Information technology -- Security techniques -- Vulnerability handling processes

This document provides requirements and recommendations for how to process and remediate reported potential vulnerabilities in a product or service. This document is applicable to vendors involved in handling vulnerabilities.

Technologies de l'information -- Techniques de sécurité -- Processus de traitement de la vulnérabilité

Le présent document fournit des exigences et des recommandations sur la maničre de traiter et résoudre les vulnérabilités potentielles signalées dans un produit ou un service. Le présent document s'applique aux fournisseurs impliqués dans le traitement des vulnérabilités.

General Information

Status
Published
Publication Date
30-Sep-2019
Current Stage
6060 - International Standard published
Start Date
05-Sep-2019
Completion Date
01-Oct-2019
Ref Project

RELATIONS

Buy Standard

Standard
ISO/IEC 30111:2019 - Information technology -- Security techniques -- Vulnerability handling processes
English language
13 pages
sale 15% off
Preview
sale 15% off
Preview
Standard
ISO/IEC 30111:2019 - Technologies de l'information -- Techniques de sécurité -- Processus de traitement de la vulnérabilité
French language
15 pages
sale 15% off
Preview
sale 15% off
Preview

Standards Content (sample)

INTERNATIONAL ISO/IEC
STANDARD 30111
Second edition
2019-10
Information technology — Security
techniques — Vulnerability handling
processes
Technologies de l'information — Techniques de sécurité — Processus
de traitement de la vulnérabilité
Reference number
ISO/IEC 30111:2019(E)
ISO/IEC 2019
---------------------- Page: 1 ----------------------
ISO/IEC 30111:2019(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO/IEC 2019

All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may

be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting

on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address

below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Fax: +41 22 749 09 47
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO/IEC 2019 – All rights reserved
---------------------- Page: 2 ----------------------
ISO/IEC 30111:2019(E)
Contents Page

Foreword ........................................................................................................................................................................................................................................iv

Introduction ..................................................................................................................................................................................................................................v

1 Scope ................................................................................................................................................................................................................................. 1

2 Normative references ...................................................................................................................................................................................... 1

3 Terms and definitions ..................................................................................................................................................................................... 1

4 Abbreviated terms .............................................................................................................................................................................................. 1

5 Relationships to other International Standards.................................................................................................................. 1

5.1 ISO/IEC 29147 ........................................................................................................................................................................................ 1

5.2 ISO/IEC 27034 (all parts) .............................................................................................................................................................. 2

5.3 ISO/IEC 27036-3 ................................................................................................................................................................................... 2

5.4 ISO/IEC 15408-3 ................................................................................................................................................................................... 3

6 Policy and organizational framework ............................................................................................................................................ 3

6.1 General ........................................................................................................................................................................................................... 3

6.2 Leadership .................................................................................................................................................................................................. 3

6.2.1 Leadership and commitment ................................................................................................................................ 3

6.2.2 Policy .......................................................................................................................................................................................... 3

6.2.3 Organizational roles, responsibilities, and authorities ................................................................... 4

6.3 Vulnerability handling policy development ................................................................................................................... 4

6.4 Organizational framework development ......................................................................................................................... 4

6.5 Vendor CSIRT or PSIRT .................................................................................................................................................................... 5

6.5.1 General...................................................................................................................................................................................... 5

6.5.2 PSIRT mission ..................................................................................................................................................................... 5

6.5.3 PSIRT responsibilities ................................................................................................................................................. 5

6.5.4 Staff capabilities ............................................................................................................................................................... 6

6.6 Responsibilities of the product business division .................................................................................................... 6

6.7 Responsibilities of customer support and public relations.............................................................................. 7

6.8 Legal consultation ................................................................................................................................................................................ 7

7 Vulnerability handling process ............................................................................................................................................................. 7

7.1 Vulnerability handling phases ................................................................................................................................................... 7

7.1.1 General...................................................................................................................................................................................... 7

7.1.2 Preparation ........................................................................................................................................................................... 8

7.1.3 Receipt ...................................................................................................................................................................................... 8

7.1.4 Verification ............................................................................................................................................................................ 9

7.1.5 Remediation development ...................................................................................................................................10

7.1.6 Release ...................................................................................................................................................................................10

7.1.7 Post-release .......................................................................................................................................................................10

7.2 Process monitoring ..........................................................................................................................................................................11

7.3 Confidentiality of vulnerability information ..............................................................................................................11

8 Supply chain considerations .................................................................................................................................................................11

Bibliography .............................................................................................................................................................................................................................13

© ISO/IEC 2019 – All rights reserved iii
---------------------- Page: 3 ----------------------
ISO/IEC 30111:2019(E)
Foreword

ISO (the International Organization for Standardization) and IEC (the International Electrotechnical

Commission) form the specialized system for worldwide standardization. National bodies that

are members of ISO or IEC participate in the development of International Standards through

technical committees established by the respective organization to deal with particular fields of

technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other

international organizations, governmental and non-governmental, in liaison with ISO and IEC, also

take part in the work.

The procedures used to develop this document and those intended for its further maintenance are

described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for

the different types of document should be noted. This document was drafted in accordance with the

editorial rules of the ISO/IEC Directives, Part 2 (see www .iso .org/directives).

Attention is drawn to the possibility that some of the elements of this document may be the subject

of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent

rights. Details of any patent rights identified during the development of the document will be in the

Introduction and/or on the ISO list of patent declarations received (see www .iso .org/patents) or the IEC

list of patent declarations received (see http: //patents .iec .ch).

Any trade name used in this document is information given for the convenience of users and does not

constitute an endorsement.

