NF EN ISO/IEC 29147
Technologies de l'information - Techniques de sécurité - Divulgation de vulnérabilité
Le présent document fournit des exigences et des recommandations à l'attention de fournisseurs concernant la divulgation de vulnérabilités dans des produits et services. La divulgation de vulnérabilité permet aux utilisateurs d'effectuer une gestion des vulnérabilités techniques telle que spécifiée dans la NF EN ISO/IEC 27002, de mai 2017, 12.6.1[1]. La divulgation de vulnérabilité aide les utilisateurs à protéger leurs systèmes et données, à prioriser les investissements défensifs et à mieux apprécier le risque. L'objectif d'une divulgation de vulnérabilité est de réduire le risque associé à l'exploitation de vulnérabilités. Une divulgation de vulnérabilité coordonnée est particulièrement importante lorsque plusieurs fournisseurs sont affectés. Le présent document fournit : des lignes directrices sur la réception de signalements concernant des vulnérabilités potentielles ; des lignes directrices sur la divulgation d'informations concernant la remédiation de vulnérabilités ; des termes et définitions spécifiques à la divulgation de vulnérabilités ; une vue d'ensemble des concepts associés à la divulgation de vulnérabilité ; des considérations relatives aux techniques et politiques de divulgation de vulnérabilité ; des exemples de techniques, de politiques (Annexe A) et de communications (Annexe B) . D'autres activités associées intervenant entre la réception et la divulgation de signalements de vulnérabilités sont décrites dans la NF EN ISO/IEC 30111. Le présent document s'applique aux fournisseurs qui choisissent de pratiquer la divulgation de vulnérabilité pour réduire le risque pour les utilisateurs de produits et services de fournisseurs.
Le présent document fournit des exigences et des recommandations à l'attention de fournisseurs concernant la divulgation de vulnérabilités dans des produits et services. La divulgation de vulnérabilité permet aux utilisateurs d'effectuer une gestion des vulnérabilités techniques telle que spécifiée dans la NF EN ISO/IEC 27002, de mai 2017, 12.6.1[1]. La divulgation de vulnérabilité aide les utilisateurs à protéger leurs systèmes et données, à prioriser les investissements défensifs et à mieux apprécier le risque. L'objectif d'une divulgation de vulnérabilité est de réduire le risque associé à l'exploitation de vulnérabilités. Une divulgation de vulnérabilité coordonnée est particulièrement importante lorsque plusieurs fournisseurs sont affectés. Le présent document fournit : des lignes directrices sur la réception de signalements concernant des vulnérabilités potentielles ; des lignes directrices sur la divulgation d'informations concernant la remédiation de vulnérabilités ; des termes et définitions spécifiques à la divulgation de vulnérabilités ; une vue d'ensemble des concepts associés à la divulgation de vulnérabilité ; des considérations relatives aux techniques et politiques de divulgation de vulnérabilité ; des exemples de techniques, de politiques (Annexe A) et de communications (Annexe B) . D'autres activités associées intervenant entre la réception et la divulgation de signalements de vulnérabilités sont décrites dans la NF EN ISO/IEC 30111. Le présent document s'applique aux fournisseurs qui choisissent de pratiquer la divulgation de vulnérabilité pour réduire le risque pour les utilisateurs de produits et services de fournisseurs.
-
1 Domaine d'application
-
2 Références normatives
-
3 Termes et définitions
-
4 Abréviations
-
5 Concepts
-
6 Réception de signalements de vulnérabilités
-
7 Publication de bulletins de sécurité sur des vulnérabilités
-
8 Coordination
-
9 Politique de divulgation de vulnérabilité
- Annexe A Exemples de politiques de divulgation de vulnérabilités
- Annexe B Informations à demander dans un signalement
- Annexe C Exemples de bulletins de sécurité
- Annexe D Résumé des éléments normatifs
- Bibliographie
Le service Exigences vous aide à repérer rapidement au sein du texte normatif :
- les clauses impératives à satisfaire,
- les clauses non indispensables mais utiles à connaitre, telles que les permissions et les recommandations.
L’identification de ces types de clauses repose sur le document « Directives ISO/IEC, Partie 2 - Principes et règles de structure et de rédaction des documents ISO » ainsi que sur une liste de formes verbales constamment enrichie.
Avec Exigences, accédez rapidement à l’essentiel du texte normatif !
COBAZ est la solution simple et efficace pour répondre aux besoins normatifs liés à votre activité, en France comme à l’étranger.
Disponible sur abonnement, CObaz est LA solution modulaire à composer selon vos besoins d’aujourd’hui et de demain. Découvrez vite CObaz !
Demandez votre démo live gratuite, sans engagement
Je découvre COBAZ