UNE-EN ISO/IEC 29147:2020
Tecnologías de la información - Técnicas de seguridad - Divulgación de vulnerabilidades (ISO/IEC 29147:2018) (Ratificada por la Asociación Española de Normalización en julio de 2020.)

Estándar No.

UNE-EN ISO/IEC 29147:2020

Fecha de publicación

2020

Organización

Spanish Association for Standardization (UNE)

Ultima versión

UNE-EN ISO/IEC 29147:2020

---

Alcance

Este documento proporciona requisitos y recomendaciones para que los proveedores revelen vulnerabilidades en sus productos y servicios. La divulgación de vulnerabilidades permite a los usuarios seguir la gestión de vulnerabilidades técnicas especificada en ISO/IEC 27002:2013, 12.6.1[1]. Las divulgaciones de vulnerabilidades ayudan a los usuarios a proteger sus sistemas y datos, priorizar las inversiones defensivas y evaluar mejor los riesgos. El propósito de la divulgación de vulnerabilidades es reducir el riesgo asociado con la explotación de una vulnerabilidad. La divulgación coordinada de vulnerabilidades es especialmente importante cuando varios proveedores se ven afectados. Este documento proporciona: 　——Orientación para recibir informes de posibles vulnerabilidades; 　——Orientación para la divulgación de información sobre corrección de vulnerabilidades; 　——Términos y definiciones específicos de la divulgación de vulnerabilidades; 　——Una descripción general de los conceptos de divulgación de vulnerabilidades; 　——Consideraciones técnicas y políticas para la divulgación de vulnerabilidades; 　——Ejemplos de métodos técnicos y de políticas (véase el Apéndice A) y de comunicación (véase el Apéndice B). Otras actividades relacionadas que se realizan entre la recepción y la divulgación de un informe de vulnerabilidad se describen en la norma ISO/IEC 30111. Este documento está dirigido a los proveedores que optan por implementar la divulgación de vulnerabilidades para reducir el riesgo para los usuarios de sus productos y servicios.

UNE-EN ISO/IEC 29147:2020 Documento de referencia

• ISO/IEC 27000 Tecnologías de la información - Técnicas de seguridad - Sistemas de gestión de la seguridad de la información - Visión general y vocabulario [Estándar en francés]
• ISO/IEC 27002:2013 Tecnologías de la información. Técnicas de seguridad. Código de prácticas para controles de seguridad de la información.
• ISO/IEC 27017:2015 Tecnologías de la información - Técnicas de seguridad - Código de prácticas para controles de seguridad de la información basado en ISO/IEC 27002 para servicios en la nube
• ISO/IEC 27034-1:2011 Tecnología de la información - Técnicas de seguridad - Seguridad de aplicaciones - Parte 1: Descripción general y conceptos
• ISO/IEC 27035-1:2016 Tecnología de la información - Técnicas de seguridad - Gestión de incidentes de seguridad de la información - Parte 1: Principios de gestión de incidentes
• ISO/IEC 27036-3:2013 Tecnología de la información. Técnicas de seguridad. Seguridad de la información para las relaciones con proveedores. Parte 3: Directrices para la seguridad de la cadena de suministro de tecnologías de la información y las comunicaciones.
• ISO/IEC 30111 Tecnología de la información — Técnicas de seguridad — Procesos de manejo de vulnerabilidades

UNE-EN ISO/IEC 29147:2020 Historia

• 2020 UNE-EN ISO/IEC 29147:2020 Tecnologías de la información - Técnicas de seguridad - Divulgación de vulnerabilidades (ISO/IEC 29147:2018) (Ratificada por la Asociación Española de Normalización en julio de 2020.)

estándares y especificaciones