Luki w zabezpieczeniach oraz ich ujawnienie.
Przegląd norm ISO/IEC 29147 oraz ISO 30111
Na naszej stronie internetowej ikmj.com dużo mówimy o normach, które zawierają wymagania i najczęściej podlegają certyfikacji lub akredytacji. Jednak sporo norm zawiera dobre praktyki i cenne wskazówki dla organizacji.
W tym artykule skupimy się właśnie na jednej z takich norm międzynarodowych, a będzie to norma ISO/IEC 29147 Technika informatyczna – Techniki bezpieczeństwa – Ujawnianie podatności. Warto też wspomnieć o towarzyszącej jej normie ISO 30111 Technologia informacyjna – Techniki bezpieczeństwa – Procesy obsługi podatności, ale o niej będzie osobny artykuł. Także proszę śledzić nasze aktualności!
Normy ISO/IEC 29147 oraz ISO 30111 zawierają przydatne wskazówki w zakresie ujawnień luk w zabezpieczeniach, m.in. dobre praktyki i przykłady, które można wykorzystać jako szablony.
Norma ISO/IEC 29147 zawiera zalecenia dla dostawców dotyczące ujawniania luk w produktach i usługach. Po co to jest potrzebne? Zwrócimy się do normy ISO/IEC 27002 – Technika informatyczna – Techniki bezpieczeństwa – Praktyczne zasady zabezpieczania informacji, która mówi nam, że ujawnienie luki w zabezpieczeniach umożliwia użytkownikom techniczne zarządzanie podatnością na zagrożenia.
Chwileczkę, ale czym jest właściwie luka?
W kontekście technologii informatycznych i cyberbezpieczeństwa, luka w zabezpieczeniach to zachowanie lub zestaw warunków obecnych w systemie, produkcie, komponencie lub usłudze, które naruszają tajną lub jawną politykę bezpieczeństwa. Luka może być traktowana jako słabość lub ekspozycja, która może mieć wpływ na bezpieczeństwo lub pewne konsekwencje. Atakujący wykorzystują luki w zabezpieczeniach, aby naruszyć poufność, integralność, dostępność, działanie lub inne właściwości bezpieczeństwa.
Luki często wynikają z awarii programu lub systemu, jako skutek obsługi niezaufanych lub nieoczekiwanych danych wejściowych. Przyczyny, które prowadzą do luk w zabezpieczeniach, obejmują błędy w kodowaniu lub konfiguracji, przeoczenia dotyczące wyborów projektowych oraz niezabezpieczone specyfikacje protokołów i formatów.
Termin „ujawnienie luki w zabezpieczeniach” jest używany do opisania ogólnych działań związanych z otrzymywaniem raportów o lukach w zabezpieczeniach i dostarczaniem informacji o środkach zaradczych. Dodatkowe czynności, takie jak badanie i ustalanie priorytetów raportów, opracowywanie, testowanie i wdrażanie środków zaradczych oraz ulepszanie bezpiecznego rozwoju, nazywane są „obsługą luk w zabezpieczeniach” i są opisane w normie ISO/IEC 30111.
Ujawnienie luki w zabezpieczeniach:
– pomaga chronić dane i systemy
– określać priorytety w przeznaczeniu zasobów na bezpieczeństwo informacji
– usprawnia proces zarządzania ryzykiem.
Celem ujawnienia podatności na zagrożenia jest w pierwszej kolejności zmniejszenie ryzyka związanego z wykorzystaniem luk w zabezpieczeniach. Skoordynowane ujawnianie podatności jest szczególnie ważne, gdy dotyczy to wielu dostawców. W normie ISO/IEC 29147 zawarte są:
– terminy i definicje specyficzne dla ujawnienia podatności;
– przeglądy koncepcji ujawnienia podatności;
– wytyczne dotyczące otrzymywania raportów o potencjalnych słabych punktach;
– wytyczne dotyczące ujawniania informacji o usuwaniu podatności na zagrożenia;
– techniki i polityki dotyczące ujawniania podatności;
– konkretne przykłady technik i polityk (Załącznik A), a także komunikacji (Załącznik B).
Inne powiązane działania, które mają miejsce między otrzymywaniem a ujawnianiem raportów podatności, są opisane w normie ISO 30111, o której opowiemy w następnym artykule.
CZĘŚĆ II
Autor: Maryna Kuczyńska (5654)
Wykorzystane źródła:
ISO/IEC 29147:2018 Information technology — Security techniques — Vulnerability disclosure
ISO/IEC 30111:2019 Information technology — Security techniques — Vulnerability handling processes
Masz pytania związane z Systemem Zarządzania? Koniecznie dołącz do grupy na Facebooku ISO Poland. Twoje pytania na pewno nie zostaną bez odpowiedzi.