Политика за координирано разкриване на уязвимости

Политика за координирано разкриване на уязвимости (CVD), обозначена като P39, установява структуриран и формален процес за получаване, обработване и публично разкриване на уязвимости в мрежовите и информационните системи на организацията. Тази политика е разработена специално, за да адресира пропуски, идентифицирани в предходни политики относно докладването и координацията на външно открити уязвимости, като осигурява проактивно съответствие с Директива NIS2, член 21(2)(e), както и съгласуване с международни стандарти, включително ISO/IEC 29147 и Регламент за изпълнение (ЕС) 2024/2690 на Комисията. Целта на тази политика е двустранна: да улесни навременното откриване и разрешаване на уязвимости по сигурността чрез използване както на вътрешни оценки, така и на външен принос, и да създаде ясни, защитени пътища за външни страни, като изследователи по сигурността, партньори и клиенти, да докладват уязвимости. По-конкретно, политиката изисква създаването на публично достъпен канал за докладване на уязвимости, обикновено имейл за контакт по сигурността или криптиран уеб формуляр, публикуван на уебсайта на организацията, който подпомага безопасна и ефективна комуникация с докладващите. Тази CVD политика описва задълженията и необходимото сътрудничество между всички участващи страни: Екипът за реагиране при уязвимости (VRT), отговорен за триаж и координация на ремедиацията и разкриването; екипите по ИТ и разработка, които валидират и адресират техническите аспекти на уязвимостите; специалистите по комуникации, които подготвят уведомления за заинтересованите страни и обществеността; и самите външни докладващи, които трябва да спазват насоките за отговорно разкриване. Важно е, че политиката утвърждава принципа „safe harbor“: добросъвестни изследователи, които действат съгласно правилата на политиката, са защитени от правни действия, като се насърчава кооперативна култура за управление на уязвимостите. Политиката е изрична относно нивата на обслужване и контролите: потвържденията за получени доклади са гарантирани в рамките на 2 работни дни, тежестта се подлага на триаж своевременно, а критичните уязвимости задействат ускорено смекчаване и ескалация към ръководството. Посочени са срокове за разкриване (обикновено в рамките на 90 дни или по взаимно съгласие), а публичните уведомления се координират така, че да се максимизира сигурността, като същевременно се отдава признание на докладващите, които са съгласни да бъдат назовани. Подчертава се поверителността на подадените уязвимости и самоличността на докладващите до постигане на съгласие за координирано публично разкриване. Управлението на CVD програмата е строго. Политиката се преглежда ежегодно или след значими инциденти, с изисквания за постоянно подобряване въз основа на прегледи след инцидент. Проследяват се показатели, поддържат се логове и се изискват регулярни одити, за да се гарантират прозрачност и ефективност при обработването на уязвимости съгласно политиката и приложимите регулации. Тази политика не е адаптирана за МСП (няма означение за МСП като „S“) и предполага наличието на отделни функции по сигурност, разработка и комуникации за правилна работа на CVD, като всички отговарят на строгите изисквания за ISO/IEC 27001:2022 и секторни директиви като NIS2.