For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and

expressions related to conformity assessment, as well as information about ISO's adherence to the

World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www .iso

.org/iso/foreword .html.

This document was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,

Subcommittee SC 27, Information security, cybersecurity and privacy protection.

Any feedback or questions on this document should be directed to the user’s national standards body. A

complete listing of these bodies can be found at www .iso .org/members .html.

This second edition cancels and replaces the first edition (ISO/IEC 30111:2013), which has been

technically revised. The main changes compared to the previous edition are as follows:

— a number of normative provisions have been revised or added (summarized in Annex A);

— organizational and editorial changes have been made for clarity and harmonization with

ISO/IEC 29147:2018.
This document is intended to be used with ISO/IEC 29147.
iv © ISO/IEC 2019 – All rights reserved
---------------------- Page: 4 ----------------------
ISO/IEC 30111:2019(E)
Introduction

This document describes processes for vendors to handle reports of potential vulnerabilities in

products and services.

The audience for this document includes developers, vendors, evaluators, and users of information

technology products and services. The following audiences can use this document:

— developers and vendors, when responding to actual or potential vulnerability reports;

— evaluators, when assessing the security assurance afforded by vendors’ and developers’ vulnerability

handling processes; and

— users, to express procurement requirements to developers, vendors and integrators.

This document is integrated with ISO/IEC 29147 at the point of receiving potential vulnerability reports

and at the point of distributing vulnerability remediation information (see 5.1).

Relationships to other standards are noted in Clause 5.
© ISO/IEC 2019 – All rights reserved v
---------------------- Page: 5 ----------------------
INTERNATIONAL STANDARD ISO/IEC 30111:2019(E)
Information technology — Security techniques —
Vulnerability handling processes
1 Scope

This document provides requirements and recommendations for how to process and remediate

reported potential vulnerabilities in a product or service.
This document is applicable to vendors involved in handling vulnerabilities.
2 Normative references

The following documents are referred to in the text in such a way that some or all of their content

constitutes requirements of this document. For dated references, only the edition cited applies. For

undated references, the latest edition of the referenced document (including any amendments) applies.

ISO/IEC 27000, Information technology — Security techniques — Information security management

systems — Overview and vocabulary

ISO/IEC 29147:2018, Information technology — Security techniques — Vulnerability disclosure

3 Terms and definitions

For the purposes of this document, terms and definitions given in ISO/IEC 27000 and ISO/IEC 29147 apply.

ISO and IEC maintain terminological databases for use in standardization at the following addresses:

— ISO Online browsing platform: available at https: //www .iso .org/obp
— IEC Electropedia: available at http: //www .electropedia .org/
4 Abbreviated terms
The following abbreviated terms are used in this document.
CSIRT Computer Security Incident Response Team
PSIRT Product Security Incident Response Team
5 Relationships to other International Standards
5.1 ISO/IEC 29147

ISO/IEC 29147 shall be used in conjunction with this document. The relationship between the two is

illustrated in Figure 1.

This document provides guidelines for vendors on how to process and remediate potential vulnerability

information reported by internal or external individuals or organizations.

ISO/IEC 29147 provides guidelines for vendors to include in their normal business processes when

receiving reports about potential vulnerabilities from external individuals or organizations and when

distributing vulnerability remediation information to affected users.
© ISO/IEC 2019 – All rights reserved 1
---------------------- Page: 6 ----------------------
ISO/IEC 30111:2019(E)

While this document deals with the investigation, triage, and remediation of internally or externally

reported vulnerabilities, ISO/IEC 29147 deals with the interface between vendors and those who find

and report potential vulnerabilities.
Figure 1 — Relationship between ISO/IEC 29147 and ISO/IEC 30111
5.2 ISO/IEC 27034 (all parts)

Application security seeks to reduce the creation of application vulnerabilities (see ISO/IEC 27034-1:2011,

[1]

6.5.2 ). Application security techniques can also be useful for remediating reported vulnerabilities.

5.3 ISO/IEC 27036-3

Effective vulnerability handling processes require thorough understanding of ICT supply chain security

[2]
as described in ISO/IEC 27036-3:2013, 5.4 a), 5.8 i), 6.1.1 a) 2) and 6.3.4 .
2 © ISO/IEC 2019 – All rights reserved
---------------------- Page: 7 ----------------------
ISO/IEC 30111:2019(E)
5.4 ISO/IEC 15408-3
[3]

This document takes into consideration the relevant elements of ISO/IEC 15408-3:2008, 13.5 .

6 Policy and organizational framework
6.1 General

Clause 6 describes the organizational elements that vendors should consider in their vulnerability

handling processes. Vendors should create a vulnerability handling process in accordance with this

document in order to prepare for investigating and remediating potential vulnerabilities. The creation

of a vulnerability handling process is a task that is performed by a vendor and should be periodically

assessed to ensure that the process performs as expected and to support process improvements.

