BES.5.10.3.1 — Schwachstellenmeldeprozess
KANN
Security level: erhöht
Effort 5
BSI-Stand-der-Technik-Kernel
Sub-control of BES.5.10.3
Statement (Anforderung)
Beschaffungsmanagement für IT-Produkte KANN einen Schwachstellenmeldeprozess nach einem anerkannten Standard vereinbaren.
Guidance (Erläuterung)
Die Anforderung ist erfüllt, wenn der Prozess zur Meldung und Behandlung von Schwachstellen für das zu beschaffende Produkt vertraglich zugesichert ist, unabhängig von der Frage durch wen die Klausel in den Vertrag eingebracht wurde. Der Schwachstellenmeldeprozess kann direkt durch den Lieferanten oder durch Weitergabe der Verpflichtung an den Hersteller gewährleistet sein. Für Details siehe BSI TR-03183-3.
Tags:
Lieferketten
Statement properties
| Name | Value |
|---|---|
| target_object_categories | IT-Produkte |
| documentation | Beschaffungskriterien |
| result | einen Schwachstellenmeldeprozess |
| result_specification | nach {{einem anerkannten Standard}} |
| action_word | vereinbaren |
| modal_verb | KANN |
Control properties
| Name | Value |
|---|---|
| alt-identifier | ebc08e41-e728-4447-93fa-233fbad7f2fa |
| sec_level | erhöht |
| effort_level | 5 |
| tags | Lieferketten |
Parameters
| ID | Label | Values |
|---|---|---|
| bes.5.10.3.1-prm1 | einem anerkannten Standard |
Raw OSCAL JSON (complete control)
{
"class": "BSI-Stand-der-Technik-Kernel",
"id": "BES.5.10.3.1",
"params": [
{
"id": "bes.5.10.3.1-prm1",
"label": "einem anerkannten Standard",
"props": [
{
"name": "alt-identifier",
"value": "ebc08e41-e728-4447-93fa-233fbad7f2fa"
}
]
}
],
"parts": [
{
"id": "BES.5.10.3.1_stm",
"name": "statement",
"props": [
{
"name": "target_object_categories",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv",
"value": "IT-Produkte"
},
{
"name": "documentation",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
"value": "Beschaffungskriterien"
},
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "einen Schwachstellenmeldeprozess"
},
{
"name": "result_specification",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "nach {{einem anerkannten Standard}}"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "vereinbaren"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "KANN"
}
],
"prose": "Beschaffungsmanagement für IT-Produkte KANN einen Schwachstellenmeldeprozess nach {{ insert: param, bes.5.10.3.1-prm1 }} vereinbaren."
},
{
"id": "BES.5.10.3.1_gdn",
"name": "guidance",
"prose": "Die Anforderung ist erfüllt, wenn der Prozess zur Meldung und Behandlung von Schwachstellen für das zu beschaffende Produkt vertraglich zugesichert ist, unabhängig von der Frage durch wen die Klausel in den Vertrag eingebracht wurde. Der Schwachstellenmeldeprozess kann direkt durch den Lieferanten oder durch Weitergabe der Verpflichtung an den Hersteller gewährleistet sein. Für Details siehe BSI TR-03183-3."
}
],
"props": [
{
"name": "alt-identifier",
"value": "ebc08e41-e728-4447-93fa-233fbad7f2fa"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "erhöht"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "5"
},
{
"name": "tags",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv",
"value": "Lieferketten"
}
],
"title": "Schwachstellenmeldeprozess"
}