Methodik und Umfang Musterklauseln
Methodik und Umfang. Jede ▇▇▇▇▇▇▇▇▇▇▇▇▇ muss vom Auftragnehmer an den Auftraggeber gemeldet und bzgl. möglicher funktionaler und sicherheitsrelevanter Auswirkungen bewertet werden. Der Umfang des Vulnerability-Managements umfasst jede potenzielle Schwachstelle, die möglicherweise Einfluss auf die Verfügbarkeit, Integrität und Vertraulichkeit der Vermögenswerte (materielle oder immaterielle) oder auf eine beim Auftraggeber operierende Dienstleistung des Auftragnehmers nehmen kann.
Methodik und Umfang. Jede ▇▇▇▇▇▇▇▇▇▇▇▇▇ muss vom Auftragnehmer an den Auftraggeber gemeldet und bzgl. möglicher funktionaler und sicherheitsrelevanter Auswirkungen bewertet werden. Zusätzlich sollen Schwachstellen auf technischer Ebene zum Beispiel nach CVSS2/CVSS3 oder einem Vergleichbaren System bewertet werden. Der Umfang des Vulnerability-Managements umfasst jede Schwachstelle, die möglicherweise Einfluss auf die Verfügbarkeit, Integrität oder Vertraulichkeit der Vermögenswerte (materielle oder immaterielle) oder auf eine beim Auftraggeber operierende Dienstleistung des Auftragnehmers nehmen kann. Bei Bewertung der Kritikalität nach CVSS2/CVSS3, sollte eine Einstufung der Schwachstellen in die Stufen „kritisch“, „hoch“, „mittel“ und „niedrig“ - angelehnt an die Einstufung des „National Institute of Standards and Technology“1 - erfolgen: 10 9.0-10.0 kritisch 7.0-9.9 7.0-8.9 hoch 4.0-6.9 4.0-6.9 mittel 0.0-3.9 0.0-3.9 niedrig