Vendors should document their vulnerability handling processes in order to ensure that they are

repeatable. The documentation should describe the procedures and methods used to track all reported

vulnerabilities.
[1]

See ISO/IEC 27034 (all parts) for information on how identification of the root cause of a vulnerability,

which is a step in the process of vulnerability handling, can help improve secure software development

lifecycles and result in an outcome of more secure product development.
6.2 Leadership
6.2.1 Leadership and commitment

Top management should demonstrate leadership and commitment with respect to vulnerability

handling by:

a) ensuring the policy and the objectives of vulnerability handling are established and are compatible

with the strategic direction of the organization;

b) ensuring the integration of the vulnerability handling into the organization’s processes;

c) ensuring that the resources needed for the vulnerability handling are available;

d) communicating the importance of effective vulnerability handling;

e) ensuring that the vulnerability handling process achieves its intended outcome(s);

f) directing and supporting persons to contribute to the effectiveness of the vulnerability handling

process;
g) promoting continual improvement; and

h) supporting other relevant management roles to demonstrate their leadership as it applies to their

areas of responsibility.
6.2.2 Policy
Top management should establish vulnerability handling policy that:
a) is appropriate to the purpose of the organization;

b) includes a best-effort commitment to satisfy user’s requirements related to its product or online

service security; and

c) includes a commitment to continual improvement of the vulnerability handling process.

More information about vulnerability handling policy is provided in 6.3.
© ISO/IEC 2019 – All rights reserved 3
---------------------- Page: 8 ----------------------
ISO/IEC 30111:2019(E)
6.2.3 Organizational roles, responsibilities, and authorities

Top management should ensure that the responsibilities and authorities for roles relevant to

vulnerability handling are assigned and communicated.
Top management should assign the responsibility and authority for:

a) ensuring that the vulnerability handling process conforms to the requirements of this document; and

b) reporting on the performance of the vulnerability handling to top management.
6.3 Vulnerability handling policy development

A vendor shall develop and maintain an internal vulnerability handling policy to define and clarify

its intentions for investigating and remediating vulnerabilities as part of a vulnerability handling

process. This policy should be compatible with the external vulnerability disclosure policy required by

ISO/IEC 29147.

The internal vulnerability handling the policy is intended for the vendor’s staff and defines who is

responsible in each stage of the vulnerability handling process and how they should handle reports

about potential vulnerabilities. It should include the following items:

a) basic guidance, principles, and responsibilities for handling potential vulnerabilities in products or

services;

b) a list of departments and roles responsible for handling potential vulnerabilities;

c) safeguards to prevent premature disclosure of information about potential vulnerabilities before

they are fixed; and
d) a target schedule for remediation development.

The audience for the external vulnerability disclosure policy is internal and external stakeholders,

including reporters who wish to report potential vulnerabilities, and users of the vendor’s products

or services. This policy informs the audience of how the vendor is willing to interact with them when a

potential vulnerability is found in the vendor’s product or services. Guidance, details and examples of

public vulnerability disclosure policies are included in ISO/IEC 29147:2018, Clause 9 and Annex A.

6.4 Organizational framework development

Handling vulnerabilities has several additional aspects than just engineering and technology (for

example, customer service and public relations). An organizational framework should be designed,

recognized, and supported by the stakeholder divisions of the vendor responsible for each area.

An organization should have a role or capability that is responsible for and has authority to make

decisions on vulnerability handling, preferably at a management level. This role or capability should

understand the responsibility toward the vendor’s users, the internal processes, and the organizational

framework for vulnerability handling.

An organization should have a role or capability that is a point of contact for handling potential

vulnerabilities. This point of contact should be identified for each division or department within a

vendor that provides products or services to customers.

An organization should establish a point of contact for external parties to reach and communicate with

about vulnerabilities. The point of contact can be part of a vendor computer security incident response

team (CSIRT) or a product security incident response team (PSIRT). Further details are discussed in 6.5.

Since customers and members of the media can contact the vendor with questions or requests for

additional information after a vulnerability is disclosed, divisions responsible for customer and public

relations should be prepared so that they can respond.
4 © ISO/IEC 2019 – All rights reserved
---------------------- Page: 9 ----------------------
ISO/IEC 30111:2019(E)
6.5 Vendor CSIRT or PSIRT
6.5.1 General

Subclause 6.5 describes the organizational role and responsibilities of a CSIRT or PSIRT. For clarity,

PSIRT will be used to refer to this role throughout the rest of this document. A PSIRT is responsible for

coordinating external vulnerability reports. In some cases, a PSIRT also coordinates the handling of

vulnerabilities that were reported by internal teams within the vendor.
6.5.2 PSIRT mission

A PSIRT plays a central role in a vendor’s vulnerability handling processes. In addition to coordinating

vulnerability handling internally, the PSIRT acts as a single point of contact for external stakeholders

such as vulnerability reporters, coordinators, and other vendors.

Vendors should include all of their products and services in their vulnerability disclosure and

vulnerability handling processes. A PSIRT should be implemented centrally within a vendor. However,

a PSIRT may be implemented within a business unit, as long as all products and services are covered by

the vendor’s vulnerability handling processes.
6.5.3 PSIRT responsibilities
6.5.3.1 General

Subclause 6.5.3 describes the responsibilities of vulnerability response teams. This is an unordered list.

[4]

Example PSIRT services and functions can be found in the FIRST PSIRT Services Framework .

6.5.3.2 Public vulnerability monitoring

A PSIRT should monitor known public sources of vulnerability information for disclosures or discussion

that affect the vendor’s products or services. Sources can include mailing lists, social media, discussion

forums, or vulnerability databases.
6.5.3.3 Communication with external reporters

A PSIRT should develop a single entry-point for receiving potential vulnerability reports from reporters

or coordinators, typically either an e-mail address or a form on a web page.

A PSIRT is responsible for maintaining communication with reporters. It is important to understand

the interests and motivations of reporters and to communicate in a timely manner.

A PSIRT may choose to handle security vulnerabilities from customers with a valid support contract

through their customer support division rather than receiving them directly. In that case, appropriate

processes and training should be provided to the customer support division. The customer support

division should partner closely with the PSIRT to ensure that the vulnerability is appropriately handled

and responded to.

