Richtlinie zur koordinierten Offenlegung von Schwachstellen

Die Richtlinie zur Offenlegung von Schwachstellen von Natus soll unseren Kunden Transparenz bieten, indem sie ihnen Informationen und Anleitungen für den Umgang mit Cybersicherheitsrisiken zur Verfügung stellt. Wir empfehlen unseren Kunden und anderen externen Interessensvertretern an Klärungsreaktionsplänen von Schwachstellen, die in Natus-Produkten entdeckt wurden, mitzuarbeiten. Der Prozess der koordinierten Offenlegung von Schwachstellen besteht aus den folgenden vier Phasen:

 

  • Erkennung: Natus-Kunden, Sicherheitsforschern und anderen externen Interessensvertretern wird empfohlen, potenzielle oder erkannte Schwachstellen, Datenschutzverletzungen oder andere Signale und Vorfälle im Bereich der Cybersicherheit zu melden, die ein Natus-Produkt betreffen. Diese potenziellen oder erkannten Schwachstellen müssen Natus als Beschwerde beim technischen Service gemeldet werden, wobei das Beschwerdeverfahren von Natus einzuhalten ist. Natus wird den Empfang des gemeldeten Signals unverzüglich bestätigen, sobald es von der Meldequelle eingegangen ist.
  • Triage und Analyse: Natus arbeitet mit der Meldequelle der potenziellen Sicherheitsprobleme und -ereignisse zusammen, um die gemeldeten Schwachstellen zu untersuchen und zu überprüfen. Wenn die Schwachstelle verifiziert und für eine Behandlungsplanung qualifiziert ist, wird Natus sein Verfahren für die Reaktion auf Produktsicherheitsvorfälle und das Schwachstellenmanagement befolgen, um wirksame Klärungsreaktionspläne aufzustellen. Die Fristen für die Behandlung und die Offenlegung sollten so bald wie möglich mitgeteilt werden.
  • Behebung oder Schadensbegrenzung: In der Klärungsreaktion werden Strategien zur Behebung und/oder Schadensbegrenzung festgelegt, um die Schwachstelle zu beseitigen oder das Risiko auf ein akzeptables Niveau zu reduzieren. Gegebenenfalls umfasst die Klärungsreaktion auch die Kommunikation mit Koordinatoren, Informationsaustauschgruppen und Aufsichtsbehörden.
  • Offenlegung von Schwachstellen: Natus veröffentlicht freigegebene koordinierte Offenlegungen von Schwachstellen in Form einer Produktsicherheitsinformationsmitteilung oder eines Produktsicherheitsrundschreibens auf der Website von Natus. Freigabemitteilungen und andere Produktkennzeichnungen können zur Offenlegung von Schwachstellen verwendet werden. In dieser Phase teilt Natus die Informationen über die Schwachstellen mit den Koordinatoren und/oder anderen externen Interessensgruppen.