Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze | ||
en:vulnerability_report [26.04.2018 09:43] andrea@cesnet.cz [Hlášení bezpečnostních zranitelností] |
en:vulnerability_report [04.05.2018 15:25] dans@cesnet.cz [Vulnerability reporting rules:] |
||
---|---|---|---|
Řádek 1: | Řádek 1: | ||
- | ====== Hlášení bezpečnostních zranitelností ====== | + | ====== Vulnerability reporting ====== |
- | Sdružení CESNET věnuje velkou pozornost zabezpečení a kondici e‑infrastruktury CESNET a provozovaných služeb. Proto průběžně a **systematicky vyhodnocujeme stav e‑infrastruktury i provozovaných služeb, provádíme identifikaci a eliminaci zranitelných a kompromitovaných zařízení a vyhodnocujeme rizika potenciálního napadení**. Výsledky těchto činností následně zohledňujeme při provozu, zabezpečení, řešení bezpečnostních incidentů a samozřejmě také při vývoji služeb. Bezpečnost vnímáme jako živý proces sestávající z kontinuálního hodnocení aktuálního stavu, vývoje, zdokonalování, nápravy a předcházení nežádoucích jevů, kde klíčovou roli hraje rychlost reakce na zjištěné problémy a slabiny. Klademe velký důraz na spolupráci v národních i mezinárodních bezpečnostních platformách a komunikaci se speciality v oblasti bezpečnosti. **Oceníme nahlášení bezpečnostních incidentů a zranitelností týkajících se našich systémů a služeb.** Každému takovému hlášení budeme věnovat pozornost, ověříme jej a v nejkratším možném termínu zjednáme nápravu. | + | The CESNET Association dedicates considerable efforts to ensuring the security and condition of the CESNET e-infrastructure and the services provided. Accordingly, the condition of the e-infrastructure and the services provided is being regularly and systematically reviewed in order to identify and remove any vulnerable and compromised devices. The risk of potential attacks is regularly assessed. The outcome of these activities is reflected in the operation, security, incident solving and development of services. Security is perceived as a dynamic process consisting of continuous assessment of the current status, development, enhancement, correction and prevention of undesirable events. The key here is the promptness of the response to identified issues and weaknesses. A great emphasis is put on joint action in national and international security platforms and communication and information sharing with security experts. |
- | ===== Zásady pro hlášení bezpečnostních zranitelností:===== | + | We also appreciate any reports on security incidents and vulnerabilities related to our systems and services. Each such report is taken care of and verified; remedial action is taken as soon as possible. |
- | * Objevenou zranitelnost nahlaste e-mailem na adresu **certs@cesnet.cz**. Pokud z nějakého důvodu nemůžete použít pro nahlášení e-mail, můžete kontaktovat člena bezpečnostního týmu CESNET-CERTS prostřednictvím [[https://www.cesnet.cz/contacts/service-desk/?lang=en | Pracoviště stálé služby sdružení CESNET]]. | + | |
- | * Můžete-li, zašifrujte mail naším [[https://csirt.cesnet.cz/publickey.asc|PGP klíčem]]. | + | |
- | * Hlášení by mělo obsahovat následující údaje: | + | |
- | * Vaše jméno a kontaktní údaje | + | |
- | * Váš PGP klíč pro možnost šifrované odpovědi | + | |
- | * popis nalezené zranitelnosti včetně postupu, jak jste ji objevili | + | |
- | Během hledání a testování zranitelnosti se prosím vyvarujte narušování soukromí, zasahování do uložených dat nebo poškozování provozovaných služeb. | + | ===== Vulnerability reporting rules: ===== |
+ | * Please submit any vulnerability discovered by e-mailing the report to **certs@cesnet.cz**. Please encrypt the e-mail using our [[https://csirt.cesnet.cz/publickey.asc| PGP key]] if possible. If you cannot use email please contact any member of the CESNET-CERTS team through the [[https://www.cesnet.cz/contacts/service-desk/?lang=en | CESNET Service Desk]]. | ||
+ | * Any report should include the following information: | ||
+ | * your name and contact information; | ||
+ | * your PGP key to encrypt the reply; | ||
+ | * description of the vulnerability found including detailed instructions about how to reproduce the issue. | ||
- | Hlášení zaslaná na e-mail certs@cesnet.cz budou zpracována členem bezpečnostního týmu [[https://csirt.cesnet.cz|CESNET-CERTS]], který bude postupovat podle interních pravidel pro zpracování těchto hlášení a s respektem k obsahu hlášení a k odesilateli. | + | When searching and testing vulnerabilities, **please refrain from disrupting the privacy, damaging the stored data or impairing any services provided.** |
- | Naši odpověď na zaslané hlášení očekávejte v rozmezí od jednoho do tří pracovní dní od data nahlášení. | + | |
+ | All reports sent to certs@cesnet.cz will be processed by a member of the [[https://csirt.cesnet.cz/en/index | CESNET-CERTS]] team in compliance with the internal alert processing procedures while respecting the content of the alert and the sender. Our response to your alert may take up to three working days from the date the alert had been sent. | ||