For more information about communication with external vulnerability reporters, see

ISO/IEC 29147:2018, 5.5.4 and Clause 6.
6.5.3.4 Communication within vendor organization

A PSIRT should work with product and services divisions to build a database of contacts for each

product. When a potential vulnerability is reported, the PSIRT should identify the responsible product

business division to dispatch the report to them through the contact person. The information should be

shared confidentially on a need-to-know basis.
© ISO/IEC 2019 – All rights reserved 5
---------------------- Page: 10 ----------------------
ISO/IEC 30111:2019(E)
6.5.3.5 Communication with coordinators or other vendors

Where appropriate, a PSIRT should make arrangements for sharing vulnerability reports with

coordinators or other vendors. They should be conscious of the vulnerability handling policy of the

other party.
For more information, see ISO/IEC 29147:2018, 5.5.5 and Clause 8.
6.5.3.6 Timing of public vulnerability disclosure

A PSIRT should choose an appropriate date for each public vulnerability disclosure and prepare the

advisory with the assistance of the product business division and other major stakeholders, such as

legal, public relations, and external coordinators if applicable. The vulnerability disclosure should align

to when the remediation is available so that users can take the necessary action.

For more information, see ISO/IEC 29147:2018, 5.6.8 and 7.3.
6.5.3.7 Internal vulnerability assessment

A PSIRT may test or coordinate testing of the vendor’s own products or services for vulnerabilities

and other security issues. Any vulnerabilities that are identified should be handled according to the

vendor’s vulnerability handling processes.
6.5.3.8 Inventory and supply chain tracking

A PSIRT should track the vulnerabilities found in all components used in the development of the

vendor’s products and services, including components from other business units or external suppliers.

Vulnerabilities in third-party and shared components can affect the vendor’s products and services.

Vendors should require software component inventory information from their suppliers. Such

[5]

information can be provided as Software identification (SWID) tags defined by ISO/IEC 19770-2 .

For more information, see ISO/IEC 29147:2018, 5.4.6 and 6.4.
6.5.4 Staff capabilities
The staff of a PSIRT should:

a) be able to understand the nature of reported potential vulnerabilities and coordinate with

appropriate parties;

b) understand the confidentiality of vulnerability related information and be well-versed in handling

such information in order not to leak the vulnerability details before remediation development;

c) notify an appropriate product business division to take actions necessary for vulnerability handling

when appropriate.
6.6 Responsibilities of the product business division

A product business division provides customers with products or services that have been developed by

the vendor or implemented and/or commercialized with other vendor’s products or services. They are

an entity responsible for a core part of handling process of vulnerabilities that affect their products or

services.

When potential vulnerabilities are reported to a product business division by the PSIRT, the product

business division should work with the PSIRT to develop remediations. Business divisions should have

a means to escalate an issue to a PSIRT, if an issue is determined to be a vulnerability.

Product security contacts within business divisions should initiate the vulnerability handling process

when they receive notification of potential security vulnerabilities in products or services. This process

6 © ISO/IEC 2019 – All rights reserved
---------------------- Page: 11 ----------------------
ISO/IEC 30111:2019(E)

should include notification of the PSIRT so that any necessary response actions are conducted as per

the vendor’s vulnerability response policies.
6.7 Responsibilities of customer support and public relations

Customer Support divisions should have the capability to handle and respond to security vulnerabilities

reported by customers so that all customers are treated equally. Customer Support Division should

partner closely with the PSIRT by following internally established processes to ensure that the

vulnerability is appropriately handled and responded to.

In the final stages of vulnerability handling, advisories are often released with remediations. When

the advisory is sent to customers via mailing lists or direct communications, the dissemination is often

conducted by customer support divisions. Customer support should choose the appropriate means to

inform all necessary customers and maintain confidentiality until the coordinated date of disclosure.

See ISO/IEC 29147 for the timing of advisory release of multi-vendor vulnerabilities.

Some users can ask questions or request vendor support after reading the advisories. Customer support

divisions should be prepared to respond to or escalate questions and requests concerning advisories.

As detailed in ISO/IEC 29147:2018, 7.5, advisories that are published on a vendor’s public website should

be easily accessible. Customer support or public relations divisions may be involved in the maintenance

of the vendor’s web site and should attempt t
...

NORME ISO/IEC
INTERNATIONALE 30111
Deuxième édition
2019-10
Technologies de l'information —
Techniques de sécurité — Processus
de traitement de la vulnérabilité
Information technology — Security techniques — Vulnerability
handling processes
Numéro de référence
ISO/IEC 30111:2019(F)
ISO/IEC 2019
---------------------- Page: 1 ----------------------
ISO/IEC 30111:2019(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2019

Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette

publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,

y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut

être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.

ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO/IEC 2019 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO/IEC 30111:2019(F)
Sommaire Page

Avant-propos ..............................................................................................................................................................................................................................iv

Introduction ..................................................................................................................................................................................................................................v

1 Domaine d'application ................................................................................................................................................................................... 1

2 Références normatives ................................................................................................................................................................................... 1

3 Termes et définitions ....................................................................................................................................................................................... 1

4 Abréviations .............................................................................................................................................................................................................. 1

5 Relations aux autres Normes internationales ....................................................................................................................... 1

5.1 ISO/IEC 29147 ........................................................................................................................................................................................ 1

5.2 ISO/IEC 27034 (toutes les parties) ....................................................................................................................................... 3

5.3 ISO/IEC 27036-3 ................................................................................................................................................................................... 4

5.4 ISO/IEC 15408-3 ................................................................................................................................................................................... 4

