Politika koordinovaného zverejňovania zraniteľností

Politika koordinovaného zverejňovania zraniteľností (CVD), označená ako P39, stanovuje štruktúrovaný a formálny proces prijímania, riešenia a verejného zverejňovania zraniteľností v sieťach a informačných systémoch organizácie. Táto politika bola špecificky vypracovaná na odstránenie medzier identifikovaných v predchádzajúcich politikách v oblasti nahlasovania a koordinácie externe zistených zraniteľností, čím zabezpečuje proaktívne dodržiavanie smernice NIS2, článku 21 ods. 2 písm. e), ako aj zosúladenie s medzinárodnými normami vrátane ISO/IEC 29147 a vykonávacieho nariadenia Komisie (EÚ) 2024/2690. Účel tejto politiky je dvojitý: uľahčiť včasnú detekciu a odstránenie bezpečnostných zraniteľností využitím interných posúdení aj externých podnetov a vytvoriť jasné, bezpečné postupy pre externé strany, ako sú bezpečnostní výskumníci, partneri a zákazníci, na nahlasovanie zraniteľností. Konkrétne politika vyžaduje zriadenie verejne dostupného kanála na nahlasovanie zraniteľností, typicky e-mailového kontaktu na bezpečnosť alebo šifrovaného webového formulára zverejneného na webovej stránke organizácie, ktorý podporuje bezpečnú a efektívnu komunikáciu s oznamovateľmi. Táto politika CVD podrobne opisuje povinnosti a spoluprácu medzi všetkými zúčastnenými stranami: tím reakcie na zraniteľnosti (VRT), zodpovedný za triáž a koordináciu nápravných opatrení a zverejňovania; IT a vývojárske tímy, ktoré validujú a riešia technické aspekty zraniteľností; komunikační pracovníci, ktorí pripravujú oznámenia pre zainteresované strany a verejnosť; a samotní externí oznamovatelia, ktorí musia dodržiavať usmernenia zodpovedného zverejňovania. Dôležité je, že politika zakotvuje princíp „safe harbor“: výskumníci konajúci v dobrej viere, ktorí postupujú podľa pravidiel politiky, sú chránení pred právnymi krokmi, čím sa podporuje kooperatívna kultúra riadenia zraniteľností. Politika je explicitná v oblasti úrovní služieb a kontrol: potvrdenie prijatia hlásení je garantované do 2 pracovných dní, závažnosť sa promptne triedi a kritické zraniteľnosti spúšťajú zrýchlené zmierňujúce opatrenia a eskaláciu na manažment. Uvádzajú sa lehoty zverejnenia (typicky do 90 dní alebo na základe vzájomnej dohody) a verejné oznámenia sú koordinované tak, aby sa maximalizovala bezpečnosť a zároveň sa uviedlo uznanie oznamovateľom, ktorí súhlasia s uvedením mena. Zdôrazňuje sa dôvernosť predložených zraniteľností a identít oznamovateľov až do dohodnutého koordinovaného verejného zverejnenia. Správa programu CVD je prísna. Politika sa preskúmava ročne alebo po významných incidentoch, s požiadavkami na neustále zlepšovanie na základe poincidentných revízií. Sledujú sa metriky, udržiavajú sa záznamy a vyžadujú sa pravidelné audity na zabezpečenie transparentnosti a účinnosti pri riešení zraniteľností podľa politiky a relevantných predpisov. Táto politika nie je prispôsobená pre MSP (neexistuje označenie MSP, ako napr. „S“) a predpokladá vyhradené funkcie bezpečnosti, vývoja a komunikácie pre správnu prevádzku CVD, pričom všetky spĺňajú prísne požiadavky pre systém manažérstva informačnej bezpečnosti (ISMS) podľa ISO/IEC 27001:2022 a sektorové smernice ako NIS2.