Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 23/1/2014
En ny standard beskriver, hvordan et it-firma håndterer sårbarheder i de systemer, det sælger.Standarden, ISO 30111, blev offentliggjort for nylig. Den stiller en række krav til leverandører, der fx kan være softwarehuse eller udbydere af cloud-løsninger.
Leverandørerne skal udarbejde en proces og organisationsstruktur, der skal understøtte efterforskningen af en sårbarhed og arbejdet med at fjerne den.
De skal foretage en analyse af, hvad der er den egentlige årsag til sårbarheden. På den måde kan man nemlig opklare, hvilke systemer der er berørt af sårbarheden.
Processen skal også håndtere prioritering af sårbarheder og risikovurdering.
ISO 30111 får til sommer følgeskab af en anden standard, ISO 29147. Den handler udelukkende om henvendelser om sårbarheder fra eksterne sikkerhedsforskere.
Anbefaling
Softwarehuse og andre udbydere af it-løsninger bør sætte sig ind i standarden.
Links
- ISO 30111 Vulnerability Handling Processes Published, blogindlæg fra Akamai
- ISO 30111 Vulnerability handling processes is published, Twitter-besked fra Katie Moussouris, der har redigeret standarden
- Application Security Response: When Hackers Come A-Knockin, Youtube-video hvor Katie Moussouris forklarer de to standarder