6 Politique et cadre organisationnel .................................................................................................................................................... 4

6.1 Généralités .................................................................................................................................................................................................. 4

6.2 Leadership .................................................................................................................................................................................................. 4

6.2.1 Leadership et engagement ...................................................................................................................................... 4

6.2.2 Politique .................................................................................................................................................................................. 5

6.2.3 Rôles, responsabilités et autorités au sein de l'organisme .......................................................... 5

6.3 Élaboration de la politique de traitement des vulnérabilités ......................................................................... 5

6.4 Développement du cadre organisationnel ...................................................................................................................... 5

6.5 CSIRT ou PSIRT du fournisseur ................................................................................................................................................ 6

6.5.1 Généralités ............................................................................................................................................................................ 6

6.5.2 Mission d'une PSIRT ..................................................................................................................................................... 6

6.5.3 Responsabilités d'une PSIRT ................................................................................................................................. 6

6.5.4 Capacités du personnel .............................................................................................................................................. 8

6.6 Responsabilités de la division d'activités produit .................................................................................................... 8

6.7 Responsabilités du support client et des relations publiques ....................................................................... 8

6.8 Consultation juridique ...................................................................................................................................................................... 9

7 Processus de traitement des vulnérabilités ............................................................................................................................. 9

7.1 Phases de traitement des vulnérabilités ........................................................................................................................... 9

7.1.1 Généralités ............................................................................................................................................................................ 9

7.1.2 Préparation ........................................................................................................................................................................10

7.1.3 Réception .............................................................................................................................................................................10

7.1.4 Vérification .........................................................................................................................................................................10

7.1.5 Développement d'une remédiation ..............................................................................................................11

7.1.6 Publication .........................................................................................................................................................................12

7.1.7 Post-publication ............................................................................................................................................................12

7.2 Surveillance du processus ..........................................................................................................................................................12

7.3 Confidentialité des informations de vulnérabilité ................................................................................................13

8 Considérations relatives à la chaîne d'approvisionnement .................................................................................13

Bibliographie ...........................................................................................................................................................................................................................15

© ISO/IEC 2019 – Tous droits réservés iii
---------------------- Page: 3 ----------------------
ISO/IEC 30111:2019(F)
Avant-propos

L'ISO (Organisation internationale de normalisation) et l'IEC (Commission électrotechnique

internationale) forment le système spécialisé de la normalisation mondiale. Les organismes

nationaux membres de l'ISO ou de l'IEC participent au développement de Normes internationales

par l'intermédiaire des comités techniques créés par l'organisation concernée afin de s'occuper des

domaines particuliers de l'activité technique. Les comités techniques de l'ISO et de l'IEC collaborent

dans des domaines d'intérêt commun. D'autres organismes internationaux, gouvernementaux et non

gouvernementaux, en liaison avec l'ISO et l'IEC participent également aux travaux.

Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont

décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents

critères d'approbation requis pour les différents types de document. Le présent document a été rédigé

conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www .iso

.org/ directives).

L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet

de droits de propriété intellectuelle ou de droits analogues. L'ISO et l'IEC ne sauraient être tenues pour

responsables de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails

concernant les références aux droits de propriété intellectuelle ou autres droits analogues identifiés

lors de l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations

de brevets reçues par l'ISO (voir www .iso .org/ brevets) ou dans la liste des déclarations de brevets

reçues par l'IEC (voir https:// patents .iec .c).

Les appellations commerciales éventuellement mentionnées dans le présent document sont données

pour information, par souci de commodité, à l'intention des utilisateurs et ne sauraient constituer un

engagement.

Pour une explication de la nature volontaire des normes, la signification des termes et expressions

spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion

de l'ISO aux principes de l'Organisation mondiale du commerce (OMC) concernant les obstacles

techniques au commerce (OTC), voir le lien suivant: www .iso .org/ iso/ fr/ avant -propos.

Le présent document a été élaboré par le comité technique mixte ISO/IEC JTC 1, Technologies de

l'information, sous-comité SC 27, Sécurité de l'information, cybersécurité et protection de la vie privée.

Il convient que l'utilisateur adresse tout retour d'information ou toute question concernant le présent

document à l'organisme national de normalisation de son pays. Une liste exhaustive desdits organismes

se trouve à l'adresse www .iso .org/ fr/ members .html.

Cette deuxième édition annule et remplace la première édition (ISO/IEC 30111:2013), qui a fait l'objet

d'une révision technique. Les principales modifications par rapport à l'édition précédente sont les

suivantes:

— certaines dispositions normatives ont été révisées ou ajoutées (synthétisées à l'Annexe A);

— des modifications organisationnelles et rédactionnelles ont été apportées à des fins de clarté et

d'harmonisation avec l'ISO/IEC 29147:2018.
Le présent document est destiné à être utilisé avec l'ISO/IEC 29147.
iv © ISO/IEC 2019 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO/IEC 30111:2019(F)
Introduction

Le présent document décrit des processus à l'attention des fournisseurs pour traiter les signalements

de vulnérabilités potentielles dans leurs produits et services.

Le présent document s'adresse aux développeurs, fournisseurs, évaluateurs et utilisateurs de produits

et services de technologies de l'information. Il peut être utilisé par:

— les développeurs et les fournisseurs, lorsqu'ils répondent à des signalements de vulnérabilités

réelles ou potentielles;

— les évaluateurs, lorsqu'ils évaluent l'assurance de sécurité permise par les processus de traitement

de vulnérabilités de fournisseurs et de développeurs;

— les utilisateurs, pour exprimer des besoins d'achat à des développeurs, des fournisseurs et des

intégrateurs.

