Політика управління вразливостями

1. Вступ

Цей документ визначає, як вразливості у програмному забезпеченні DeskCamera виявляються, оцінюються та усуваються. DeskCamera — це автономна, локально встановлена програма, що транслює дані екрана у межах локальної мережі до NVR/VMS-систем. Вона не записує відео чи аудіо і не збирає персональні дані. Опціональне підключення до хмарної інфраструктури може використовуватись виключно для ліцензування або перевірки оновлень. Під час таких підключень персональні дані ніколи не передаються.

2. Мета

Забезпечити безпеку і надійність DeskCamera шляхом мінімізації ризику, пов’язаного з відомими вразливостями, через структуровану оцінку, усунення і оновлення.

3. Обсяг застосування

Поширюється на всі версії програмного забезпечення DeskCamera, внутрішні системи розробки, репозиторії з кодом та всі сторонні компоненти, інтегровані у програму.

4. Керування та ролі

  • CTO – володіє політикою, переглядає критичні вразливості
  • Команда розробки – відповідає за моніторинг, оцінку та усунення проблем
  • Керівник з безпеки – координує реагування на вразливості та зовнішню комунікацію (за потреби)

5. Виявлення вразливостей

  • Постійний моніторинг CVE-стрічок і вендорських попереджень щодо залежностей
  • Внутрішні перевірки коду та інструменти статичного аналізу під час розробки
  • Повідомлення про баги від клієнтів або етичних дослідників на [email protected]

6. Класифікація та оцінка ризиків

  • Вразливості класифікуються як Emergency, High, Medium або Low згідно з CVSS та з урахуванням бізнес-наслідків
  • Оцінка ризику враховує ймовірність експлуатації, вплив на функціональність і рівень доступності поверхні атаки

7. Процес усунення

  • Критичні та високі вразливості усуваються протягом 5 робочих днів
  • Патчі інтегруються в найближчий доступний реліз після тестування
  • Залежності оновлюються проактивно при виявленні будь-яких відомих ризиків

8. Процес оновлення та релізу

  • Збірки підписуються захищеним сертифікатом, збереженим на офлайн-USB-носії
  • Нові інсталятори публікуються на офіційному сайті DeskCamera
  • Клієнти повідомляються через розділ Security Advisories (за наявності)

9. Відповідальність клієнтів

  • Клієнти самостійно завантажують та встановлюють оновлення вручну
  • DeskCamera не має можливості віддалено оновлювати ПЗ чи отримувати доступ до середовища клієнта, тому клієнти мають дотримуватись найкращих практик безпеки

10. Перегляд і тестування

  • Політика переглядається щорічно CTO
  • Контроль версій здійснюється через GitHub
  • Практики управління вразливостями можуть оновлюватись після будь-якого інциденту безпеки або опублікованої вразливості

11. Аудит і журналювання змін

  • Усі зміни в коді та історія доступу автоматично фіксуються через систему контролю Azure DevOps Server
  • Історія комітів, дії користувачів та зміни прав зберігаються у внутрішній базі даних SQL Server
  • Історія Git-комітів зберігається для всіх версій, а контроль доступу на основі ролей гарантує трасування змін
  • Аудит відповідає рекомендаціям ISO 27001 та SOC 2 щодо безпечної розробки програмного забезпечення