NormInfo

tutoriels

Publication

Technologies de l'information - Techniques de sécurité - Divulgation de vulnérabilité

NF EN ISO/IEC 29147

Suivie par la Commission : Sécurité de l'information, cybersécurité, protection des données et de la vie privée Origine des travaux : Européenne
    Motif : Nouveau document

Résumé :

Le présent document fournit des exigences et des recommandations à l'attention de fournisseurs concernant la divulgation de vulnérabilités dans des produits et services. La divulgation de vulnérabilité permet aux utilisateurs d'effectuer une gestion des vulnérabilités techniques telle que spécifiée dans l'ISO/IEC 27002:2013, 12.6.1 [ ]. La divulgation de vulnérabilité aide les utilisateurs à protéger leurs systèmes et données, à prioriser les investissements défensifs et à mieux apprécier le risque. L'objectif d'une divulgation de vulnérabilité est de réduire le risque associé à l'exploitation de vulnérabilités. Une divulgation de vulnérabilité coordonnée est particulièrement importante lorsque plusieurs fournisseurs sont affectés. Le présent document fournit: - des lignes directrices sur la réception de signalements concernant des vulnérabilités potentielles; - des lignes directrices sur la divulgation d'informations concernant la remédiation de vulnérabilités; - des termes et définitions spécifiques à la divulgation de vulnérabilités; - une vue d'ensemble des concepts associés à la divulgation de vulnérabilité; - des considérations relatives aux techniques et politiques de divulgation de vulnérabilité; - des exemples de techniques, de politiques (Annexe A) et de communications (Annexe B) . D'autres activités associées intervenant entre la réception et la divulgation de signalements de vulnérabilités sont décrites dans l'ISO/IEC 30111. Le présent document s'applique aux fournisseurs qui choisissent de pratiquer la divulgation de vulnérabilité pour réduire le risque pour les utilisateurs de produits et services de fournisseurs.

Voir plus Voir moins

Informations complémentaires :
  • Les normes sont élaborées par des commissions de normalisation, gérées par AFNOR et les Bureaux de normalisation des professions, qui rassemblent des représentants de toutes les parties intéressées (producteurs, utilisateurs, pouvoirs publics, associations, centres techniques, ...).

    En vue d'améliorer la qualité de ces documents, un dispositif de retour d'expérience a été mis en place auprès des utilisateurs. L'information recueillie permettra en particulier d'apprécier la nécessité de modifier le document publié.

    Afin d'adapter au mieux son contenu à vos attentes, AFNOR vous invite à répondre à ce questionnaire.