Le présent document est intégré à l'ISO/IEC 29147 au point de réception de signalements de

vulnérabilités potentielles et au point de diffusion d'informations sur la remédiation de vulnérabilités

(voir 5.1).
Les relations avec d'autres normes sont précisées dans l'Article 5.
© ISO/IEC 2019 – Tous droits réservés v
---------------------- Page: 5 ----------------------
NORME INTERNATIONALE ISO/IEC 30111:2019(F)
Technologies de l'information — Techniques de sécurité —
Processus de traitement de la vulnérabilité
1 Domaine d'application

Le présent document fournit des exigences et des recommandations sur la manière de traiter et

résoudre les vulnérabilités potentielles signalées dans un produit ou un service.

Le présent document s'applique aux fournisseurs impliqués dans le traitement des vulnérabilités.

2 Références normatives

Les documents suivants cités dans le texte constituent, pour tout ou partie de leur contenu, des

exigences du présent document. Pour les références datées, seule l'édition citée s'applique. Pour les

références non datées, la dernière édition du document de référence s'applique (y compris les éventuels

amendements).

ISO/IEC 27000, Technologies de l'information — Techniques de sécurité — Systèmes de management de la

sécurité de l'information — Vue d'ensemble et vocabulaire

ISO/IEC 29147:2018, Technologies de l’information — Techniques de sécurité — Divulgation de vulnérabilité

3 Termes et définitions

Pour les besoins du présent document, les termes et définitions donnés dans l'ISO/IEC 27000 et

l'ISO/IEC 29147 s'appliquent.

L'ISO et l'IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en

normalisation, consultables aux adresses suivantes:

— ISO Online browsing platform: disponible à l'adresse https:// www .iso .org/ obp

— IEC Electropedia: disponible à l'adresse http:// www .electropedia .org/
4 Abréviations
Les abréviations suivantes sont utilisées dans le présent document:

CSIRT Équipe d'intervention en cas d'incidents de sécurité informatique (Computer Security Incident

Response Team)

PSIRT Équipe d'intervention en cas d'incidents de sécurité produit (Product Security Incident Res-

ponse Team)
5 Relations aux autres Normes internationales
5.1 ISO/IEC 29147

L'ISO/IEC 29147 doit être utilisée conjointement avec le présent document. La Figure 1 présente la

relation entre les deux normes.
© ISO/IEC 2019 – Tous droits réservés 1
---------------------- Page: 6 ----------------------
ISO/IEC 30111:2019(F)

Le présent document fournit des lignes directrices à l'attention des fournisseurs afin de traiter et

résoudre les informations relatives à des vulnérabilités potentielles signalées par des individus ou

organismes internes et externes.

L'ISO/IEC 29147 fournit des lignes directrices à l'attention des fournisseurs à inclure dans leurs

processus métier habituels lorsqu'ils reçoivent des signalements concernant des vulnérabilités

potentielles de la part d'individus ou organismes externes, et lorsqu'ils transmettent aux utilisateurs

concernés des informations relatives à la remédiation de vulnérabilités.

Alors que le présent document traite de la recherche, du tri et de la remédiation des vulnérabilités

signalées par une source interne ou externe, l'ISO/IEC 29147 couvre l'interface entre les fournisseurs et

les individus ou organismes qui détectent et signalent des vulnérabilités potentielles.

2 © ISO/IEC 2019 – Tous droits réservés
---------------------- Page: 7 ----------------------
ISO/IEC 30111:2019(F)
Figure 1 — Relation entre l'ISO/IEC 29147et l'ISO/IEC 30111
5.2 ISO/IEC 27034 (toutes les parties)

La sécurité des applications cherche à réduire la création de vulnérabilités d'application (voir

[1]

l'ISO/IEC 27034-1:2011, 6.5.2 ). Les techniques de sécurité des applications peuvent également être

utiles pour la remédiation de vulnérabilités signalées.
© ISO/IEC 2019 – Tous droits réservés 3
---------------------- Page: 8 ----------------------
ISO/IEC 30111:2019(F)
5.3 ISO/IEC 27036-3

Des processus de traitement des vulnérabilités efficaces nécessitent une compréhension approfondie

de la sécurité de la chaîne d'approvisionnement TIC, comme décrit dans l'ISO/IEC 27036-3:2013, 5.4 a),

[2]
5.8 i), 6.1.1 a) 2) et 6.3.4 .
5.4 ISO/IEC 15408-3
[3]

Le présent document tient compte des éléments pertinents de l'ISO/IEC 15408-3:2008, 13.5 .

6 Politique et cadre organisationnel
6.1 Généralités

L'Article 6 décrit les éléments organisationnels qu'il convient que les fournisseurs prennent en compte

dans leurs processus de traitement des vulnérabilités. Il convient que les fournisseurs créent un

processus de traitement des vulnérabilités conforme au présent document afin de se préparer au travail

de recherche et de remédiation des vulnérabilités potentielles. La création d'un processus de traitement

des vulnérabilités est une tâche effectuée par un fournisseur, et il convient de l'évaluer régulièrement

afin de s'assurer que le processus présente les performances attendues et de garantir l'amélioration

des processus. Il convient que les fournisseurs documentent leurs processus de traitement des

vulnérabilités pour en assurer la répétabilité. Il convient que la documentation décrive les procédures

et les méthodes utilisées pour suivre l'ensemble des vulnérabilités signalées.
[1]

