Koordinuoto pažeidžiamumų atskleidimo politika

Koordinuoto pažeidžiamumų atskleidimo politika (CVD), pažymėta kaip P39, nustato struktūrizuotą ir formalų procesą pažeidžiamumų gavimui, tvarkymui ir viešam atskleidimui organizacijos tinkluose ir informacinėse sistemose. Ši politika buvo parengta siekiant pašalinti ankstesnėse politikose nustatytas spragas, susijusias su išoriškai aptiktų pažeidžiamumų pranešimu ir koordinavimu, užtikrinant proaktyvią atitiktį NIS2 direktyvos 21 straipsnio 2 dalies e punktui, taip pat suderinamumą su tarptautiniais standartais, įskaitant ISO/IEC 29147 ir Komisijos įgyvendinimo reglamentą (ES) 2024/2690. Šios politikos tikslas yra dvejopas: sudaryti sąlygas savalaikiam saugumo pažeidžiamumų aptikimui ir pašalinimui, pasitelkiant tiek vidinius vertinimus, tiek išorinę informaciją, ir sukurti aiškius, saugius kelius išorinėms šalims, pavyzdžiui, saugumo tyrėjams, partneriams ir klientams, pranešti apie pažeidžiamumus. Konkrečiai, politika įpareigoja sukurti viešai prieinamą pažeidžiamumų pranešimo kanalą, paprastai saugumo kontaktinį el. paštą arba šifruotą žiniatinklio formą, paskelbtą organizacijos svetainėje, kuri palaiko saugią ir veiksmingą komunikaciją su pranešėjais. Šioje CVD politikoje aprašomos pareigos ir bendradarbiavimas tarp visų dalyvaujančių šalių: Pažeidžiamumų reagavimo komandos (VRT), atsakingos už triažą ir trūkumų šalinimo bei atskleidimo koordinavimą; IT ir kūrimo komandų, kurios validuoja ir sprendžia techninius pažeidžiamumų aspektus; komunikacijos specialistų, kurie rengia pranešimus suinteresuotosioms šalims ir visuomenei; ir pačių išorinių pranešėjų, kurie privalo laikytis atsakingo atskleidimo gairių. Svarbu tai, kad politika įtvirtina „saugaus prieglobsčio“ principą: sąžiningai veikiantys tyrėjai, kurie laikosi politikos taisyklių, yra apsaugomi nuo teisinių veiksmų, taip skatinant bendradarbiavimu grįstą pažeidžiamumų valdymo kultūrą. Politikoje aiškiai apibrėžti paslaugų lygiai ir kontrolės priemonės: pranešimų gavimo patvirtinimas garantuojamas per 2 darbo dienas, sunkumas triažuojamas nedelsiant, o kritiniai pažeidžiamumai sukelia pagreitintą švelninimą ir eskalavimą vadovybei. Nurodomi atskleidimo terminai (paprastai per 90 dienų arba abipusiu susitarimu), o vieši pranešimai koordinuojami siekiant maksimaliai padidinti saugumą, kartu nurodant pranešėjus, jei jie sutinka būti įvardyti. Pateiktų pažeidžiamumų ir pranešėjų tapatybių konfidencialumas pabrėžiamas iki tol, kol susitariama dėl koordinuoto viešo atskleidimo. CVD programos valdysena yra griežta. Politika peržiūrima kasmet arba po reikšmingų incidentų, taikant nuolatinio tobulinimo reikalavimus, pagrįstus poįvykio analizėmis. Sekami rodikliai, palaikomi žurnalai ir numatomi reguliarūs auditai, siekiant užtikrinti skaidrumą ir veiksmingumą tvarkant pažeidžiamumus pagal politiką ir taikomus reglamentavimo reikalavimus. Ši politika nėra pritaikyta MVĮ (nėra MVĮ žymėjimo, pvz., „S“) ir numato dedikuotas saugumo, kūrimo ir komunikacijos funkcijas tinkamam CVD veikimui, atitinkančias griežtus ISO/IEC 27001:2022 ir sektorinių direktyvų, tokių kaip NIS2, reikalavimus.