PN-EN ISO/IEC 29147:2020-11 - wersja angielska

Niniejszy dokument zawiera wymagania i zalecenia dla dostawców dotyczące ujawniania luk w produktach i usługach. Ujawnienie luki w zabezpieczeniach umożliwia użytkownikom techniczne zarządzanie podatnością na zagrożenia, jak określono w ISO/IEC 27002: 2013, 12.6.1 [1]. Ujawnienie luki w zabezpieczeniach pomaga użytkownikom chronić ich systemy i dane, priorytetyzować inwestycje obronne i lepiej oceniać ryzyko. Celem ujawnienia podatności na zagrożenia jest zmniejszenie ryzyka związanego z wykorzystaniem luk w zabezpieczeniach. Skoordynowane ujawnianie podatności jest szczególnie ważne, gdy dotyczy to wielu dostawców. Ten dokument zapewnia:

- wytyczne dotyczące otrzymywania raportów o potencjalnych słabych punktach;

- wytyczne dotyczące ujawniania informacji o usuwaniu podatności na zagrożenia;

- terminy i definicje specyficzne dla ujawnienia podatności;

- przegląd koncepcji ujawnienia podatności;

- techniki i względy polityczne dotyczące ujawniania podatności;

- przykłady technik, polityk (Załącznik A) i komunikacji (Załącznik B).

Inne powiązane działania, które mają miejsce między otrzymywaniem a ujawnianiem raportów podatności, są opisane w ISO/IEC 30111.

Niniejszy dokument dotyczy dostawców, którzy decydują się na ujawnianie słabych punktów, aby zmniejszyć ryzyko dla użytkowników produktów i usług dostawców.