iTeh StandardsiTeh Standards
EURUSD
Your shopping cart is empty.
ISO

ISO/IEC 30111:2019

(Main)

Information technology — Security techniques — Vulnerability handling processes

Information technology — Security techniques — Vulnerability handling processes

This document provides requirements and recommendations for how to process and remediate reported potential vulnerabilities in a product or service. This document is applicable to vendors involved in handling vulnerabilities.

Technologies de l'information — Techniques de sécurité — Processus de traitement de la vulnérabilité

Le présent document fournit des exigences et des recommandations sur la manière de traiter et résoudre les vulnérabilités potentielles signalées dans un produit ou un service. Le présent document s'applique aux fournisseurs impliqués dans le traitement des vulnérabilités.

General Information

Status
Published
Publication Date
30-Sep-2019
ICS
35.030 - IT Security
35.040 - Information coding
Technical Committee
ISO/IEC JTC 1/SC 27 - Information security, cybersecurity and privacy protection
Drafting Committee
ISO/IEC JTC 1/SC 27/WG 3 - Security evaluation, testing and specification
Current Stage
6060 - International Standard published
Start Date
01-Oct-2019
Due Date
27-Aug-2019
Completion Date
01-Oct-2019
Ref Project

Relations

Revises
ISO/IEC 30111:2013 - Information technology — Security techniques — Vulnerability handling processes
Effective Date
05-Nov-2015

Buy Standard

ISO/IEC 30111:2019 - Information technology -- Security techniques -- Vulnerability handling processesISO/IEC 30111:2019 - Information technology -- Security techniques -- Vulnerability handling processes
PreviousNext
Standard
ISO/IEC 30111:2019 - Information technology -- Security techniques -- Vulnerability handling processes
English language
13 pages
sale 15% off
Preview
sale 15% off
Preview
ISO/IEC 30111:2019 - Technologies de l'information -- Techniques de sécurité -- Processus de traitement de la vulnérabilitéISO/IEC 30111:2019 - Technologies de l'information -- Techniques de sécurité -- Processus de traitement de la vulnérabilité
PreviousNext
Standard
ISO/IEC 30111:2019 - Technologies de l'information -- Techniques de sécurité -- Processus de traitement de la vulnérabilité
French language
15 pages
sale 15% off
Preview
sale 15% off
Preview

Related Packages

ISO/IEC 30111 / ISO/IEC 29147 - IT Security Vulnerability Set
ISO/IEC 30111 / ISO/IEC 29147 - IT Security Vulnerability Set
2 documents

Standards Content (Sample)

INTERNATIONAL ISO/IEC
STANDARD 30111
Second edition
2019-10
Information technology — Security
techniques — Vulnerability handling
processes
Technologies de l'information — Techniques de sécurité — Processus
de traitement de la vulnérabilité
Reference number
ISO/IEC 30111:2019(E)
©
ISO/IEC 2019

---------------------- Page: 1 ----------------------
ISO/IEC 30111:2019(E)

COPYRIGHT PROTECTED DOCUMENT
© ISO/IEC 2019
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting
on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address
below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Fax: +41 22 749 09 47
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO/IEC 2019 – All rights reserved

---------------------- Page: 2 ----------------------
ISO/IEC 30111:2019(E)

Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Abbreviated terms . 1
5 Relationships to other International Standards. 1
5.1 ISO/IEC 29147 . 1
5.2 ISO/IEC 27034 (all parts) . 2
5.3 ISO/IEC 27036-3 . 2
5.4 ISO/IEC 15408-3 . 3
6 Policy and organizational framework . 3
6.1 General . 3
6.2 Leadership . 3
6.2.1 Leadership and commitment . 3
6.2.2 Policy . 3
6.2.3 Organizational roles, responsibilities, and authorities . 4
6.3 Vulnerability handling policy development . 4
6.4 Organizational framework development . 4
6.5 Vendor CSIRT or PSIRT . 5
6.5.1 General. 5
6.5.2 PSIRT mission . 5
6.5.3 PSIRT responsibilities . 5
6.5.4 Staff capabilities . 6
6.6 Responsibilities of the product business division . 6
6.7 Responsibilities of customer support and public relations. 7
6.8 Legal consultation . 7
7 Vulnerability handling process . 7
7.1 Vulnerability handling phases . 7
7.1.1 General. 7
7.1.2 Preparation . 8
7.1.3 Receipt . 8
7.1.4 Verification . 9
7.1.5 Remediation development .10
7.1.6 Release .10
7.1.7 Post-release .10
7.2 Process monitoring .11
7.3 Confidentiality of vulnerability information .11
8 Supply chain considerations .11
Bibliography .13
© ISO/IEC 2019 – All rights reserved iii

---------------------- Page: 3 ----------------------
ISO/IEC 30111:2019(E)

Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that
are members of ISO or IEC participate in the development of International Standards through
technical committees established by the respective organization to deal with particular fields of
technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other
international organizations, governmental and non-governmental, in liaison with ISO and IEC, also
take part in the work.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for
the different types of document should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www .iso .org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject
of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent
rights. Details of any patent rights identified during the development of the document will be in the
Introduction and/or on the ISO list of patent declarations received (see www .iso .org/patents) or the IEC
list of patent declarations received (see http: //patents .iec .ch).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO's adherence to the
World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www .iso
.org/iso/foreword .html.
This document was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 27, Information security, cybersecurity and privacy protection.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www .iso .org/members .html.
This second edition cancels and replaces the first edition (ISO/IEC 30111:2013), which has been
technically revised. The main changes compared to the previous edition are as follows:
— a number of normative provisions have been revised or added (summarized in Annex A);
— organizational and editorial changes have been made for clarity and harmonization with
ISO/IEC 29147:2018.
This document is intended to be used with ISO/IEC 29147.
iv © ISO/IEC 2019 – All rights reserved

---------------------- Page: 4 ----------------------
ISO/IEC 30111:2019(E)

Introduction
This document describes processes for vendors to handle reports of potential vulnerabilities in
products and services.
The audience for this document includes developers, vendors, evaluators, and users of information
technology products and services. The following audiences can use this document:
— developers and vendors, when responding to actual or potential vulnerability reports;
— evaluators, when assessing the security assurance afforded by vendors’ and developers’ vulnerability
handling processes; and
— users, to express procurement requirements to developers, vendors and integrators.
This document is integrated with ISO/IEC 29147 at the point of receiving potential vulnerability reports
and at the point of distributing vulnerability remediation information (see 5.1).
Relationships to other standards are noted in Clause 5.
© ISO/IEC 2019 – All rights reserved v

