O objetivo da divulgação de vulnerabilidades é reduzir o risco associado à exploração de vulnerabilidades.
São elas:
A ISO/IEC 29147:2018, com 32 páginas, fornece requisitos e recomendações aos fornecedores (vendors) sobre a divulgação de vulnerabilidades em seus produtos e serviços. A divulgação de vulnerabilidades permite que os usuários realizem o gerenciamento técnico de vulnerabilidades conforme especificado na ISO/IEC 27002:2013, 12.6.1. A divulgação de vulnerabilidades ajuda os usuários a proteger seus sistemas e dados, priorizar investimentos defensivos e avaliar melhor os riscos. A divulgação coordenada de vulnerabilidades é especialmente importante quando vários fornecedores são afetados. Este documento fornece orientações sobre a recepção de relatórios sobre potenciais vulnerabilidades, diretrizes sobre a divulgação de informações sobre correção de vulnerabilidades, termos, definições e conceitos específicos de vulnerabilidades, técnicas e considerações políticas para divulgação de vulnerabilidades, com exemplos de técnicas, políticas (Anexo A) e comunicações (Anexo B). Este documento é aplicável a fornecedores que optam por praticar a divulgação de vulnerabilidades para reduzir o risco aos usuários dos produtos e serviços dos fornecedores.
A ISO/IEC 30111:2019, com 13 páginas, é aplicável a fornecedores envolvidos no tratamento de vulnerabilidades, sobre como processar e remediar tais vulnerabilidades. Este documento fornece requisitos e recomendações sobre como processar e remediar possíveis vulnerabilidades relatadas em um produto ou serviço. Desenvolvedores e fornecedores podem usar esta norma quando responderem a notificações de vulnerabilidades potenciais ou reais. Ele detalha o processo de tratamento de vulnerabilidades.
Nenhum comentário:
Postar um comentário