Biztonsági incidensek válaszkövetelményei – A Microsoft megbízható gyökérprogramja

Meghatározások

1. "Kompromisszum": közvetlen vagy közvetett incidens, amely a hitelesítésszolgáltatót, az al-hitelesítésszolgáltatót vagy a kereszt-aláírt, nem regisztrált gyökereket érinti, ami a PKI biztonsági állapotának tényleges vagy potenciális romlását eredményezi, beleértve a hardver-, szoftver- vagy fizikai hozzáférési problémákat is.

2. A "biztonsági incidens" vagy az "Incidens" az alábbiak bármelyike, amely a tanúsítványkiadó hatóságnál vagy egy al-tanúsítványkiadó hatóságnál fordul elő:

   1. Titkos kulcs feltörése.
   2. Hibásan kiadott tanúsítvány.
   3. Ismert vagy ésszerűen ismert, nyilvánosan jelentett kompromisszum.
   4. A CA-k infrastruktúrájának bármilyen fizikai sérülése (például a fizikai hozzáférés-vezérlés meghibásodása, az épület biztonsági sérülése vagy a HVAC meghibásodása az adatközpontban).
   5. Minden egyéb probléma, amelyet a Microsoft a hitelesítésszolgáltató integritásának vagy megbízhatóságának megkérdőjelezéseként azonosít.

3. "Kivételes körülmény(ek)": olyan incidens(ek), amelyben a Microsoft úgy véli, hogy a PKI veszélybe került, ami nagy számú Microsoft-ügyfél biztonsági helyzetére hatással van.

CA-felelősségek incidens esetén

Minden hitelesítésszolgáltatónak rendelkeznie kell legalább egy 24 órás megfigyelés alatt álló kapcsolattartóval vagy aliassal, amelyet incidenskezelés céljából tartanak fenn.

Biztonsági incidens esetén a hitelesítésszolgáltatónak a következőt kell tennie:

1. Azonnal, de legkésőbb a biztonsági incidens felderítésétől számított 24 órán belül értesítse a Microsoftot az alábbi kérdések kitöltésével és a kitöltött válaszok msroot@microsoft.comelküldésével. Az űrlaphoz a következő információk szükségesek (ha az adott időpontban ismert):

   • Ki észlelte az incidenst.
   • Ha lehetséges, ki tette meg az incidenst.
   • Amikor a hitelesítésszolgáltató felfedezte az incidenst.
   • Ahol az incidens történt.
   • Mely gyökerek, al-hitelesítésszolgáltatók és az incidens által érintett végfelhasználói tanúsítványok száma.
   • Amit a CA úgy vél, hogy az incidens kiváltó oka lehet.
   • Milyen korrekciós intézkedéseket hozott a hitelesítésszolgáltató, vagy milyen intézkedéseket fog tenni, amelyeket a hitelesítésszolgáltató úgy véli, hogy foglalkozni fog az incidens kiváltó okával.
   • A hitelesítésszolgáltató által megfelelőnek ítélt egyéb információk.
   • Minden egyéb információ, amelyet a Microsoft kért, amikor válaszolt az első értesítésre.
   • Minden olyan információ vagy művelet, amit a hitelesítésszolgáltató kér a Microsofttól a biztonság növelése vagy a végfelhasználók fájdalmainak enyhítése érdekében.

2. A Microsoft kérésére a hitelesítésszolgáltatónak meg kell adnia az incidens következtében tévesen kibocsátott tanúsítványok listáját.

3. A Microsoft kérésére a hitelesítésszolgáltatónak rendszeres jelentéseket kell küldenie a Microsoftnak a Microsoft által meghatározott időközönként. Ha a Microsoft nem küld konkrét kérést, a hitelesítésszolgáltatónak 24 óránként frissítenie kell a Microsoftot az incidens elhárításáig.

