Politica de divulgare coordonată a vulnerabilităților

Politica de divulgare coordonată a vulnerabilităților (CVD), desemnată ca P39, stabilește un proces structurat și formal pentru primirea, gestionarea și divulgarea publică a vulnerabilităților din rețelele și sistemele informatice ale organizației. Această politică a fost dezvoltată în mod specific pentru a aborda lacunele identificate în politicile anterioare privind raportarea și coordonarea vulnerabilităților detectate extern, asigurând conformitatea proactivă cu Directiva NIS2, articolul 21(2)(e), precum și alinierea la standarde internaționale, inclusiv ISO/IEC 29147 și Regulamentul de punere în aplicare (UE) 2024/2690 al Comisiei. Scopul acestei politici este dublu: să faciliteze detectarea și rezolvarea la timp a vulnerabilităților de securitate prin valorificarea atât a evaluărilor interne, cât și a contribuțiilor externe, și să creeze căi clare și securizate pentru părți externe, precum cercetători în securitate, parteneri și clienți, pentru a raporta vulnerabilități. În mod specific, politica impune stabilirea unui canal public de raportare a vulnerabilităților, de regulă un e-mail de contact de securitate sau un formular web criptat publicat pe site-ul organizației, care susține o comunicare sigură și eficace cu raportorii. Această politică CVD detaliază atribuțiile și colaborarea necesare între toate părțile implicate: Echipa de răspuns la vulnerabilități (VRT), responsabilă pentru triaj și coordonarea remedierii și divulgării; echipele IT și de dezvoltare, care validează și abordează aspectele tehnice ale vulnerabilităților; profesioniștii în comunicare, care pregătesc alerte pentru părțile interesate și public; și raportorii externi înșiși, care trebuie să respecte liniile directoare privind divulgarea responsabilă. Important, politica consacră un principiu de „safe harbor”: cercetătorii de bună-credință care acționează conform regulilor politicii sunt protejați de acțiuni legale, promovând o cultură de cooperare în managementul vulnerabilităților. Politica este explicită privind nivelurile de serviciu și controalele: confirmările rapoartelor sunt garantate în termen de 2 zile lucrătoare, severitatea este triată prompt, iar vulnerabilitățile critice declanșează atenuare accelerată și escaladare către management. Sunt precizate termenele de divulgare (de regulă în termen de 90 de zile sau pe baza unui acord reciproc), iar alertele publice sunt coordonate pentru a maximiza securitatea, creditând raportorii care consimt să fie nominalizați. Confidențialitatea vulnerabilităților transmise și a identităților raportorilor este subliniată până când se convine o divulgare publică coordonată. Guvernanța asupra programului CVD este strictă. Politica este revizuită anual sau după incidente semnificative, cu cerințe de îmbunătățire continuă bazate pe revizuiri post-mortem. Metricile sunt urmărite, jurnalele sunt păstrate, iar audituri regulate sunt impuse pentru a asigura transparența și eficacitatea în gestionarea vulnerabilităților conform politicii și reglementărilor relevante. Această politică nu este adaptată pentru IMM-uri (nu există o notare pentru IMM-uri precum „S”) și presupune funcții dedicate de securitate, dezvoltare și comunicare pentru operarea corespunzătoare a CVD, îndeplinind cerințe stricte pentru ISO/IEC 27001:2022 și directive sectoriale precum NIS2.