ÖVE/ÖNORM EN ISO/IEC 29147

Dieses Dokument enthält Anforderungen und Empfehlungen für Anbieter zur Offenlegung von Schwachstellen in Produkten und Dienstleistungen. Die Offenlegung von Schwachstellen ermöglicht es den Anwendern, technische Schwachstellen nach ISO/IEC 27002:2013, 12.6.1, zu handhaben. Durch die Offenlegung von Schwachstellen können Anwender ihre Systeme und Daten schützen, Abwehrmechanismen priorisieren und Risiken besser einschätzen. Ziel der Offenlegung von Schwachstellen ist es, das Risiko in Verbindung mit der Ausnutzung von Schwachstellen zu mindern. Eine koordinierte Offenlegung von Schwachstellen ist besonders wichtig, wenn mehrere Anbieter betroffen sind. Dieses Dokument enthält: - Leitlinien für das Empfangen von Berichten über mögliche Schwachstellen; - Leitlinien für das Offenlegen von Informationen über die Behebung von Schwachstellen; - spezifische Begriffe für die Offenlegung von Schwachstellen; - einen Überblick über die Konzepte der Offenlegung von Schwachstellen; - Betrachtung von Techniken und Richtlinien für die Offenlegung von Schwachstellen; - Beispiele für Techniken, Richtlinien und für die Kommunikation. Andere zugehörige Tätigkeiten, die zwischen dem Empfangen und dem Offenlegen von Schwachstellen-berichten stattfinden, sind in ISO/IEC 30111 beschrieben. Dieses Dokument gilt für Anbieter, die sich dazu entschieden haben, Schwachstellen offenzulegen, um das Risiko für die Anwender der von ihnen angebotenen Produkte und Dienstleistungen zu mindern.