Tecnología de la Información. Técnicas de seguridad. Divulgación de vulnerabilidades.

Objeto y campo de aplicación

Esta norma proporciona los requisitos y recomendaciones para los proveedores en relación a la divulgación de vulnerabilidades en productos y servicios. La divulgación de vulnerabilidades permite a los usuarios realizar una administración técnica de las vulnerabilidades, como se especifica en INTE/ISO/IEC 27002, 12.6.1 [1]. La divulgación de vulnerabilidades ayuda a los usuarios a proteger sus sistemas y datos, priorizando las inversiones defensivas y mejorando el análisis de riesgo. El objetivo de la divulgación de vulnerabilidades es reducir el riesgo asociado con la explotación de las mismas. Una divulgación de vulnerabilidades coordinada es especialmente importante cuando son afectados varios productores. Este documento proporciona: - Directrices sobre la recepción de informes relacionados con potenciales vulnerabilidades. - Directrices sobre la información correctiva de la divulgación de vulnerabilidades. - Términos y definiciones que son específicos para la divulgación de vulnerabilidades. - Resumen de los conceptos sobre divulgación de vulnerabilidades. - Consideraciones sobre técnicas y políticas para divulgación de vulnerabilidades. - Ejemplos de técnicas, políticas (Anexo A) y anuncios (Anexo B). Otras actividades relacionadas que ocurran entre la recepción y la divulgación de los informes de vulnerabilidades se describen en ISO/IEC 30111. Esta norma aplica a los proveedores quienes eligen practicar la divulgación de vulnerabilidades para reducir los riesgos a los usuarios de los proveedores de productos y servicios.

Información general

Código del comité
CTN 27 SC 01 
Nombre del comité
Seguridad de la Información 
Sector
Tecnologías de la información y comunicación 
ICS
35.030  
Correspondencias
ISO/IEC 29147:2018  
Organismos
ISO/IEC  
Edición
Fecha de aprobación
2020-07-31 
Número de páginas
37 
Estado
Vigente 

Normas de Referencia
INTE/ISO/IEC 27000, ISO/IEC 30111