---------------------- Page: 5 ----------------------
INTERNATIONAL STANDARD ISO/IEC 30111:2019(E)
Information technology — Security techniques —
Vulnerability handling processes
1 Scope
This document provides requirements and recommendations for how to process and remediate
reported potential vulnerabilities in a product or service.
This document is applicable to vendors involved in handling vulnerabilities.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content
constitutes requirements of this document. For dated references, only the edition cited applies. For
undated references, the latest edition of the referenced document (including any amendments) applies.
ISO/IEC 27000, Information technology — Security techniques — Information security management
systems — Overview and vocabulary
ISO/IEC 29147:2018, Information technology — Security techniques — Vulnerability disclosure
3 Terms and definitions
For the purposes of this document, terms and definitions given in ISO/IEC 27000 and ISO/IEC 29147 apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https: //www .iso .org/obp
— IEC Electropedia: available at http: //www .electropedia .org/
4 Abbreviated terms
The following abbreviated terms are used in this document.
CSIRT Computer Security Incident Response Team
PSIRT Product Security Incident Response Team
5 Relationships to other International Standards
5.1 ISO/IEC 29147
ISO/IEC 29147 shall be used in conjunction with this document. The relationship between the two is
illustrated in Figure 1.
This document provides guidelines for vendors on how to process and remediate potential vulnerability
information reported by internal or external individuals or organizations.
ISO/IEC 29147 provides guidelines for vendors to include in their normal business processes when
receiving reports about potential vulnerabilities from external individuals or organizations and when
distributing vulnerability remediation information to affected users.
© ISO/IEC 2019 – All rights reserved 1

---------------------- Page: 6 ----------------------
ISO/IEC 30111:2019(E)

While this document deals with the investigation, triage, and remediation of internally or externally
reported vulnerabilities, ISO/IEC 29147 deals with the interface between vendors and those who find
and report potential vulnerabilities.
Figure 1 — Relationship between ISO/IEC 29147 and ISO/IEC 30111
5.2 ISO/IEC 27034 (all parts)
Application security seeks to reduce the creation of application vulnerabilities (see ISO/IEC 27034-1:2011,
[1]
6.5.2 ). Application security techniques can also be useful for remediating reported vulnerabilities.
5.3 ISO/IEC 27036-3
Effective vulnerability handling processes require thorough understanding of ICT supply chain security
[2]
as described in ISO/IEC 27036-3:2013, 5.4 a), 5.8 i), 6.1.1 a) 2) and 6.3.4 .
2 © ISO/IEC 2019 – All rights reserved

---------------------- Page: 7 ----------------------
ISO/IEC 30111:2019(E)

5.4 ISO/IEC 15408-3
[3]
This document takes into consideration the relevant elements of ISO/IEC 15408-3:2008, 13.5 .
6 Policy and organizational framework
6.1 General
Clause 6 describes the organizational elements that vendors should consider in their vulnerability
handling processes. Vendors should create a vulnerability handling process in accordance with this
document in order to prepare for investigating and remediating potential vulnerabilities. The creation
of a vulnerability handling process is a task that is performed by a vendor and should be periodically
assessed to ensure that the process performs as expected and to support process improvements.
Vendors should document their vulnerability handling processes in order to ensure that they are
repeatable. The documentation should describe the procedures and methods used to track all reported
vulnerabilities.
[1]
See ISO/IEC 27034 (all parts) for information on how identification of the root cause of a vulnerability,
which is a step in the process of vulnerability handling, can help improve secure software development
lifecycles and result in an outcome of more secure product development.
6.2 Leadership
6.2.1 Leadership and commitment
Top management should demonstrate leadership and commitment with respect to vulnerability
handling by:
a) ensuring the policy and the objectives of vulnerability handling are established and are compatible
with the strategic direction of the organization;
b) ensuring the integration of the vulnerability handling into the organization’s processes;
c) ensuring that the resources needed for the vulnerability handling are available;
d) communicating the importance of effective vulnerability handling;
e) ensuring that the vulnerability handling process achieves its intended outcome(s);
f) directing and supporting persons to contribute to the effectiveness of the vulnerability handling
process;
g) promoting continual improvement; and
h) supporting other relevant management roles to demonstrate their leadership as it applies to their
areas of responsibility.
6.2.2 Policy
Top management should establish vulnerability handling policy that:
a) is appropriate to the purpose of the organization;
b) includes a best-effort commitment to satisfy user’s requirements related to its product or online
service security; and
c) includes a commitment to continual improvement of the vulnerability handling process.
More information about vulnerability handling policy is provided in 6.3.
© ISO/IEC 2019 – All rights reserved 3

---------------------- Page: 8 ----------------------
ISO/IEC 30111:2019(E)

6.2.3 Organizational roles, responsibilities, and authorities
Top management should ensure that the responsibilities and authorities for roles relevant to
vulnerability handling are assigned and communicated.
Top management should assign the responsibility and authority for:
a) ensuring that the vulnerability handling process conforms to the requirements of this document; and
b) reporting on the performance of the vulnerability handling to top management.
6.3 Vulnerability handling policy development
A vendor shall develop and maintain an internal vulnerability handling policy to define and clarify
its intentions for investigating and remediating vulnerabilities as part of a vulnerability handling
process. This policy should be compatible with the external vulnerability disclosure policy required by
ISO/IEC 29147.
The internal vulnerability handling the policy is intended for the vendor’s staff and defines who is
responsible in each stage of the vulnerability handling process and how they should handle reports
about potential vulnerabilities. It should include the following items:
a) basic guidance, principles, and responsibilities for handling potential vulnerabilities in products or
services;
b) a list of departments and roles responsible for handling potential vulnerabilities;
c) safeguards to prevent premature disclosure of information about potential vulnerabilities before
they are fixed; and
d) a target schedule for remediation development.
The audience for the external vulnerability disclosure policy is internal and external stakeholders,
including reporters who wish to report potential vulnerabilities, and users of the vendor’s products
or services. This policy informs the audience of how the vendor is willing to interact with them when a
potential vulnerability is found in the vendor’s product or services. Guidance, details and examples of
public vulnerability disclosure policies are included in ISO/IEC 29147:2018, Clause 9 and Annex A.
6.4 Organizational framework development
Handling vulnerabilities has several additional aspects than just engineering and technology (for
example, customer service and public relations). An organizational framework should be designed,
recognized, and supported by the stakeholder divisions of the vendor responsible for each area.
An organization should have a role or capability that is responsible for and has authority to make
decisions on vulnerability handling, preferably at a management level. This role or capability should
understand the responsibility toward the vendor’s users, the internal processes, and the organizational
framework for vulnerability handling.
An organization should have a role or capability that is a point of contact for handling potential
vulnerabilities. This point of contact should be identified for each division or department within a
vendor that provides products or services to customers.
An organization should establish a point of contact for external parties to reach and communicate with
about vulnerabilities. The point of contact can be part of a vendor computer security incident response
team (CSIRT) or a product security incident response team (PSIRT). Further details are discussed in 6.5.
Since customers and members of the media can contact the vendor with questions or requests for
additional information after a vulnerability is disclosed, divisions responsible for customer and public
relations should be prepared so that they can respond.
4 © ISO/IEC 2019 – All rights reserved

