Koordineeritud haavatavuste avalikustamise poliitika

Koordineeritud haavatavuste avalikustamise poliitika (CVD), tähisega P39, kehtestab struktureeritud ja ametliku protsessi haavatavuste vastuvõtmiseks, käsitlemiseks ja avalikuks avalikustamiseks organisatsiooni võrkudes ja infosüsteemides. See poliitika on välja töötatud selleks, et lahendada varasemates poliitikates tuvastatud lüngad seoses väliselt tuvastatud haavatavustest teavitamise ja koordineerimisega, tagades ennetava vastavuse NIS2 direktiivi artikli 21 lõike 2 punktile e ning kooskõla rahvusvaheliste standarditega, sh ISO/IEC 29147 ja komisjoni rakendusmäärusega (EL) 2024/2690. Selle poliitika eesmärk on kahetine: hõlbustada turbehaavatavuste õigeaegset tuvastamist ja lahendamist, kasutades nii sisemisi hindamisi kui ka välist sisendit, ning luua selged ja turvalised teed välistele osapooltele, nagu turbeuurijad, partnerid ja kliendid, haavatavustest teavitamiseks. Täpsemalt nõuab poliitika avaliku haavatavustest teavitamise kanali loomist, tavaliselt turbekontakti e-posti aadressi või krüpteeritud veebivormi, mis avaldatakse organisatsiooni veebisaidil ning toetab turvalist ja tõhusat suhtlust teavitajatega. See CVD-poliitika kirjeldab kõigi osapoolte kohustusi ja vajalikku koostööd: haavatavustele reageerimise meeskond (VRT), kes vastutab triaaži ning kõrvaldamise ja avalikustamise koordineerimise eest; IT- ja arendusmeeskonnad, kes valideerivad ja lahendavad haavatavuste tehnilised aspektid; suhtlusspetsialistid, kes koostavad teavitused sidusrühmadele ja avalikkusele; ning välised teavitajad, kes peavad järgima vastutustundliku avalikustamise suuniseid. Oluline on, et poliitika sätestab „turvasadama“ põhimõtte: heausksed uurijad, kes tegutsevad poliitika reeglite kohaselt, on kaitstud õiguslike meetmete eest, soodustades koostöist haavatavuste halduse kultuuri. Poliitika on selge teenustasemete ja kontrollimeetmete osas: teadete kinnitamine on tagatud 2 tööpäeva jooksul, raskusaste läbib kiire triaaži ning kriitilised haavatavused käivitavad kiirendatud maandamise ja eskaleerimise juhtkonnale. Avalikustamise tähtajad on määratletud (tavaliselt 90 päeva jooksul või vastastikusel kokkuleppel) ning avalikud teavitused koordineeritakse nii, et maksimeerida turvalisust ja tunnustada teavitajaid, kes nõustuvad nime avaldamisega. Esitatud haavatavuste ja teavitajate identiteetide konfidentsiaalsust rõhutatakse kuni koordineeritud avaliku avalikustamise kokkuleppimiseni. CVD-programmi juhtimine on range. Poliitika vaadatakse läbi iga-aastaselt või pärast olulisi intsidente ning nõutakse pidevat täiustamist intsidendijärgsete ülevaatuste põhjal. Mõõdikuid jälgitakse, logisid hoitakse ning regulaarseid auditeid nõutakse, et tagada läbipaistvus ja tõhusus haavatavuste käsitlemisel vastavalt poliitikale ja asjakohastele regulatsioonidele. See poliitika ei ole kohandatud VKE-dele (puudub VKE märge nagu „S“) ning eeldab CVD korrektseks toimimiseks pühendunud turbe-, arendus- ja suhtlusfunktsioone, mis vastavad ISO/IEC 27001:2022 ja valdkondlike direktiivide, nagu NIS2, rangetele nõuetele.