В предыдущей части статьи мы больше сосредоточились на ISO/IEC 29147 Информационные технологии — Методы обеспечения безопасности — Раскрытие уязвимостей. Напомню, что этот стандарт распространяется на поставщиков, которые решают раскрыть уязвимости, чтобы снизить риск для пользователей продуктов и услуг поставщиков.

Вторая часть, как было объявлено, будет касаться стандарта ISO 30111 «Информационные технологии — Методы обеспечения безопасности — Процессы устранения уязвимостей». Стандарт ISO 30111:2019 (PN-EN ISO 30111:2020) содержит требования и рекомендации по обработке и устранению заявленных потенциальных уязвимостей в безопасности продукта или услуги. Этот стандарт применяется к поставщикам.

Стандарт ISO 30111 тесно связан со стандартом ISO/IEC 29147, интеграция стандартов рассматривается при получении отчетов о потенциальных уязвимостях и при распространении информации об устранении уязвимостей.

Zobacz podobne  Информационная безопасность в телекоммуникационных организациях, стандарт ISO/IEC 27011

Как видно из названия стандарта, этот документ описывает процессы, которые поставщики должны внедрить для обработки уязвимостей и отчетов о потенциальных уязвимостях в продуктах и ​​услугах.

ISO/IEC 30111 предоставляет руководство о том, как обрабатывать информацию о потенциальных уязвимостях, о которых сообщают отдельные лица или организации, выявившие потенциальные уязвимости в продукте или онлайн-сервисе, и как принимать решения об уязвимостях. Стандарт состоит из 8 глав:

  1. Диапазон
  2. Нормативные ссылки
  3. Понятия и определения
  4. Сокращенные сроки
  5. Связи с другими международными стандартами
  6. Политика и организационная структура
  7. Процесс обработки уязвимостей
  8. Вопросы цепочки поставок

Получателями этого документа являются разработчики, поставщики, оценщики и пользователи ИТ-продуктов и услуг. Этот документ будет полезен следующим аудиториям:

Zobacz podobne  Уязвимости безопасности и их раскрытие. Обзор ISO/IEC 29147 и ISO 30111. Часть 2

– ответы поставщиков и разработчиков на сообщения о реальных или потенциальных уязвимостях;

– оценщики, в основном для оценки уровня безопасности и обеспечения механизмов и процессов, связанных с обработкой уязвимостей поставщиками и разработчиками;

– Пользователи могут указывать и сообщать требования о закупках разработчикам, торговым посредникам и интеграторам.

Стандарт ISO/IEC 30111 определяет процессы, которые обеспечат подготовку к расследованию и устранению потенциальных уязвимостей. Конечно, процессы должны быть задокументированы. Может возникнуть вопрос «Почему?». Это очень просто — документирование ваших процедур обработки уязвимостей должно обеспечить повторяемость. Документация может включать: политики, процедуры и методы, используемые для отслеживания всех зарегистрированных уязвимостей.

Помните, что процесс обработки уязвимостей должен быть не только реализован, но и периодически оцениваться для улучшения процесса наращивания потенциала и обеспечения ожидаемого выполнения процесса.

Zobacz podobne  Информационная безопасность, кибербезопасность и серия стандартов IEC 62443

Стоит сказать, что стандарт ISO 30111 связан не только со стандартом ISO/IEC 29147 по раскрытию уязвимостей, но и:

– со всеми частями ISO/IEC 27034 Информационные технологии – Безопасность приложений,

– ISO/IEC 27036-3 Информационные технологии. Методы обеспечения безопасности. Информационная безопасность в отношениях с поставщиками. Часть 3. Руководство по обеспечению безопасности цепи поставок информационно-коммуникационных технологий.

– ISO/IEC 15408-3 Информационные технологии. Методы обеспечения безопасности. Критерии оценки безопасности ИТ. Часть 3. Элементы обеспечения безопасности.

 

Использованные источники:

ISO/IEC 30111:2019 Информационные технологии. Методы обеспечения безопасности. Процессы обработки уязвимостей

ISO/IEC 29147:2018 Информационные технологии. Методы обеспечения безопасности. Раскрытие информации об уязвимостях

 

Прокрутить вверх