Luki w zabezpieczeniach oraz ich ujawnienie. Przegląd norm ISO/IEC 29147 oraz ISO 30111. część 2

Luki w zabezpieczeniach oraz ich ujawnienie.
Przegląd norm ISO/IEC 29147 oraz ISO 30111

Na naszej stronie internetowej ikmj.com dużo mówimy o normach, które zawierają wymagania i najczęściej podlegają certyfikacji lub akredytacji. Jednak sporo norm zawiera dobre praktyki i cenne wskazówki dla organizacji.

W tym artykule skupimy się właśnie na jednej z takich norm międzynarodowych, a będzie to norma  ISO/IEC 29147 Technika informatyczna – Techniki bezpieczeństwa – Ujawnianie podatności. Warto też wspomnieć o towarzyszącej jej normie ISO 30111 Technologia informacyjna – Techniki bezpieczeństwa – Procesy obsługi podatności, ale o niej będzie osobny artykuł. Także proszę śledzić nasze aktualności!

Normy ISO/IEC 29147 oraz ISO 30111 zawierają przydatne wskazówki w zakresie ujawnień luk w zabezpieczeniach, m.in. dobre praktyki i przykłady, które można wykorzystać jako szablony.

Norma ISO/IEC 29147 zawiera zalecenia dla dostawców dotyczące ujawniania luk w produktach i usługach. Po co to jest potrzebne? Zwrócimy się do normy ISO/IEC 27002 – Technika informatyczna – Techniki bezpieczeństwa – Praktyczne zasady zabezpieczania informacji, która mówi nam, że ujawnienie luki w zabezpieczeniach umożliwia użytkownikom techniczne zarządzanie podatnością na zagrożenia.

Zobacz podobne  Bezpieczeństwo informacji, Cyberbezpieczeństwo a seria norm IEC 62443

Chwileczkę, ale czym jest właściwie luka?

W kontekście technologii informatycznych i cyberbezpieczeństwa, luka w zabezpieczeniach to zachowanie lub zestaw warunków obecnych w systemie, produkcie, komponencie lub usłudze, które naruszają tajną lub jawną politykę bezpieczeństwa. Luka może być traktowana jako słabość lub ekspozycja, która może mieć wpływ na bezpieczeństwo lub pewne konsekwencje. Atakujący wykorzystują luki w zabezpieczeniach, aby naruszyć poufność, integralność, dostępność, działanie lub inne właściwości bezpieczeństwa.

Luki często wynikają z awarii programu lub systemu, jako skutek obsługi niezaufanych lub nieoczekiwanych danych wejściowych. Przyczyny, które prowadzą do luk w zabezpieczeniach, obejmują błędy w kodowaniu lub konfiguracji, przeoczenia dotyczące wyborów projektowych oraz niezabezpieczone specyfikacje protokołów i formatów.

Termin „ujawnienie luki w zabezpieczeniach” jest używany do opisania ogólnych działań związanych z otrzymywaniem raportów o lukach w zabezpieczeniach i dostarczaniem informacji o środkach zaradczych. Dodatkowe czynności, takie jak badanie i ustalanie priorytetów raportów, opracowywanie, testowanie i wdrażanie środków zaradczych oraz ulepszanie bezpiecznego rozwoju, nazywane są „obsługą luk w zabezpieczeniach” i są opisane w normie ISO/IEC 30111.

Zobacz podobne  Jak zarządzać zgodnością? System Zarządzania Zgodnością w oparciu o ISO 37301

Ujawnienie luki w zabezpieczeniach:

– pomaga chronić dane i systemy

– określać priorytety w przeznaczeniu zasobów na bezpieczeństwo informacji

– usprawnia proces zarządzania ryzykiem.

Celem ujawnienia podatności na zagrożenia jest w pierwszej kolejności zmniejszenie ryzyka związanego z wykorzystaniem luk w zabezpieczeniach. Skoordynowane ujawnianie podatności jest szczególnie ważne, gdy dotyczy to wielu dostawców. W normie ISO/IEC 29147 zawarte są:

– terminy i definicje specyficzne dla ujawnienia podatności;

– przeglądy koncepcji ujawnienia podatności;

– wytyczne dotyczące otrzymywania raportów o potencjalnych słabych punktach;

– wytyczne dotyczące ujawniania informacji o usuwaniu podatności na zagrożenia;

– techniki i polityki dotyczące ujawniania podatności;

– konkretne przykłady technik i polityk (Załącznik A), a także komunikacji (Załącznik B).

Inne powiązane działania, które mają miejsce między otrzymywaniem a ujawnianiem raportów podatności, są opisane w normie ISO 30111, o której opowiemy w następnym artykule.

Zobacz podobne  Co powinno zawierać raportowanie ESG?

CZĘŚĆ II

Autor: Maryna Kuczyńska (5654)

Wykorzystane źródła:

ISO/IEC 29147:2018 Information technology — Security techniques — Vulnerability disclosure

ISO/IEC 30111:2019 Information technology — Security techniques — Vulnerability handling processes

 

 


 

Masz pytania związane z Systemem  Zarządzania? Koniecznie dołącz do grupy na Facebooku ISO Poland. Twoje pytania na pewno nie zostaną bez odpowiedzi.

 

 

Scroll to Top