4. Az incidens megoldása után a hitelesítésszolgáltatónak meg kell adnia egy végleges biztonsági incidensjelentést a Microsoftnak, amely a következőket tartalmazza:

   • A szabálysértésben érintett tanúsítványok és tartományok listája.
   • Hogyan észlelte a hitelesítésszolgáltató az incidenst? Ha a hitelesítésszolgáltató nem észlelte a szabálysértést, ki és miért nem észlelte?
   • Ha idővel eltérés történt a jelentésekben, miért?
   • A biztonsági rés részletes leírása.
   • Az infrastruktúra sérülésének részletei.
   • Az infrastruktúra sérülésének részletei.
   • Az események részletes ütemterve.
   • A tanúsítványkiadó értelmezése arról, hogy ki követte el a megszegést.
   • A biztonsági rést a hitelesítésszolgáltatók normál művelete észlelte? Ha nem, kérjük, magyarázza el, miért.
   • A biztonsági rést a legutóbbi audit során fedezték fel? Ha igen, adja meg az információkat, ha a biztonsági rést kijavították. Ha a biztonsági rést nem javították, adja meg a hiba okát.
   • Ezt a biztonsági rést a legutóbbi audit észlelte? Ha nem, kérjük, magyarázza el, miért.
   • Ha a biztonsági rést a legutóbbi audit során észlelték, kijavították? Ha nem, kérjük, magyarázza el, miért.
   • Milyen módosításokat hajt végre a HITELESÍTÉSSZOLGÁLTATÓ a CP/CPS-házirendeken?
   • A probléma megoldásának részletes leírása.

5. Ha a Microsoft kéri, a kompromisszum teljes vizsgálati és technikai jelentése.

A Microsoft jogai incidens esetén

Biztonsági incidens esetén a Microsoft saját belátása szerint az alábbiak bármelyikét megteheti:

1. Kivételes körülmények között azonnal távolítsa el és/vagy tiltsa le azokat a tanúsítványokat, amelyet a hitelesítésszolgáltató vagy bármely al-hitelesítésszolgáltató regisztrált a programban; ellenkező esetben eltávolíthat és/vagy letilthat minden tanúsítványt, miután hét napos értesítést adott a hitelesítésszolgáltatónak.
2. A Microsoft lépéseket tehet, beleértve, de nem kizárólagosan a feltört tanúsítványok által aláírt fájlok kártevőként való megjelölését, letilthatja a webnavigációt a sérült kiszolgálóhitelesítési tanúsítványokkal ellátott webhelyeken stb.
3. Kérje meg a hitelesítésszolgáltatót, hogy rendszeres időközönként készítsen jelentéseket, amelyeket a Microsoft határoz meg.
4. Adjon meg egy határidőt ahhoz, hogy a hitelesítésszolgáltató elküldje a Microsoftnak a biztonsági incidensek végleges jelentését.
5. Kommunikáció az érintett harmadik felekkel.
6. Kérje meg a hitelesítésszolgáltatót, hogy a hitelesítésszolgáltató költségére egy külső nyomozót alkalmazzon a biztonsági incidens kivizsgálására és a biztonsági incidens végleges jelentésének elkészítésére.
7. Zárjon ki minden minősített auditot, és követelje meg a hitelesítésszolgáltatótól, hogy a hitelesítésszolgáltató saját költségére végezzen el egy új minősített auditot.

A Microsoft feladatai biztonsági incidens esetén

Abban az esetben, ha a Microsoft gyakorolja a fent leírt jogokat, a Microsoft a következőt fogja:

1. A Microsoft fellépése előtt 7 nappal írásban értesíti a hitelesítésszolgáltatót szándékáról, kivéve kivételes körülmények esetén, amely esetben a Microsoft ésszerű erőfeszítéseket tesz a hitelesítésszolgáltatóval való kommunikációra a művelet megkezdése előtt; És

2. Lehetővé teszi a hitelesítésszolgáltató számára, hogy alternatív eljárásra tegyen javaslatot, ebben az esetben a Microsoft megfontolja az ésszerű alternatívákat, de fenntartja a jogot, hogy elutasítsa ezeket a javaslatokat, ha úgy ítéli meg, hogy a javasolt eljárás nem az ügyfelei érdekeit szolgálja.