00e4ist\u00e4 protokollista ja palveluista, annamme suosituksia BAS-IP-tuotteisiin, -ohjelmistoihin ja -palveluihin liittyvien riskien v\u00e4hent\u00e4miseksi erilaisten oppaiden muodossa<\/a>.<\/p>\n\n\n\n T\u00e4ss\u00e4 asiakirjassa kuvattu haavoittuvuuksien hallintaa koskeva k\u00e4yt\u00e4nt\u00f6 koskee kaikkia BAS-IP-tuotemerkin alaisia tuotteita, ohjelmistoja ja palveluita.<\/p>\n\n\n\n Jotkin haavoittuvuudet eiv\u00e4t kuulu BAS-IP:n haavoittuvuuksien hallintaa koskevan k\u00e4yt\u00e4nn\u00f6n piiriin. \u00c4l\u00e4 l\u00e4het\u00e4 haavoittuvuusraportteja, jotka eiv\u00e4t kuulu haavoittuvuuksien hallintaa koskevan k\u00e4yt\u00e4nn\u00f6n piiriin, osoitteeseen security@bas-ip.com<\/a>:<\/p>\n\n\n\n BAS-IP arvostaa ja kannustaa tutkijoiden pyrkimyksi\u00e4 tunnistaa ja raportoida haavoittuvuuksia BAS-IP-tuotteissa, -ohjelmistoissa ja -palveluissa. Noudattaen vastuullisen julkistamisen prosessia, BAS-IP:n tuoteturvallisuustiimi kunnioittaa parhaan kykyns\u00e4 mukaan tutkijoiden etuja molemminpuolisen yhteisty\u00f6n ja avoimuuden kautta koko julkistamisprosessin ajan.<\/p>\n\n\n\n BAS-IP Company odottaa, ett\u00e4 tutkijat eiv\u00e4t paljasta haavoittuvuuksia ennen 90 p\u00e4iv\u00e4n jakson p\u00e4\u00e4ttymist\u00e4 tai molemminpuolisesti sovittua p\u00e4iv\u00e4m\u00e4\u00e4r\u00e4\u00e4<\/strong> ja suorittavat haavoittuvuustutkimuksen lain sallimissa rajoissa<\/strong>, aiheuttamatta haittaa, paljastamatta luottamuksellisuutta tai vaarantamatta BAS-IP Companyn, sen kumppaneiden ja asiakkaiden turvallisuutta.<\/p>\n\n\n\n BAS-IP Company arvioi haavoittuvuudet k\u00e4ytt\u00e4m\u00e4ll\u00e4 tunnettua CVSS<\/strong>-luokitusj\u00e4rjestelm\u00e4\u00e4<\/a>.<\/p>\n\n\n\n Avoimen l\u00e4hdekoodin komponenttien haavoittuvuuksien osalta BAS-IP voi arvioida haavoittuvuuden sen merkityksen mukaan siin\u00e4 yhteydess\u00e4, miten BAS-IP suosittelee tuotteidensa, ohjelmistojensa ja palveluidensa toteuttamista. Turvallisuuskonsultaatioita tarjotaan yleens\u00e4 vain BAS-IP:lle ominaisille haavoittuvuuksille.<\/p>\n\n\n\n Prioriteettijakauma<\/strong>, kun haavoittuvuus on arvioitu ja siihen sovelletaan korjausta:<\/p>\n\n\n\n BAS-IP pyrkii jatkuvasti tunnistamaan ja lievent\u00e4m\u00e4\u00e4n tuotteisiimme liittyvi\u00e4 riskej\u00e4. Jos olet kuitenkin havainnut BAS-IP:n tuotteeseen, ohjelmistoon tai palveluun liittyv\u00e4n tietoturvaj\u00e4rjestelm\u00e4n haavoittuvuuden, suosittelemme, ett\u00e4 ilmoitat ongelmasta v\u00e4litt\u00f6m\u00e4sti<\/strong>. Tietoturvaj\u00e4rjestelm\u00e4n haavoittuvuuksien oikea-aikainen raportointi on ratkaisevan t\u00e4rke\u00e4\u00e4 niiden k\u00e4yt\u00e4nn\u00f6n hy\u00f6dynt\u00e4misen todenn\u00e4k\u00f6isyyden v\u00e4hent\u00e4miseksi. Avoimen l\u00e4hdekoodin ohjelmistokomponentteihin liittyvist\u00e4 tietoturva-aukoista tulee ilmoittaa suoraan vastuulliselle organisaatiolle.<\/p>\n\n\n\n Loppuk\u00e4ytt\u00e4ji\u00e4, kumppaneita, toimittajia, toimialaryhmi\u00e4 ja riippumattomia tutkijoita, jotka ovat havainneet mahdollisen haavoittuvuuden, kehotetaan ilmoittamaan havainnoistaan osoitteeseen security@bas-ip.com<\/a><\/strong> tai t\u00e4ytt\u00e4m\u00e4ll\u00e4 anonyymi lomake<\/a><\/strong>.