---------------------- Page: 9 ----------------------
ISO/IEC 30111:2019(E)

6.5 Vendor CSIRT or PSIRT
6.5.1 General
Subclause 6.5 describes the organizational role and responsibilities of a CSIRT or PSIRT. For clarity,
PSIRT will be used to refer to this role throughout the rest of this document. A PSIRT is responsible for
coordinating external vulnerability reports. In some cases, a PSIRT also coordinates the handling of
vulnerabilities that were reported by internal teams within the vendor.
6.5.2 PSIRT mission
A PSIRT plays a central role in a vendor’s vulnerability handling processes. In addition to coordinating
vulnerability handling internally, the PSIRT acts as a single point of contact for external stakeholders
such as vulnerability reporters, coordinators, and other vendors.
Vendors should include all of their products and services in their vulnerability disclosure and
vulnerability handling processes. A PSIRT should be implemented centrally within a vendor. However,
a PSIRT may be implemented within a business unit, as long as all products and services are covered by
the vendor’s vulnerability handling processes.
6.5.3 PSIRT responsibilities
6.5.3.1 General
Subclause 6.5.3 describes the responsibilities of vulnerability response teams. This is an unordered list.
[4]
Example PSIRT services and functions can be found in the FIRST PSIRT Services Framework .
6.5.3.2 Public vulnerability monitoring
A PSIRT should monitor known public sources of vulnerability information for disclosures or discussion
that affect the vendor’s products or services. Sources can include mailing lists, social media, discussion
forums, or vulnerability databases.
6.5.3.3 Communication with external reporters
A PSIRT should develop a single entry-point for receiving potential vulnerability reports from reporters
or coordinators, typically either an e-mail address or a form on a web page.
A PSIRT is responsible for maintaining communication with reporters. It is important to understand
the interests and motivations of reporters and to communicate in a timely manner.
A PSIRT may choose to handle security vulnerabilities from customers with a valid support contract
through their customer support division rather than receiving them directly. In that case, appropriate
processes and training should be provided to the customer support division. The customer support
division should partner closely with the PSIRT to ensure that the vulnerability is appropriately handled
and responded to.
For more information about communication with external vulnerability reporters, see
ISO/IEC 29147:2018, 5.5.4 and Clause 6.
6.5.3.4 Communication within vendor organization
A PSIRT should work with product and services divisions to build a database of contacts for each
product. When a potential vulnerability is reported, the PSIRT should identify the responsible product
business division to dispatch the report to them through the contact person. The information should be
shared confidentially on a need-to-know basis.
© ISO/IEC 2019 – All rights reserved 5

---------------------- Page: 10 ----------------------
ISO/IEC 30111:2019(E)

6.5.3.5 Communication with coordinators or other vendors
Where appropriate, a PSIRT should make arrangements for sharing vulnerability reports with
coordinators or other vendors. They should be conscious of the vulnerability handling policy of the
other party.
For more information, see ISO/IEC 29147:2018, 5.5.5 and Clause 8.
6.5.3.6 Timing of public vulnerability disclosure
A PSIRT should choose an appropriate date for each public vulnerability disclosure and prepare the
advisory with the assistance of the product business division and other major stakeholders, such as
legal, public relations, and external coordinators if applicable. The vulnerability disclosure should align
to when the remediation is available so that users can take the necessary action.
For more information, see ISO/IEC 29147:2018, 5.6.8 and 7.3.
6.5.3.7 Internal vulnerability assessment
A PSIRT may test or coordinate testing of the vendor’s own products or services for vulnerabilities
and other security issues. Any vulnerabilities that are identified should be handled according to the
vendor’s vulnerability handling processes.
6.5.3.8 Inventory and supply chain tracking
A PSIRT should track the vulnerabilities found in all components used in the development of the
vendor’s products and services, including components from other business units or external suppliers.
Vulnerabilities in third-party and shared components can affect the vendor’s products and services.
Vendors should require software component inventory information from their suppliers. Such
[5]
information can be provided as Software identification (SWID) tags defined by ISO/IEC 19770-2 .
For more information, see ISO/IEC 29147:2018, 5.4.6 and 6.4.
6.5.4 Staff capabilities
The staff of a PSIRT should:
a) be able to understand the nature of reported potential vulnerabilities and coordinate with
appropriate parties;
b) understand the confidentiality of vulnerability related information and be well-versed in handling
such information in order not to leak the vulnerability details before remediation development;
c) notify an appropriate product business division to take actions necessary for vulnerability handling
when appropriate.
6.6 Responsibilities of the product business division
A product business division provides customers with products or services that have been developed by
the vendor or implemented and/or commercialized with other vendor’s products or services. They are
an entity responsible for a core part of handling process of vulnerabilities that affect their products or
services.
When potential vulnerabilities are reported to a product business division by the PSIRT, the product
business division should work with the PSIRT to develop remediations. Business divisions should have
a means to escalate an issue to a PSIRT, if an issue is determined to be a vulnerability.
Product security contacts within business divisions should initiate the vulnerability handling process
when they receive notification of potential security vulnerabilities in products or services. This process
6 © ISO/IEC 2019 – All rights reserved

