Nationales Vorwort

Europäisches Vorwort

Anerkennungsnotiz

Vorwort

Einleitung

1Anwendungsbereich

2Normative Verweisungen

3Begriffe

3.1Schwachstelle

3.2Offenlegung

3.3Koordination

3.4Anbieter

3.5Berichtersteller

3.6Koordinator

3.7Problembehebung

3.8beratendes Dokument

4Abkürzungen

5Konzepte

5.1Allgemeines

5.2Struktur dieses Dokuments

5.3Zusammenhänge mit anderen Internationalen Normen

5.3.1ISO/IEC 30111

5.3.2ISO/IEC 27002

5.3.3Normenreihe ISO/IEC 27034

5.3.4ISO/IEC 27036-3

5.3.5ISO/IEC 27017

5.3.6Normenreihe ISO/IEC 27035

5.3.7Sicherheitsbewertung, Prüfung und Spezifikation

5.4Systeme, Komponenten und Dienstleistungen

5.4.1Systeme

5.4.2Komponenten

5.4.3Produkte

5.4.4Dienstleistungen

5.4.5Schwachstelle

5.4.6Wechselseitige Produktabhängigkeit

5.5Rollen der Beteiligten

5.5.1Allgemeines

5.5.2Anwender

5.5.3Anbieter

5.5.4Berichtersteller

5.5.5Koordinator

5.6Zusammenfassung des Schwachstellenbehandlungsprozesses

5.6.1Allgemeines

5.6.2Vorbereitung

5.6.3Empfang

5.6.4Verifizierung

5.6.5Entwickeln der Problembehebung

5.6.6Freigabe

5.6.7Nach der Freigabe

5.6.8Sperrfrist

5.7Informationsaustausch während der Offenlegung von Schwachstellen

5.8Vertraulichkeit von ausgetauschten Informationen

5.8.1Allgemeines

5.8.2Sichere Kommunikationswege

5.9Beratende Dokumente über Schwachstellen

5.10Ausnutzung einer Schwachstelle

5.11Schwachstellen und Risiko

6Empfangen von Schwachstellenberichten

6.1Allgemeines

6.2Schwachstellenberichte

6.2.1Allgemeines

6.2.2Fähigkeit zum Empfangen von Berichten

6.2.3Überwachung

6.2.4Berichtsverfolgung

6.2.5Bestätigung des Berichts

6.3Erstbeurteilung

6.4Weitere Untersuchungen

6.5Fortlaufende Kommunikation

6.6Beteiligung von Koordinatoren

6.7Betriebssicherheit

7Veröffentlichen von beratenden Dokumenten über Schwachstellen

7.1Allgemeines

7.2Beratendes Dokument

7.3Zeitplan für die Veröffentlichung von beratenden Dokumenten

7.4Elemente von beratenden Dokumenten

7.4.1Allgemeines

7.4.2Kennungen

7.4.3Datum und Uhrzeit

7.4.4Titel

7.4.5Überblick

7.4.6Betroffene Produkte

7.4.7Vorgesehene Zielgruppe

7.4.8Lokalisierung

7.4.9Beschreibung

7.4.10Auswirkung

7.4.11Schweregrad

7.4.12Problembehebung

7.4.13Verweisungen

7.4.14Anerkennung

7.4.15Kontaktinformationen

7.4.16Versionshistorie

7.4.17Nutzungsbedingungen

7.5Übermittlung des beratenden Dokuments

7.6Format des beratenden Dokuments

7.7Authentizität von beratenden Dokumenten

7.8Problembehebungen

7.8.1Allgemeines

7.8.2Authentizität der Problembehebung

7.8.3Durchführung von Problembehebungen

8Koordination

8.1Allgemeines

8.2Anbieter mit verschiedenen Rollen

8.2.1Allgemeines

8.2.2Schwachstellenberichterstattung zwischen Anbietern

8.2.3Berichten von Schwachstelleninformationen an andere Anbieter

9Richtlinie über die Offenlegung von Schwachstellen

9.1Allgemeines

9.2Erforderliche Richtlinienelemente

9.2.1Allgemeines

9.2.2Bevorzugte Kontaktaufnahmeverfahren

9.3Empfohlene Richtlinienelemente

9.3.1Allgemeines

9.3.2Inhalte des Schwachstellenberichts

9.3.3Sichere Kommunikationsoptionen

9.3.4Festlegen von Anforderungen an die Kommunikation

9.3.5Anwendungsbereich

9.3.6Veröffentlichung

9.3.7Würdigung

9.4Optionale Richtlinienelemente

9.4.1Allgemeines

9.4.2Rechtliche Aspekte

9.4.3Zeitplan für die Offenlegung

Anhang ABeispiele für Richtlinien über die Offenlegung von Schwachstellen (informativ)

A.1Facebook

A.2CERT/CC

A.3Zero Day Initiative

A.4Cisco

A.5NCSC-FI

A.6NCSC-NL

A.7Rapid7

Anhang BIn einem Bericht erforderliche Informationen (informativ)

Anhang CBeispiele für beratende Dokumente (informativ)

C.1Beispiel für ein beratendes Dokument

C.2Beschädigung des Heap-Speichers in ASN.1-Parsing-Code, der durch Objective Systems Inc. ASN1C-Compiler für C/C++ generiert wurde

C.3Mehrere Schwachstellen im Network Time Protocol Daemon, die sich auf Cisco-Produkte auswirken: November 2016

C.4RHSA-2017:0057 — Beratendes Sicherheitsdokument

C.5Warnmeldung (TA10-159A) Adobe Flash, Reader, und Acrobat Schwachstelle

Anhang DZusammenfassung der normativen Elemente (informativ)

Literaturhinweise (informativ)

Nationaler Anhang NALiteraturhinweise (informativ)