Voir l'ISO/IEC 27034 (toutes les parties) pour des informations sur la manière dont l'identification de

la cause fondamentale d'une vulnérabilité, qui constitue l'une des étapes du processus de traitement

des vulnérabilités, peut aider à améliorer les cycles de vie de développement de logiciels sécurisés et

conduire, par voie de conséquence, au développement de produits plus sécurisés.
6.2 Leadership
6.2.1 Leadership et engagement

Il convient que la direction démontre son leadership et son engagement en faveur du traitement des

vulnérabilités:

a) en s'assurant que la politique et les objectifs de traitement des vulnérabilités sont établis et qu'ils

sont compatibles avec l'orientation stratégique de l'organisme;

b) en s'assurant que le traitement des vulnérabilités est intégré dans les processus de l'organisme;

c) en s'assurant que les ressources nécessaires pour le traitement des vulnérabilités sont disponibles;

d) en communiquant l'importance d'un traitement efficace des vulnérabilités;

e) en s'assurant que le processus de traitement des vulnérabilités atteint le ou les résultats escomptés;

f) en orientant et en soutenant les personnes pour qu'elles contribuent à l'efficacité du processus de

traitement des vulnérabilités;
g) en promouvant l'amélioration continue; et

h) en aidant les autres managers concernés à faire également preuve de leadership dès lors que cela

s'applique à leurs domaines de responsabilités.
4 © ISO/IEC 2019 – Tous droits réservés
---------------------- Page: 9 ----------------------
ISO/IEC 30111:2019(F)
6.2.2 Politique

Il convient que la direction établisse une politique de traitement des vulnérabilités qui:

a) est appropriée à la mission de l'organisme;

b) inclut un engagement au mieux des possibilités pour satisfaire aux exigences de l'utilisateur en ce

qui concerne la sécurité de son produit ou de son service en ligne; et

c) inclut un engagement pour l'amélioration continue du processus de traitement des vulnérabilités.

Des informations supplémentaires concernant la politique de traitement des vulnérabilités sont

fournies en 6.3.
6.2.3 Rôles, responsabilités et autorités au sein de l'organisme

Il convient que la direction s'assure que les responsabilités et autorités des rôles concernés par le

traitement des vulnérabilités sont attribuées et communiquées.
Il convient que la direction désigne qui a la responsabilité et l'autorité de:

a) s'assurer que le processus de traitement des vulnérabilités est conforme aux exigences du présent

document; et

b) rendre compte à la direction de la performance du traitement des vulnérabilités.

6.3 Élaboration de la politique de traitement des vulnérabilités

Un fournisseur doit élaborer et tenir à jour une politique interne de traitement des vulnérabilités pour

définir et clarifier ses intentions en matière de recherche et de remédiation des vulnérabilités dans le

cadre d'un processus de traitement des vulnérabilités. Il convient que cette politique soit compatible

avec la politique de divulgation de vulnérabilité externe exigée par l'ISO/IEC 29147.

La politique interne de traitement des vulnérabilités est destinée au personnel du fournisseur et définit

qui est responsable à chaque étape du processus de traitement des vulnérabilités et la manière dont

il convient que le personnel traite les signalements de vulnérabilités potentielles. Il convient qu'elle

comprenne les éléments suivants:

a) les recommandations de base, principes et responsabilités pour le traitement des vulnérabilités

potentielles dans des produits ou services;

b) une liste des départements et rôles responsables du traitement des vulnérabilités potentielles;

c) les moyens de protection pour empêcher une divulgation prématurée d'informations concernant

des vulnérabilités potentielles avant leur résolution;
d) un objectif de calendrier pour le développement de remédiations.

La politique de divulgation de vulnérabilité externe s'adresse à des parties prenantes internes et

externes, y compris des déclarants qui souhaitent signaler des vulnérabilités potentielles et des

utilisateurs de produits ou de services du fournisseur. Cette politique informe son public sur la manière

dont le fournisseur entend interagir avec lui lorsqu'une vulnérabilité potentielle est détectée dans le

produit ou les services du fournisseur. Des recommandations, des détails et des exemples de politiques

de divulgation de vulnérabilité publique sont fournis dans l'ISO/IEC 29147:2018, Article 9 et Annexe A.

6.4 Développement du cadre organisationnel

Le traitement des vulnérabilités présente des aspects qui dépassent le simple cadre de l'ingénierie et

de la technologie (par exemple, le service client et les relations publiques). Il convient que les divisions

parties prenantes du fournisseur qui sont responsables de chaque aspect conçoivent, reconnaissent et

soutiennent un cadre organisationnel.
© ISO/IEC 2019 – Tous droits réservés 5
---------------------- Page: 10 ----------------------
ISO/IEC 30111:2019(F)

Il convient qu'un organisme dispose d'un rôle ou d'une capacité qui est responsable du traitement des

vulnérabilités, de préférence à un niveau la direction, et qui a le pouvoir de prendre des décisions à cet

égard. Il convient que ce rôle ou cette capacité comprenne la responsabilité envers les utilisateurs du

fournisseur, les processus internes et le cadre organisationnel du traitement des vulnérabilités.

Il convient qu'un organisme dispose d'un rôle ou d'une capacité tenant lieu de point de contact pour le

traitement des vulnérabilités potentielles. Il convient que ce point de contact soit identifié pour chaque

division ou département au sein d'un fournisseur qui fournit des produits ou services à des clients.

Il convient qu'un organisme établisse un point de contact pour atteindre les parties externes et

communiquer avec elles au sujet de vulnérabilités. Le point de contact peut être membre d'une équipe

d'intervention en cas d'incidents de sécurité informatique (CSIRT) ou d'une équipe d'intervention en

cas d'incidents de sécurité produit (PSIRT) du fournisseur. De plus amples détails sont fournis en 6.5.