---------------------- Page: 11 ----------------------
ISO/IEC 30111:2019(E)

should include notification of the PSIRT so that any necessary response actions are conducted as per
the vendor’s vulnerability response policies.
6.7 Responsibilities of customer support and public relations
Customer Support divisions should have the capability to handle and respond to security vulnerabilities
reported by customers so that all customers are treated equally. Customer Support Division should
partner closely with the PSIRT by following internally established processes to ensure that the
vulnerability is appropriately handled and responded to.
In the final stages of vulnerability handling, advisories are often released with remediations. When
the advisory is sent to customers via mailing lists or direct communications, the dissemination is often
conducted by customer support divisions. Customer support should choose the appropriate means to
inform all necessary customers and maintain confidentiality until the coordinated date of disclosure.
See ISO/IEC 29147 for the timing of advisory release of multi-vendor vulnerabilities.
Some users can ask questions or request vendor support after reading the advisories. Customer support
divisions should be prepared to respond to or escalate questions and requests concerning advisories.
As detailed in ISO/IEC 29147:2018, 7.5, advisories that are published on a vendor’s public website should
be easily accessible. Customer support or public relations divisions may be involved in the maintenance
of the vendor’s web site and should attempt t
...

NORME ISO/IEC
INTERNATIONALE 30111
Deuxième édition
2019-10
Technologies de l'information —
Techniques de sécurité — Processus
de traitement de la vulnérabilité
Information technology — Security techniques — Vulnerability
handling processes
Numéro de référence
ISO/IEC 30111:2019(F)
©
ISO/IEC 2019

---------------------- Page: 1 ----------------------
ISO/IEC 30111:2019(F)

DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2019
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO/IEC 2019 – Tous droits réservés

---------------------- Page: 2 ----------------------
ISO/IEC 30111:2019(F)

Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Abréviations . 1
5 Relations aux autres Normes internationales . 1
5.1 ISO/IEC 29147 . 1
5.2 ISO/IEC 27034 (toutes les parties) . 3
5.3 ISO/IEC 27036-3 . 4
5.4 ISO/IEC 15408-3 . 4
6 Politique et cadre organisationnel . 4
6.1 Généralités . 4
6.2 Leadership . 4
6.2.1 Leadership et engagement . 4
6.2.2 Politique . 5
6.2.3 Rôles, responsabilités et autorités au sein de l'organisme . 5
6.3 Élaboration de la politique de traitement des vulnérabilités . 5
6.4 Développement du cadre organisationnel . 5
6.5 CSIRT ou PSIRT du fournisseur . 6
6.5.1 Généralités . 6
6.5.2 Mission d'une PSIRT . 6
6.5.3 Responsabilités d'une PSIRT . 6
6.5.4 Capacités du personnel . 8
6.6 Responsabilités de la division d'activités produit . 8
6.7 Responsabilités du support client et des relations publiques . 8
6.8 Consultation juridique . 9
7 Processus de traitement des vulnérabilités . 9
7.1 Phases de traitement des vulnérabilités . 9
7.1.1 Généralités . 9
7.1.2 Préparation .10
7.1.3 Réception .10
7.1.4 Vérification .10
7.1.5 Développement d'une remédiation .11
7.1.6 Publication .12
7.1.7 Post-publication .12
7.2 Surveillance du processus .12
7.3 Confidentialité des informations de vulnérabilité .13
8 Considérations relatives à la chaîne d'approvisionnement .13
Bibliographie .15
© ISO/IEC 2019 – Tous droits réservés iii

---------------------- Page: 3 ----------------------
ISO/IEC 30111:2019(F)

Avant-propos
L'ISO (Organisation internationale de normalisation) et l'IEC (Commission électrotechnique
internationale) forment le système spécialisé de la normalisation mondiale. Les organismes
nationaux membres de l'ISO ou de l'IEC participent au développement de Normes internationales
par l'intermédiaire des comités techniques créés par l'organisation concernée afin de s'occuper des
domaines particuliers de l'activité technique. Les comités techniques de l'ISO et de l'IEC collaborent
dans des domaines d'intérêt commun. D'autres organismes internationaux, gouvernementaux et non
gouvernementaux, en liaison avec l'ISO et l'IEC participent également aux travaux.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d'approbation requis pour les différents types de document. Le présent document a été rédigé
conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www .iso
.org/ directives).
L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet
de droits de propriété intellectuelle ou de droits analogues. L'ISO et l'IEC ne sauraient être tenues pour
responsables de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails
concernant les références aux droits de propriété intellectuelle ou autres droits analogues identifiés
lors de l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations
de brevets reçues par l'ISO (voir www .iso .org/ brevets) ou dans la liste des déclarations de brevets
reçues par l'IEC (voir https:// patents .iec .c).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l'intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion
de l'ISO aux principes de l'Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir le lien suivant: www .iso .org/ iso/ fr/ avant -propos.
Le présent document a été élaboré par le comité technique mixte ISO/IEC JTC 1, Technologies de
l'information, sous-comité SC 27, Sécurité de l'information, cybersécurité et protection de la vie privée.
Il convient que l'utilisateur adresse tout retour d'information ou toute question concernant le présent
document à l'organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l'adresse www .iso .org/ fr/ members .html.
Cette deuxième édition annule et remplace la première édition (ISO/IEC 30111:2013), qui a fait l'objet
d'une révision technique. Les principales modifications par rapport à l'édition précédente sont les
suivantes:
— certaines dispositions normatives ont été révisées ou ajoutées (synthétisées à l'Annexe A);
— des modifications organisationnelles et rédactionnelles ont été apportées à des fins de clarté et
d'harmonisation avec l'ISO/IEC 29147:2018.
Le présent document est destiné à être utilisé avec l'ISO/IEC 29147.
iv © ISO/IEC 2019 – Tous droits réservés

---------------------- Page: 4 ----------------------
ISO/IEC 30111:2019(F)

