Koordinoitu haavoittuvuuksien ilmoittamisen politiikka

Koordinoitu haavoittuvuuksien ilmoittamisen politiikka (CVD), nimetty P39:ksi, määrittää rakenteisen ja muodollisen prosessin haavoittuvuuksien vastaanottamiselle, käsittelylle ja julkiselle julkistamiselle organisaation verkko- ja tietojärjestelmissä. Tämä politiikka on kehitetty erityisesti aiemmissa politiikoissa tunnistettujen puutteiden korjaamiseksi ulkoisesti havaittujen haavoittuvuuksien raportoinnissa ja koordinoinnissa, varmistaen ennakoivan vaatimustenmukaisuuden NIS2-direktiivin artiklan 21(2)(e) kanssa sekä yhdenmukaisuuden kansainvälisten standardien, mukaan lukien ISO/IEC 29147, ja komission täytäntöönpanoasetuksen (EU) 2024/2690 kanssa. Politiikan tarkoitus on kaksijakoinen: mahdollistaa tietoturvahaavoittuvuuksien oikea-aikainen havaitseminen ja ratkaiseminen hyödyntämällä sekä sisäisiä arviointeja että ulkoista syötettä, ja luoda selkeät, suojatut polut ulkoisille osapuolille, kuten tietoturvatutkijoille, kumppaneille ja asiakkaille, haavoittuvuuksien raportointiin. Politiikka edellyttää erityisesti julkisen haavoittuvuuksien raportointikanavan perustamista, tyypillisesti tietoturvakontaktisähköpostin tai salatun verkkolomakkeen, joka julkaistaan organisaation verkkosivustolla ja tukee turvallista ja tehokasta viestintää ilmoittajien kanssa. Tämä CVD-politiikka kuvaa kaikkien osapuolten velvollisuudet ja tarvittavan yhteistyön: haavoittuvuuksien reagointitiimi (VRT), joka vastaa triagesta sekä korjausten ja julkistamisen koordinoinnista; IT- ja kehitystiimit, jotka validoivat ja käsittelevät haavoittuvuuksien tekniset näkökohdat; viestinnän ammattilaiset, jotka valmistelevat tiedotteet sidosryhmille ja yleisölle; sekä ulkoiset ilmoittajat, joiden on noudatettava vastuullisen julkistamisen suuntaviivoja. Olennaista on, että politiikka vahvistaa safe harbor -periaatteen: vilpittömässä mielessä toimivat tutkijat, jotka toimivat politiikan sääntöjen mukaisesti, ovat suojattuja oikeustoimilta, mikä edistää yhteistyöhön perustuvaa haavoittuvuuksien hallinnan kulttuuria. Politiikka on täsmällinen palvelutasojen ja hallintakeinojen osalta: raporttien kuittaus taataan 2 arkipäivän kuluessa, vakavuus triage-luokitellaan viipymättä, ja kriittiset haavoittuvuudet käynnistävät nopeutetut lieventämistoimenpiteet sekä eskaloinnin johdolle. Julkistamisen aikataulut on määritelty (tyypillisesti 90 päivän kuluessa tai yhteisellä sopimuksella), ja julkiset tiedotteet koordinoidaan turvallisuuden maksimoimiseksi samalla kun ilmoittajille annetaan tunnustus, jos he suostuvat nimensä julkaisemiseen. Toimitettujen haavoittuvuuksien ja ilmoittajien henkilöllisyyksien luottamuksellisuutta korostetaan, kunnes koordinoidusta julkisesta julkistamisesta on sovittu. CVD-ohjelman hallintotapa on tiukka. Politiikka katselmoidaan vuosittain tai merkittävien poikkeamien jälkeen, ja se edellyttää jatkuvaa parantamista poikkeaman jälkiarviointien perusteella. Mittareita seurataan, lokit ylläpidetään ja säännölliset auditoinnit ovat pakollisia läpinäkyvyyden ja vaikuttavuuden varmistamiseksi haavoittuvuuksien käsittelyssä politiikan ja soveltuvan sääntelyn mukaisesti. Tätä politiikkaa ei ole räätälöity pk-yrityksille (ei ole pk-merkintää kuten "S"), ja se olettaa omistautuneet tietoturva-, kehitys- ja viestintätoiminnot CVD:n asianmukaiseen toteutukseen, täyttäen tiukat vaatimukset ISO/IEC 27001:2022:n ja toimialakohtaisten direktiivien, kuten NIS2:n, osalta.