<\/p>\n\n\n\n L\u00e4hetetyn raportin tulee sis\u00e4lt\u00e4\u00e4:<\/strong><\/p>\n\n\n\n Voit odottaa BAS-IP Companylta seuraavaa:<\/strong><\/p>\n\n\n\n Kun ilmoitus havaitusta haavoittuvuudesta on tutkittu ja sen aitous vahvistettu, BAS-IP aloittaa vastuullisen julkistamisen<\/strong> prosessin. BAS-IP pyrkii tekem\u00e4\u00e4n yhteisty\u00f6t\u00e4 tutkijan kanssa lis\u00e4tietojen, kuten CVSS 3.1 -arvioinnin, turvasuosituksen sis\u00e4ll\u00f6n ja\/tai lehdist\u00f6tiedotteiden (tarvittaessa) sek\u00e4 ulkoisen julkistamisp\u00e4iv\u00e4m\u00e4\u00e4r\u00e4n osalta.<\/p>\n\n\n\n BAS-IP Companyn ja tutkijan v\u00e4lisen sopimuksen j\u00e4lkeen BAS-IP Company julkistaa haavoittuvuuden ulkoisiin tarkoituksiin julkaisemalla turvallisuussuosituksia ja\/tai lehdist\u00f6tiedotteen.<\/p>\n\n\n\n Haavoittuvuuksien julkistamisk\u00e4yt\u00e4nt\u00f6 Yleist\u00e4 tietoa BAS-IP noudattaa alan johtavia k\u00e4yt\u00e4nt\u00f6j\u00e4 tuotteissamme havaittujen tietoturva-aukkojen hallinnassa ja niihin reagoimisessa. On mahdotonta taata, ett\u00e4 yrityksemme tarjoamat tuotteet ja palvelut ovat t\u00e4ysin vapaita haavoittuvuuksista. T\u00e4m\u00e4 ei ole ainutlaatuinen piirre, vaan pikemminkin yleinen ehto kaikille ohjelmistoille ja palveluille, mutta voimme taata, ett\u00e4 pyrimme kaikissa kehitysvaiheissa tunnistamaan ja poistamaan mahdolliset haavoittuvuudet, v\u00e4hent\u00e4en […]<\/p>","protected":false},"author":1,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"inline_featured_image":false,"footnotes":""},"class_list":["post-151288","page","type-page","status-publish","hentry"],"acf":[],"_links":{"self":[{"href":"https:\/\/bas-ip.com\/fi\/wp-json\/wp\/v2\/pages\/151288","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/bas-ip.com\/fi\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/bas-ip.com\/fi\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/bas-ip.com\/fi\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/bas-ip.com\/fi\/wp-json\/wp\/v2\/comments?post=151288"}],"version-history":[{"count":2,"href":"https:\/\/bas-ip.com\/fi\/wp-json\/wp\/v2\/pages\/151288\/revisions"}],"predecessor-version":[{"id":151360,"href":"https:\/\/bas-ip.com\/fi\/wp-json\/wp\/v2\/pages\/151288\/revisions\/151360"}],"wp:attachment":[{"href":"https:\/\/bas-ip.com\/fi\/wp-json\/wp\/v2\/media?parent=151288"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Mit\u00e4 k\u00e4yt\u00e4nt\u00f6 kattaa<\/h1>\n\n\n\n
Mit\u00e4 k\u00e4yt\u00e4nt\u00f6 ei kata<\/h1>\n\n\n\n
\n
Velvollisuudet<\/h1>\n\n\n\n
Haavoittuvuuksien hallinta<\/h1>\n\n\n\n
\n
BAS-IP pyrkii korjaamaan haavoittuvuuden ennen ulkoista julkistamista tai 4 viikon<\/strong> kuluessa siit\u00e4. Avoimen l\u00e4hdekoodin komponenttien osalta aikataulu on yleens\u00e4 pidempi, koska BAS-IP on riippuvainen ulkoisista tahoista tiedoista, korjauksista ja\/tai varmennuksesta<\/li>\n\n\n\n
BAS-IP pyrkii korjaamaan haavoittuvuuden, tyypillisesti 2-3 kuukauden<\/strong> kuluessa<\/li>\n\n\n\n
BAS-IP suunnittelee korjaavansa haavoittuvuuden seuraavassa aikataulutetussa julkaisussa<\/strong><\/li>\n\n\n\n
BAS-IP-ohjelmistojen\/palveluiden tukivaihe m\u00e4\u00e4ritell\u00e4\u00e4n yleisess\u00e4 ohjelmiston elinkaariprosessissa. BAS-IP-ohjelmistoja\/palveluita tuetaan yleens\u00e4 1 vuosi sen j\u00e4lkeen, kun elinkaaren p\u00e4\u00e4ttymisest\u00e4<\/strong> (end-of-life<\/em>) on ilmoitettu.<\/li>\n<\/ul>\n\n\n\nHaavoittuvuuden raportointi<\/h1>\n\n\n\n
\n
\n
Haavoittuvuuden julkistaminen<\/h2>\n\n\n\n
Asiakirjan muutoshistoria<\/h2>\n\n\n\n
Versio<\/th> P\u00e4iv\u00e4m\u00e4\u00e4r\u00e4<\/th> Kuvaus<\/th><\/tr> 1.0<\/td> 15.02.2024<\/td> Ensimm\u00e4inen julkaisu<\/td><\/tr><\/tbody><\/table><\/figure>","protected":false},"excerpt":{"rendered":"