Introduction
Le présent document décrit des processus à l'attention des fournisseurs pour traiter les signalements
de vulnérabilités potentielles dans leurs produits et services.
Le présent document s'adresse aux développeurs, fournisseurs, évaluateurs et utilisateurs de produits
et services de technologies de l'information. Il peut être utilisé par:
— les développeurs et les fournisseurs, lorsqu'ils répondent à des signalements de vulnérabilités
réelles ou potentielles;
— les évaluateurs, lorsqu'ils évaluent l'assurance de sécurité permise par les processus de traitement
de vulnérabilités de fournisseurs et de développeurs;
— les utilisateurs, pour exprimer des besoins d'achat à des développeurs, des fournisseurs et des
intégrateurs.
Le présent document est intégré à l'ISO/IEC 29147 au point de réception de signalements de
vulnérabilités potentielles et au point de diffusion d'informations sur la remédiation de vulnérabilités
(voir 5.1).
Les relations avec d'autres normes sont précisées dans l'Article 5.
© ISO/IEC 2019 – Tous droits réservés v

---------------------- Page: 5 ----------------------
NORME INTERNATIONALE ISO/IEC 30111:2019(F)
Technologies de l'information — Techniques de sécurité —
Processus de traitement de la vulnérabilité
1 Domaine d'application
Le présent document fournit des exigences et des recommandations sur la manière de traiter et
résoudre les vulnérabilités potentielles signalées dans un produit ou un service.
Le présent document s'applique aux fournisseurs impliqués dans le traitement des vulnérabilités.
2 Références normatives
Les documents suivants cités dans le texte constituent, pour tout ou partie de leur contenu, des
exigences du présent document. Pour les références datées, seule l'édition citée s'applique. Pour les
références non datées, la dernière édition du document de référence s'applique (y compris les éventuels
amendements).
ISO/IEC 27000, Technologies de l'information — Techniques de sécurité — Systèmes de management de la
sécurité de l'information — Vue d'ensemble et vocabulaire
ISO/IEC 29147:2018, Technologies de l’information — Techniques de sécurité — Divulgation de vulnérabilité
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions donnés dans l'ISO/IEC 27000 et
l'ISO/IEC 29147 s'appliquent.
L'ISO et l'IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l'adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l'adresse http:// www .electropedia .org/
4 Abréviations
Les abréviations suivantes sont utilisées dans le présent document:
CSIRT Équipe d'intervention en cas d'incidents de sécurité informatique (Computer Security Incident
Response Team)
PSIRT Équipe d'intervention en cas d'incidents de sécurité produit (Product Security Incident Res-
ponse Team)
5 Relations aux autres Normes internationales
5.1 ISO/IEC 29147
L'ISO/IEC 29147 doit être utilisée conjointement avec le présent document. La Figure 1 présente la
relation entre les deux normes.
© ISO/IEC 2019 – Tous droits réservés 1

---------------------- Page: 6 ----------------------
ISO/IEC 30111:2019(F)

Le présent document fournit des lignes directrices à l'attention des fournisseurs afin de traiter et
résoudre les informations relatives à des vulnérabilités potentielles signalées par des individus ou
organismes internes et externes.
L'ISO/IEC 29147 fournit des lignes directrices à l'attention des fournisseurs à inclure dans leurs
processus métier habituels lorsqu'ils reçoivent des signalements concernant des vulnérabilités
potentielles de la part d'individus ou organismes externes, et lorsqu'ils transmettent aux utilisateurs
concernés des informations relatives à la remédiation de vulnérabilités.
Alors que le présent document traite de la recherche, du tri et de la remédiation des vulnérabilités
signalées par une source interne ou externe, l'ISO/IEC 29147 couvre l'interface entre les fournisseurs et
les individus ou organismes qui détectent et signalent des vulnérabilités potentielles.
2 © ISO/IEC 2019 – Tous droits réservés

---------------------- Page: 7 ----------------------
ISO/IEC 30111:2019(F)

Figure 1 — Relation entre l'ISO/IEC 29147et l'ISO/IEC 30111
5.2 ISO/IEC 27034 (toutes les parties)
La sécurité des applications cherche à réduire la création de vulnérabilités d'application (voir
[1]
l'ISO/IEC 27034-1:2011, 6.5.2 ). Les techniques de sécurité des applications peuvent également être
utiles pour la remédiation de vulnérabilités signalées.
© ISO/IEC 2019 – Tous droits réservés 3

---------------------- Page: 8 ----------------------
ISO/IEC 30111:2019(F)

5.3 ISO/IEC 27036-3
Des processus de traitement des vulnérabilités efficaces nécessitent une compréhension approfondie
de la sécurité de la chaîne d'approvisionnement TIC, comme décrit dans l'ISO/IEC 27036-3:2013, 5.4 a),
[2]
5.8 i), 6.1.1 a) 2) et 6.3.4 .
5.4 ISO/IEC 15408-3
[3]
Le présent document tient compte des éléments pertinents de l'ISO/IEC 15408-3:2008, 13.5 .
6 Politique et cadre organisationnel
6.1 Généralités
L'Article 6 décrit les éléments organisationnels qu'il convient que les fournisseurs prennent en compte
dans leurs processus de traitement des vulnérabilités. Il convient que les fournisseurs créent un
processus de traitement des vulnérabilités conforme au présent document afin de se préparer au travail
de recherche et de remédiation des vulnérabilités potentielles. La création d'un processus de traitement
des vulnérabilités est une tâche effectuée par un fournisseur, et il convient de l'évaluer régulièrement
afin de s'assurer que le processus présente les performances attendues et de garantir l'amélioration
des processus. Il convient que les fournisseurs documentent leurs processus de traitement des
vulnérabilités pour en assurer la répétabilité. Il convient que la documentation décrive les procédures
et les méthodes utilisées pour suivre l'ensemble des vulnérabilités signalées.
[1]
Voir l'ISO/IEC 27034 (toutes les parties) pour des informations sur la manière dont l'identification de
la cause fondamentale d'une vulnérabilité, qui constitue l'une des étapes du processus de traitement
des vulnérabilités, peut aider à améliorer les cycles de vie de développement de logiciels sécurisés et
conduire, par voie de conséquence, au développement de produits plus sécurisés.
6.2 Leadership
6.2.1 Leadership et engagement
Il convient que la direction démontre son leadership et son engagement en faveur du traitement des
vulnérabilités:
a) en s'assurant que la politique et les objectifs de traitement des vulnérabilités sont établis et qu'ils
sont compatibles avec l'orientation stratégique de l'organisme;
b) en s'assurant que le traitement des vulnérabilités est intégré dans les processus de l'organisme;
c) en s'assurant que les ressources nécessaires pour le traitement des vulnérabilités sont disponibles;
d) en communiquant l'importance d'un traitement efficace des vulnérabilités;
e) en s'assurant que le processus de traitement des vulnérabilités atteint le ou les résultats escomptés;
f) en orientant et en soutenant les personnes pour qu'elles contribuent à l'efficacité du processus de
traitement des vulnérabilités;
g) en promouvant l'amélioration continue; et
h) en aidant les autres managers concernés à faire également preuve de leadership dès lors que cela
s'applique à leurs domaines de responsabilités.
4 © ISO/IEC 2019 – Tous droits réservés

