Ny standard for håndtering av sårbarheter


En ny standard beskriver hvordan IT-selskap skal håndtere sårbarheter i systemene de selger.

Standarden, ISO 30111, som nylig ble publisert definerer en rekke krav til ulike leverandører, det være seg vanlige programvareleverandører eller de nye tilbyderne av ulike skytjenester (cloud-løsninger).

For å følge den nye standarden må leverandørene utvikle en prosess samt en organisatorisk struktur som understøtter etterforskningen av et sikkerhetsproblem og arbeidet for å eliminere dette.

Det er også krav om å analysere hva som er selve årsaken til sårbarheten. På denne måten kan man forhåpentligvis oppdage hvilke systemer som er berørt av det aktuelle sikkerhetsproblemet.

Prosessen må også håndtere prioritering av sårbarheter og risikovurdering.

ISO 30111 vil i løpet av sommeren få selskap av en annen standard, ISO 29147 som handler om henvendelser om sårbarheter fra eksterne sikkerhetsforskere.

Anbefaling

Programvarehus og andre leverandører av IT-løsninger bør gjøre seg kjent med den nye standarden.

Informasjon fra NorSIS er hentet fra flere kilder. NorSIS vurderer informasjon før publisering, men NorSIS kan ikke holdes ansvarlig for skade eller tap som kan oppstå som følge av ukorrekt, manglende eller utilstrekkelig informasjon.