Puisque les clients et membres des médias peuvent contacter le fournisseur pour lui soumettre des

questions ou lui demander des informations supplémentaires après la divulgation d'une vulnérabilité, il

convient que les divisions responsables des relations client et des relations publiques se préparent afin

de pouvoir y répondre.
6.5 CSIRT ou PSIRT du fournisseur
6.5.1 Généralités

Le paragraphe 6.5 décrit le rôle organisationnel et les responsabilités d'une CSIRT ou d'une PSIRT.

Pour des raisons de clarté, l'abréviation PSIRT sera utilisée pour faire référence à ce rôle dans le reste

du présent document. Une PSIRT a la responsabilité de coordonner les signalements de vulnérabilités

externes. Dans certains cas, une PSIRT coordonne également le traitement des vulnérabilités qui ont

été signalées par des équipes internes chez le fournisseur.
6.5.2 Mission d'une PSIRT

Une PSIRT joue un rôle central dans les processus de traitement des vulnérabilités d'un fournisseur.

Outre la coordination du traitement des vulnérabilités en interne, la PSIRT agit en tant que point de

contact unique pour les parties prenantes externes, telles que les déclarants de vulnérabilités, les

coordinateurs et d'autres fournisseurs.

Il convient que les fournisseurs incluent l'ensemble de leurs produits et services dans leurs processus

de divulgation et de traitement des vulnérabilités. Il convient qu'une PSIRT soit mise en œuvre de

façon centralisée chez un fournisseur. Cependant, une PSIRT peut être déployée au sein d'une unité

organisationnelle, à condition que tous les produits et services soient couverts par les processus de

traitement des vulnérabilités du fournisseur.
6.5.3 Responsabilités d'une PSIRT
6.5.3.1 Généralités

Le paragraphe 6.5.3 décrit les responsabilités des équipes de réponse aux vulnérabilités. Cette liste est

donnée sans ordre précis.

Des exemples de services et de fonctions d'une PSIRT sont disponibles dans le Cadre de services PSIRT

[4]
FIRST .
6.5.3.2 Surveillance de la vulnérabilité publique

Il convient qu'une PSIRT surveille les sources publiques connues d'informations de vulnérabilité pour

des divulgations ou des discussions qui affectent les produits ou services du fournisseur. Les sources

peuvent inclure des listes d'adresses, des médias sociaux, des forums de discussion ou des bases de

données de vulnérabilités.
6 © ISO/IEC 2019 – Tous droits réservés
---------------------- Page: 11 ----------------------
ISO/IEC 30111:2019(F)
6.5.3.3 Communication avec les déclarants externes

Il convient qu'une PSIRT établisse un point d'entrée unique, généralement une adresse e-mail ou

un formulaire sur une page Web, pour recevoir les signalements de vulnérabilités potentielles de

déclarants ou coordinateurs.

Une PSIRT a la responsabilité de maintenir la communication avec les déclarants. Il est important de

comprendre les intérêts et les motivations des déclarants, et de communiquer en temps opportun.

Une PSIRT peut choisir de traiter des vulnérabilités de sécurité de clients avec un contrat de support

en cours de validité par le biais de sa division de support client plutôt que de les recevoir directement.

Dans ce cas, il convient de fournir des processus et formations appropriés à la division de support

client. Il convient que la division de support client collabore étroitement avec la PSIRT pour garantir un

traitement et une réponse appropriés de la vulnérabilité.

Pour plus d'informations sur la communication avec des déclarants de vulnérabilités externes, voir

l'ISO/IEC 29147:2018, 5.5.4 et Article 6.
6.5.3.4 Communication au sein de l'organisme du fournisseur

Il convient qu'une PSIRT collabore avec les divisions de produits et services pour constituer une base de

données de contacts pour chaque produit. Lorsqu'une vulnérabilité potentielle est signalée, il convient

que la PSIRT identifie la division d'activités produit responsable pour lui transmettre le signalement

par l'intermédiaire de l'interlocuteur désigné. Il convient de partager les informations de manière

confidentielle sur le principe du besoin d'en connaître.
6.5.3.5 Communication avec les coordinateurs ou autres fournisseurs

Lorsque cela est approprié, il convient qu'une PSIRT prenne des dispositions pour partager les

signalements de vulnérabilités avec des coordinateurs ou autres fournisseurs. Il convient qu'elle ait

connaissance de la politique de traitement des vulnérabilités de l'autre partie.
Pour plus d'informations, voir l'ISO/IEC 29147:2018, 5.5.5 et Article 8.
6.5.3.6 Moment de divulgation publique d'une vulnérabilité

Il convient qu'une PSIRT choisisse une date appropriée pour chaque divulgation publique de

vulnérabilité et qu'elle prépare le bulletin de sécurité avec l'assistance de la division d'activités produit

et des autres principales parties prenantes, telles que les équipes juridiques, des relations publiques et

les coordinateurs externes, le cas échéant. Il convient que la divulgation de vulnérabilité coïncide avec le

moment où la solution est disponible afin que les utilisateurs puissent prendre les mesures nécessaires.

Pour plus d'informations, voir l'ISO/IEC 29147:2018, 5.6.8 et 7.3.
6.5.3.7 Évaluation de vulnérabilité interne

Une PSIRT peut soumettre à essai ou coordonner les tests des propres produits ou services du

fournisseur pour des vulnérabilités et autres problèmes de sécurité. Il co
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.