Alcance
Esta norma proporciona los requerimientos y recomendaciones para los proveedores en relación a la divulgación de vulnerabilidades en productos y servicios. La divulgación de vulnerabilidades permite a los usuarios realizar una administración técnica de las vulnerabilidades, como se especifica en ISO/IEC 27002:2013, 12.6.1 [1]. La divulgación de vulnerabilidades ayuda a los usuarios a proteger sus sistemas y datos, priorizando las inversiones defensivas y mejorando el análisis de riesgo. El objetivo de la divulgación de vulnerabilidades es reducir el riesgo asociado con la explotación de las mismas. Una divulgación de vulnerabilidades coordinada es especialmente importante cuando sonafectados varios productores. Este documento proporciona:— Directrices sobre la recepción de informes relacionados con potenciales vulnerabilidades.— Directrices sobre la información correctiva de la divulgación de vulnerabilidades.— Términos y defi niciones que son específi cos para la divulgación de vulnerabilidades.— Resumen de los conceptos sobre divulgación de vulnerabilidades.— Técnicas y consideraciones para las políticas de divulgación de vulnerabilidades.— Ejemplos de técnicas, políticas (Anexo A) y anuncios (Anexo B).Otras actividades relacionadas que ocurran entre la recepción y la divulgación de los informes de vulnerabilidades se describen en ISO/IEC 30111.Esta norma aplica a los proveedores quienes eligen practicar la divulgación de vulnerabilidades para reducir los riesgos a los usuarios de los proveedores de productos y servicios.