---------------------- Page: 9 ----------------------
ISO/IEC 30111:2019(F)

6.2.2 Politique
Il convient que la direction établisse une politique de traitement des vulnérabilités qui:
a) est appropriée à la mission de l'organisme;
b) inclut un engagement au mieux des possibilités pour satisfaire aux exigences de l'utilisateur en ce
qui concerne la sécurité de son produit ou de son service en ligne; et
c) inclut un engagement pour l'amélioration continue du processus de traitement des vulnérabilités.
Des informations supplémentaires concernant la politique de traitement des vulnérabilités sont
fournies en 6.3.
6.2.3 Rôles, responsabilités et autorités au sein de l'organisme
Il convient que la direction s'assure que les responsabilités et autorités des rôles concernés par le
traitement des vulnérabilités sont attribuées et communiquées.
Il convient que la direction désigne qui a la responsabilité et l'autorité de:
a) s'assurer que le processus de traitement des vulnérabilités est conforme aux exigences du présent
document; et
b) rendre compte à la direction de la performance du traitement des vulnérabilités.
6.3 Élaboration de la politique de traitement des vulnérabilités
Un fournisseur doit élaborer et tenir à jour une politique interne de traitement des vulnérabilités pour
définir et clarifier ses intentions en matière de recherche et de remédiation des vulnérabilités dans le
cadre d'un processus de traitement des vulnérabilités. Il convient que cette politique soit compatible
avec la politique de divulgation de vulnérabilité externe exigée par l'ISO/IEC 29147.
La politique interne de traitement des vulnérabilités est destinée au personnel du fournisseur et définit
qui est responsable à chaque étape du processus de traitement des vulnérabilités et la manière dont
il convient que le personnel traite les signalements de vulnérabilités potentielles. Il convient qu'elle
comprenne les éléments suivants:
a) les recommandations de base, principes et responsabilités pour le traitement des vulnérabilités
potentielles dans des produits ou services;
b) une liste des départements et rôles responsables du traitement des vulnérabilités potentielles;
c) les moyens de protection pour empêcher une divulgation prématurée d'informations concernant
des vulnérabilités potentielles avant leur résolution;
d) un objectif de calendrier pour le développement de remédiations.
La politique de divulgation de vulnérabilité externe s'adresse à des parties prenantes internes et
externes, y compris des déclarants qui souhaitent signaler des vulnérabilités potentielles et des
utilisateurs de produits ou de services du fournisseur. Cette politique informe son public sur la manière
dont le fournisseur entend interagir avec lui lorsqu'une vulnérabilité potentielle est détectée dans le
produit ou les services du fournisseur. Des recommandations, des détails et des exemples de politiques
de divulgation de vulnérabilité publique sont fournis dans l'ISO/IEC 29147:2018, Article 9 et Annexe A.
6.4 Développement du cadre organisationnel
Le traitement des vulnérabilités présente des aspects qui dépassent le simple cadre de l'ingénierie et
de la technologie (par exemple, le service client et les relations publiques). Il convient que les divisions
parties prenantes du fournisseur qui sont responsables de chaque aspect conçoivent, reconnaissent et
soutiennent un cadre organisationnel.
© ISO/IEC 2019 – Tous droits réservés 5

---------------------- Page: 10 ----------------------
ISO/IEC 30111:2019(F)

Il convient qu'un organisme dispose d'un rôle ou d'une capacité qui est responsable du traitement des
vulnérabilités, de préférence à un niveau la direction, et qui a le pouvoir de prendre des décisions à cet
égard. Il convient que ce rôle ou cette capacité comprenne la responsabilité envers les utilisateurs du
fournisseur, les processus internes et le cadre organisationnel du traitement des vulnérabilités.
Il convient qu'un organisme dispose d'un rôle ou d'une capacité tenant lieu de point de contact pour le
traitement des vulnérabilités potentielles. Il convient que ce point de contact soit identifié pour chaque
division ou département au sein d'un fournisseur qui fournit des produits ou services à des clients.
Il convient qu'un organisme établisse un point de contact pour atteindre les parties externes et
communiquer avec elles au sujet de vulnérabilités. Le point de contact peut être membre d'une équipe
d'intervention en cas d'incidents de sécurité informatique (CSIRT) ou d'une équipe d'intervention en
cas d'incidents de sécurité produit (PSIRT) du fournisseur. De plus amples détails sont fournis en 6.5.
Puisque les clients et membres des médias peuvent contacter le fournisseur pour lui soumettre des
questions ou lui demander des informations supplémentaires après la divulgation d'une vulnérabilité, il
convient que les divisions responsables des relations client et des relations publiques se préparent afin
de pouvoir y répondre.
6.5 CSIRT ou PSIRT du fournisseur
6.5.1 Généralités
Le paragraphe 6.5 décrit le rôle organisationnel et les responsabilités d'une CSIRT ou d'une PSIRT.
Pour des raisons de clarté, l'abréviation PSIRT sera utilisée pour faire référence à ce rôle dans le reste
du présent document. Une PSIRT a la responsabilité de coordonner les signalements de vulnérabilités
externes. Dans certains cas, une PSIRT coordonne également le traitement des vulnérabilités qui ont
été signalées par des équipes internes chez le fournisseur.
6.5.2 Mission d'une PSIRT
Une PSIRT joue un rôle central dans les processus de traitement des vulnérabilités d'un fournisseur.
Outre la coordination du traitement des vulnérabilités en interne, la PSIRT agit en tant que point de
contact unique pour les parties prenantes externes, telles que les déclarants de vulnérabilités, les
coordinateurs et d'autres fournisseurs.
Il convient que les fournisseurs incluent l'ensemble de leurs produits et services dans leurs processus
de divulgation et de traitement des vulnérabilités. Il convient qu'une PSIRT soit mise en œuvre de
façon centralisée chez un fournisseur. Cependant, une PSIRT peut être déployée au sein d'une unité
organisationnelle, à condition que tous les produits et services soient couverts par les processus de
traitement des vulnérabilités du fournisseur.
6.5.3 Responsabilités d'une PSIRT
6.5.3.1 Généralités
Le paragraphe 6.5.3 décrit les responsabilités des équipes de réponse aux vulnérabilités. Cette liste est
donnée sans ordre précis.
Des exemples de services et de fonctions d'une PSIRT sont disponibles dans le Cadre de services PSIRT
[4]
FIRST .
6.5.3.2 Surveillance de la vulnérabilité publique
Il convient qu'une PSIRT surveille les sources publiques connues d'informations de vulnérabilité pour
des divulgations ou des discussions qui affectent les produits ou services du fournisseur. Les sources
peuvent inclure des listes d'adresses, des médias sociaux, des forums de discussion ou des bases de
données de vulnérabilités.
6 © ISO/IEC 2019 – Tous droits réservés

