Koordinált sérülékenység-közzétételi szabályzat

A Koordinált sérülékenység-közzétételi szabályzat (CVD), P39 jelöléssel, strukturált és formális folyamatot hoz létre a szervezet hálózati és információs rendszereiben található sérülékenységek fogadására, kezelésére és nyilvános közzétételére. A szabályzat kifejezetten a korábbi szabályzatokban azonosított hiányosságok kezelésére készült a külsőleg észlelt sérülékenységek bejelentése és koordinációja terén, biztosítva a NIS2 irányelv 21. cikk (2) bekezdés (e) pontjának proaktív teljesítését, valamint a nemzetközi szabványokkal – többek között az ISO/IEC 29147-tel és a Bizottság (EU) 2024/2690 végrehajtási rendeletével – való összhangot. A szabályzat célja kettős: egyrészt a biztonsági sérülékenységek időben történő észlelésének és megoldásának elősegítése belső értékelések és külső visszajelzések felhasználásával, másrészt egyértelmű, biztonságos útvonalak létrehozása külső felek – például biztonsági kutatók, partnerek és ügyfelek – számára a sérülékenységek bejelentéséhez. A szabályzat előírja egy nyilvánosan elérhető sérülékenység-bejelentési csatorna létrehozását, jellemzően egy biztonsági kapcsolattartói e-mail címet vagy titkosított webes űrlapot, amelyet a szervezet weboldalán tesznek közzé, és amely biztonságos és hatékony kommunikációt támogat a bejelentőkkel. A CVD szabályzat részletezi az érintett felek feladatait és együttműködését: a Sérülékenységreagálási csapat (VRT) felel a triázsért, valamint a javítás és a közzététel koordinálásáért; az IT- és fejlesztőcsapatok validálják és kezelik a sérülékenységek technikai aspektusait; a kommunikációs szakemberek tájékoztatókat készítenek az érdekelt felek és a nyilvánosság számára; a külső bejelentőknek pedig be kell tartaniuk a felelős közzétételi iránymutatásokat. Fontos, hogy a szabályzat rögzíti a „safe harbor” elvet: a jóhiszemű kutatók, akik a szabályzat előírásai szerint járnak el, védelmet kapnak a jogi eljárásokkal szemben, elősegítve az együttműködő sérülékenységkezelési kultúrát. A szabályzat egyértelműen meghatározza a szolgáltatási szinteket és kontrollokat: a bejelentések tudomásulvétele 2 munkanapon belül garantált, a súlyosság gyorsan triázsolásra kerül, a kritikus sérülékenységek pedig gyorsított enyhítő intézkedéseket és eszkalációt váltanak ki a vezetés felé. A közzétételi határidők rögzítettek (jellemzően 90 napon belül vagy kölcsönös megállapodás alapján), és a nyilvános tájékoztatók koordináltan kerülnek kiadásra a biztonság maximalizálása érdekében, miközben a bejelentők – hozzájárulásuk esetén – elismerésben részesülnek. A benyújtott sérülékenységek és a bejelentők személyazonosságának bizalmassága hangsúlyos mindaddig, amíg a koordinált nyilvános közzétételről megállapodás nem születik. A CVD program irányítása szigorú. A szabályzatot évente, illetve jelentős incidensek után felül kell vizsgálni, és folyamatos fejlesztési követelményeket ír elő incidens utáni felülvizsgálatok alapján. Mutatók kerülnek nyomon követésre, naplók kerülnek fenntartásra, és rendszeres auditok kötelezőek az átláthatóság és a sérülékenységkezelés eredményességének biztosítására a szabályzat és a vonatkozó szabályozások szerint. Ez a szabályzat nem KKV-kra van testreszabva (nincs „S” jelölés), és dedikált biztonsági, fejlesztési és kommunikációs funkciókat feltételez a CVD megfelelő működtetéséhez, amelyek megfelelnek az ISO/IEC 27001:2022 és az ágazati irányelvek – például a NIS2 – szigorú követelményeinek.