Koordinētas ievainojamību atklāšanas politika

Koordinētas ievainojamību atklāšanas politika (CVD), apzīmēta kā P39, nosaka strukturētu un formālu procesu ievainojamību saņemšanai, apstrādei un publiskai atklāšanai organizācijas tīklos un informācijas sistēmās. Šī politika ir īpaši izstrādāta, lai novērstu iepriekšējās politikās identificētās nepilnības attiecībā uz ārēji atklātu ievainojamību ziņošanu un koordinēšanu, nodrošinot proaktīvu atbilstību NIS2 direktīvas 21. panta 2. punkta e) apakšpunktam, kā arī saskaņošanu ar starptautiskajiem standartiem, tostarp ISO/IEC 29147 un Komisijas Īstenošanas regulu (ES) 2024/2690. Šīs politikas mērķis ir divējāds: veicināt savlaicīgu drošības ievainojamību atklāšanu un novēršanu, izmantojot gan iekšējos novērtējumus, gan ārējo ieguldījumu, un izveidot skaidrus, drošus ceļus ārējām pusēm, piemēram, drošības pētniekiem, partneriem un klientiem, lai ziņotu par ievainojamībām. Konkrēti, politika nosaka publiski pieejama ievainojamību ziņošanas kanāla izveidi, parasti drošības kontaktpersonas e-pastu vai šifrētu tīmekļa veidlapu, kas publicēta organizācijas tīmekļvietnē un kas atbalsta drošu un efektīvu saziņu ar ziņotājiem. Šī CVD politika detalizē pienākumus un sadarbību starp visām iesaistītajām pusēm: Ievainojamību reaģēšanas komandu (VRT), kas atbild par triāžu un trūkumu novēršanas un publiskošanas koordinēšanu; IT operāciju un izstrādes komandas, kas validē un risina ievainojamību tehniskos aspektus; komunikācijas speciālistus, kas sagatavo paziņojumus ieinteresētajām pusēm un sabiedrībai; un pašus ārējos ziņotājus, kuriem jāievēro atbildīgas publiskošanas vadlīnijas. Būtiski, politika nostiprina “drošā patvēruma” principu: labā ticībā strādājoši pētnieki, kuri rīkojas saskaņā ar politikas noteikumiem, ir aizsargāti no tiesiskām darbībām, veicinot sadarbībā balstītu ievainojamību pārvaldības kultūru. Politika ir skaidra par pakalpojumu līmeņiem un kontroles pasākumiem: ziņojumu saņemšanas apliecinājums tiek garantēts 2 darba dienu laikā, smaguma pakāpe tiek nekavējoties triāžēta, un kritiskās ievainojamības iedarbina paātrinātus mazināšanas pasākumus un eskalāciju vadībai. Ir noteikti publiskošanas termiņi (parasti 90 dienu laikā vai pēc savstarpējas vienošanās), un publiskie paziņojumi tiek koordinēti, lai maksimāli palielinātu drošību, vienlaikus piešķirot atzinību ziņotājiem, kuri piekrīt tikt nosaukti. Iesniegto ievainojamību un ziņotāju identitāšu konfidencialitāte tiek uzsvērta līdz brīdim, kad tiek panākta vienošanās par koordinētu publisku atklāšanu. Pārvaldība pār CVD programmu ir stingra. Politika tiek pārskatīta ik gadu vai pēc būtiskiem drošības incidentiem, ar prasībām nepārtrauktai uzlabošanai, balstoties uz pēcnotikuma izvērtējumiem. Tiek izsekotas metrikas, uzturēti žurnāli un noteikti regulāri auditi, lai nodrošinātu pārredzamību un efektivitāti ievainojamību apstrādē saskaņā ar politiku un attiecīgajiem normatīvajiem aktiem. Šī politika nav pielāgota MVU (nav MVU atzīmes, piemēram, “S”), un tā paredz specializētas drošības, izstrādes un komunikācijas funkcijas pienācīgai CVD darbībai, kas atbilst stingrām ISO/IEC 27001:2022 un nozaru direktīvu, piemēram, NIS2, prasībām.