---------------------- Page: 11 ----------------------
ISO/IEC 30111:2019(F)

6.5.3.3 Communication avec les déclarants externes
Il convient qu'une PSIRT établisse un point d'entrée unique, généralement une adresse e-mail ou
un formulaire sur une page Web, pour recevoir les signalements de vulnérabilités potentielles de
déclarants ou coordinateurs.
Une PSIRT a la responsabilité de maintenir la communication avec les déclarants. Il est important de
comprendre les intérêts et les motivations des déclarants, et de communiquer en temps opportun.
Une PSIRT peut choisir de traiter des vulnérabilités de sécurité de clients avec un contrat de support
en cours de validité par le biais de sa division de support client plutôt que de les recevoir directement.
Dans ce cas, il convient de fournir des processus et formations appropriés à la division de support
client. Il convient que la division de support client collabore étroitement avec la PSIRT pour garantir un
traitement et une réponse appropriés de la vulnérabilité.
Pour plus d'informations sur la communication avec des déclarants de vulnérabilités externes, voir
l'ISO/IEC 29147:2018, 5.5.4 et Article 6.
6.5.3.4 Communication au sein de l'organisme du fournisseur
Il convient qu'une PSIRT collabore avec les divisions de produits et services pour constituer une base de
données de contacts pour chaque produit. Lorsqu'une vulnérabilité potentielle est signalée, il convient
que la PSIRT identifie la division d'activités produit responsable pour lui transmettre le signalement
par l'intermédiaire de l'interlocuteur désigné. Il convient de partager les informations de manière
confidentielle sur le principe du besoin d'en connaître.
6.5.3.5 Communication avec les coordinateurs ou autres fournisseurs
Lorsque cela est approprié, il convient qu'une PSIRT prenne des dispositions pour partager les
signalements de vulnérabilités avec des coordinateurs ou autres fournisseurs. Il convient qu'elle ait
connaissance de la politique de traitement des vulnérabilités de l'autre partie.
Pour plus d'informations, voir l'ISO/IEC 29147:2018, 5.5.5 et Article 8.
6.5.3.6 Moment de divulgation publique d'une vulnérabilité
Il convient qu'une PSIRT choisisse une date appropriée pour chaque divulgation publique de
vulnérabilité et qu'elle prépare le bulletin de sécurité avec l'assistance de la division d'activités produit
et des autres principales parties prenantes, telles que les équipes juridiques, des relations publiques et
les coordinateurs externes, le cas échéant. Il convient que la divulgation de vulnérabilité coïncide avec le
moment où la solution est disponible afin que les utilisateurs puissent prendre les mesures nécessaires.
Pour plus d'informations, voir l'ISO/IEC 29147:2018, 5.6.8 et 7.3.
6.5.3.7 Évaluation de vulnérabilité interne
Une PSIRT peut soumettre à essai ou coordonner les tests des propres produits ou services du
fournisseur pour des vulnérabilités et autres problèmes de sécurité. Il co
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.

This May Also Interest You

ISO
ISO/IEC 18032:2020(Main)
Information security — Prime number generation

This document specifies methods for generating and testing prime numbers as required in cryptographic protocols and algorithms. Firstly, this document specifies methods for testing whether a given number is prime. The testing methods included in this document are divided into two groups: — probabilistic primality tests, which have a small error probability. All probabilistic tests described here can declare a composite to be a prime; — deterministic methods, which are guaranteed to give the right verdict. These methods use so-called primality certificates. Secondly, this document specifies methods to generate prime numbers. Again, both probabilistic and deterministic methods are presented. NOTE It is possible that readers with a background in algorithm theory have already had previous encounters with probabilistic and deterministic algorithms. The deterministic methods in this document internally still make use of random bits (to be generated via methods described in ISO/IEC 18031), and "deterministic" only refers to the fact that the output is correct with probability one. Annex A provides error probabilities that are utilized by the Miller-Rabin primality test. Annex B describes variants of the methods for generating primes so that particular cryptographic requirements can be met. Annex C defines primitives utilized by the prime generation and verification methods.

  • Standard
    33 pages
    English language
    sale 15% off
  • Draft
    33 pages
    English language
    sale 15% off
ISO
ISO/IEC 24761:2019(Main)
Information technology — Security techniques — Authentication context for biometrics

This document defines the structure and the data elements of Authentication Context for Biometrics (ACBio), which is used for checking the validity of the result of a biometric enrolment and verification process executed at a remote site. This document allows any ACBio instance to accompany any biometric processes related to enrolment and verification. The specification of ACBio is applicable not only to single modal biometric enrolment and verification but also to multimodal fusion. The real-time information of presentation attack detection is not provided in this document. Only the assurance information of presentation attack detection (PAD) mechanism can be contained in the BPU report. Biometric identification is out of the scope of this document. This document specifies the cryptographic syntax of an ACBio instance. The cryptographic syntax of an ACBio instance is defined in this document applying a data structure specified in Cryptographic Message Syntax (CMS) schema whose concrete values can be represented using a compact binary encoding. This document does not define protocols to be used between entities such as BPUs, claimant, and validator. Its concern is entirely with the content and encoding of the ACBio instances for the various processing activities.

