março 07, 2024

[Segurança] Normas ISO sobre notificações de vulnerabilidade

Sim, existem duas normas internacionais da ISO/IEC sobre gestão do processo de notificação de vulnerabilidades. Este processo é relevante, em especial, para empresas que possuem programas de recompensa por bugs (Bug Bounty).

O objetivo da divulgação de vulnerabilidades é reduzir o risco associado à exploração de vulnerabilidades.

São elas:
ISO/IEC 29147:2018, com 32 páginas, fornece requisitos e recomendações aos fornecedores (vendors) sobre a divulgação de vulnerabilidades em seus produtos e serviços. A divulgação de vulnerabilidades permite que os usuários realizem o gerenciamento técnico de vulnerabilidades conforme especificado na ISO/IEC 27002:2013, 12.6.1. A divulgação de vulnerabilidades ajuda os usuários a proteger seus sistemas e dados, priorizar investimentos defensivos e avaliar melhor os riscos. A divulgação coordenada de vulnerabilidades é especialmente importante quando vários fornecedores são afetados. Este documento fornece orientações sobre a recepção de relatórios sobre potenciais vulnerabilidades, diretrizes sobre a divulgação de informações sobre correção de vulnerabilidades, termos, definições e conceitos específicos de vulnerabilidades, técnicas e considerações políticas para divulgação de vulnerabilidades, com exemplos de técnicas, políticas (Anexo A) e comunicações (Anexo B). Este documento é aplicável a fornecedores que optam por praticar a divulgação de vulnerabilidades para reduzir o risco aos usuários dos produtos e serviços dos fornecedores.

ISO/IEC 30111:2019, com 13 páginas, é aplicável a fornecedores envolvidos no tratamento de vulnerabilidades, sobre como processar e remediar tais vulnerabilidades. Este documento fornece requisitos e recomendações sobre como processar e remediar possíveis vulnerabilidades relatadas em um produto ou serviço. Desenvolvedores e fornecedores podem usar esta norma quando responderem a notificações de vulnerabilidades potenciais ou reais. Ele detalha o processo de tratamento de vulnerabilidades.

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.