Politika koordiniranog otkrivanja ranjivosti

Politika koordiniranog otkrivanja ranjivosti (CVD), označena kao P39, uspostavlja strukturiran i formalan postupak za zaprimanje, postupanje i javnu objavu ranjivosti u mrežnim i informacijskim sustavima organizacije. Ova je politika posebno razvijena kako bi adresirala praznine utvrđene u prethodnim politikama u vezi s prijavljivanjem i koordinacijom izvana otkrivenih ranjivosti, osiguravajući proaktivnu usklađenost s Direktivom NIS2, člankom 21. stavkom 2. točkom (e), kao i usklađenost s međunarodnim standardima uključujući ISO/IEC 29147 i Provedbenu uredbu Komisije (EU) 2024/2690. Svrha ove politike je dvostruka: omogućiti pravodobno otkrivanje i rješavanje sigurnosnih ranjivosti korištenjem i internih procjena i vanjskog doprinosa te uspostaviti jasne, sigurne putove za vanjske strane, kao što su sigurnosni istraživači, partneri i korisnici, za prijavljivanje ranjivosti. Konkretno, politika nalaže uspostavu javno dostupnog kanala za prijavljivanje ranjivosti, tipično e-pošte za sigurnosni kontakt ili šifriranog web obrasca objavljenog na web-stranici organizacije, koji podržava sigurnu i učinkovitu komunikaciju s prijaviteljima. Ova CVD politika detaljno opisuje dužnosti i suradnju potrebnu između svih uključenih strana: Tima za odgovor na ranjivosti (VRT), odgovornog za trijažu i koordinaciju otklanjanja nedostataka i objave; IT i razvojnih timova, koji validiraju i rješavaju tehničke aspekte ranjivosti; komunikacijskih stručnjaka, koji pripremaju obavijesti za dionike i javnost; te samih vanjskih prijavitelja, koji se moraju pridržavati smjernica odgovorne objave. Važno je da politika utvrđuje načelo "safe harbor": istraživači koji postupaju u dobroj vjeri i djeluju u skladu s pravilima politike zaštićeni su od pravnih postupaka, čime se potiče kultura suradnje u upravljanju ranjivostima. Politika je izričita u pogledu razina usluge i kontrola: potvrde primitka prijava zajamčene su u roku od 2 radna dana, ozbiljnost se promptno trijažira, a kritične ranjivosti pokreću ubrzane mjere ublažavanja i eskalaciju prema upravi. Navode se rokovi objave (tipično u roku od 90 dana ili prema međusobnom dogovoru), a javne obavijesti koordiniraju se kako bi se maksimalno povećala sigurnost uz navođenje prijavitelja koji pristanu biti imenovani. Povjerljivost dostavljenih ranjivosti i identiteta prijavitelja naglašava se sve dok se ne dogovori koordinirana javna objava. Upravljanje CVD programom je strogo. Politika se pregledava godišnje ili nakon značajnih incidenata, uz zahtjeve za kontinuirano poboljšanje na temelju post-mortem pregleda. Prate se metrike, održavaju log-zapisi i nalažu se redovite revizije kako bi se osigurala transparentnost i djelotvornost u postupanju s ranjivostima u skladu s politikom i relevantnim propisima. Ova politika nije prilagođena za MSP-ove (nema oznake MSP-a kao što je "S") te pretpostavlja namjenske funkcije sigurnosti, razvoja i komunikacija za pravilno funkcioniranje CVD-a, pri čemu sve ispunjava stroge zahtjeve za sustav upravljanja informacijskom sigurnošću (ISMS) prema ISO/IEC 27001:2022 i sektorske direktive poput NIS2.