  • Standard
    75 pages
    English language
    sale 15% off
ISO
ISO/IEC 9798-2:2019(Main)
IT Security techniques — Entity authentication — Part 2: Mechanisms using authenticated encryption

This document specifies entity authentication mechanisms using authenticated encryption algorithms. Four of the mechanisms provide entity authentication between two entities where no trusted third party is involved; two of these are mechanisms to unilaterally authenticate one entity to another, while the other two are mechanisms for mutual authentication of two entities. The remaining mechanisms require an on-line trusted third party for the establishment of a common secret key. They also realize mutual or unilateral entity authentication. Annex A defines Object Identifiers for the mechanisms specified in this document.

  • Standard
    15 pages
    English language
    sale 15% off
ISO
ISO/IEC 9798-3:2019(Main)
IT Security techniques — Entity authentication — Part 3: Mechanisms using digital signature techniques

This document specifies entity authentication mechanisms using digital signatures based on asymmetric techniques. A digital signature is used to verify the identity of an entity. Ten mechanisms are specified in this document. The first five mechanisms do not involve an on-line trusted third party and the last five make use of on-line trusted third parties. In both of these two categories, two mechanisms achieve unilateral authentication and the remaining three achieve mutual authentication. Annex A defines the object identifiers assigned to the entity authentication mechanisms specified in this document.

  • Standard
    25 pages
    English language
    sale 15% off
ISO
ISO/IEC TS 27008:2019(Main)
Information technology — Security techniques — Guidelines for the assessment of information security controls

This document provides guidance on reviewing and assessing the implementation and operation of information security controls, including the technical assessment of information system controls, in compliance with an organization's established information security requirements including technical compliance against assessment criteria based on the information security requirements established by the organization. This document offers guidance on how to review and assess information security controls being managed through an Information Security Management System specified by ISO/IEC 27001. It is applicable to all types and sizes of organizations, including public and private companies, government entities, and not-for-profit organizations conducting information security reviews and technical compliance checks.

  • Technical specification
    91 pages
    English language
    sale 15% off
ISO
ISO/IEC 10118-3:2018(Main)
IT Security techniques — Hash-functions — Part 3: Dedicated hash-functions

This document specifies dedicated hash-functions, i.e. specially designed hash-functions. The hash-functions in this document are based on the iterative use of a round-function. Distinct round-functions are specified, giving rise to distinct dedicated hash-functions. The use of Dedicated Hash-Functions 1, 2 and 3 in new digital signature implementations is deprecated. NOTE As a result of their short hash-code length and/or cryptanalytic results, Dedicated Hash-Functions 1, 2 and 3 do not provide a sufficient level of collision resistance for future digital signature applications and they are therefore, only usable for legacy applications. However, for applications where collision resistance is not required, such as in hash-functions as specified in ISO/IEC 9797‑2, or in key derivation functions specified in ISO/IEC 11770‑6, their use is not deprecated. Numerical examples for dedicated hash-functions specified in this document are given in Annex B as additional information. For information purposes, SHA-3 extendable-output functions are specified in Annex C.

  • Standard
    398 pages
    English language
    sale 15% off
ISO
ISO/IEC 29147:2018(Main)
Information technology — Security techniques — Vulnerability disclosure

This document provides requirements and recommendations to vendors on the disclosure of vulnerabilities in products and services. Vulnerability disclosure enables users to perform technical vulnerability management as specified in ISO/IEC 27002:2013, 12.6.1[1]. Vulnerability disclosure helps users protect their systems and data, prioritize defensive investments, and better assess risk. The goal of vulnerability disclosure is to reduce the risk associated with exploiting vulnerabilities. Coordinated vulnerability disclosure is especially important when multiple vendors are affected. This document provides: — guidelines on receiving reports about potential vulnerabilities; — guidelines on disclosing vulnerability remediation information; — terms and definitions that are specific to vulnerability disclosure; — an overview of vulnerability disclosure concepts; — techniques and policy considerations for vulnerability disclosure; — examples of techniques, policies (Annex A), and communications (Annex B). Other related activities that take place between receiving and disclosing vulnerability reports are described in ISO/IEC 30111. This document is applicable to vendors who choose to practice vulnerability disclosure to reduce risk to users of vendors' products and services.

  • Standard
    32 pages
    English language
    sale 15% off
  • Standard
    34 pages
    French language
    sale 15% off
ISO
ISO/IEC TS 19608:2018(Main)
Guidance for developing security and privacy functional requirements based on ISO/IEC 15408

This document provides guidance for: — selecting and specifying security functional requirements (SFRs) from ISO/IEC 15408-2 to protect Personally Identifiable Information (PII); — the procedure to define both privacy and security functional requirements in a coordinated manner; and — developing privacy functional requirements as extended components based on the privacy principles defined in ISO/IEC 29100 through the paradigm described in ISO/IEC 15408-2. The intended audience for this document are: — developers who implement products or systems that deal with PII and want to undergo a security evaluation of those products using ISO/IEC 15408. They will get guidance how to select security functional requirements for the Security Target of their product or system that map to the privacy principles defined in ISO/IEC 29100; — authors of Protection Profiles that address the protection of PII; and — evaluators that use ISO/IEC 15408 and ISO/IEC 18045 for a security evaluation. This document is intended to be fully consistent with ISO/IEC 15408; however, in the event of any inconsistency between this document and ISO/IEC 15408, the latter, as a normative standard, takes precedence.

  • Technical specification
    48 pages
    English language
    sale 15% off
ISO
ISO/IEC 27050-2:2018(Main)
Information technology — Electronic discovery — Part 2: Guidance for governance and management of electronic discovery

This document provides guidance for technical and non-technical personnel at senior management levels within an organization, including those with responsibility for compliance with statuary and regulatory requirements, and industry standards. It describes how such personnel can identify and take ownership of risks related to electronic discovery, set policy and achieve compliance with corresponding external and internal requirements. It also suggests how to produce such policies in a form which can inform process control. Furthermore, it provides guidance on how to implement and control electronic discovery in accordance with the policies.

  • Standard
    9 pages
    English language
    sale 15% off
ISO
ISO/IEC 27034-3:2018(Main)
Information technology — Application security — Part 3: Application security management process

This document provides a detailed description and implementation guidance for the Application Security Management Process.

  • Standard
    47 pages
    English language
    sale 15% off