Luki w zabezpieczeniach oraz ich ujawnienie.
Przegląd norm ISO/IEC 29147 oraz ISO 30111. część 2
W poprzedniej części artykułu skupiliśmy się bardziej na normie ISO/IEC 29147 Technika informatyczna – Techniki bezpieczeństwa – Ujawnianie podatności. Przypomnę, że dotyczy ta norma dostawców, którzy decydują się na ujawnianie słabych punktów, aby zmniejszyć ryzyko dla użytkowników produktów i usług dostawców.
Część druga, jak było zapowiedziano będzie dotyczyła normy ISO 30111 Technologia informacyjna — Techniki bezpieczeństwa — Procesy obsługi podatności. Norma ISO 30111:2019 (PN-EN ISO 30111:2020) zawiera wymagania i zalecenia dotyczące sposobu przetwarzania i usuwania zgłoszonych potencjalnych podatności (luk) w zabezpieczeniach produktu lub usługi. Dana norma dotyczy dostawców zajmujących się obsługą luk w zabezpieczeniach.
Norma ISO 30111 jest mocno powiązania z normą ISO/IEC 29147, integracja norm jest uwzględnione w momencie otrzymywania raportów o potencjalnych podatnościach oraz w momencie rozpowszechniania informacji o naprawie podatności.
Jak widzimy z tytułu normy w tym dokumencie opisano procesy, które dostawcy mają wprowadzić w celu obsługi podatności i raportów o potencjalnych lukach w zabezpieczeniach produktów i usług.
ISO/IEC 30111 zawiera wytyczne dotyczące postępowania z informacjami o potencjalnych lukach zgłoszonych przez osoby lub organizacje, które zidentyfikowały potencjalne luki/podatności w produkcie lub usłudze online oraz sposób decydowania o podatnościach. Norma składa się z 8 rozdziałów:
- Zakres
- Odniesienia normatywne
- Terminy i definicje
- Skrócone terminy
- Powiązania z innymi normami międzynarodowymi
- Polityka i ramy organizacyjne
- Proces obsługi podatności
- Uwagi dotyczące łańcucha dostaw
Odbiorcami tego dokumentu są programiści, dostawcy, oceniający oraz użytkownicy produktów i usług informatycznych. Pomocnym ten dokument będzie dla następujących grup odbiorców:
— dostawcy i deweloperzy, odpowiadające na aktualne lub potencjalne zgłoszenia podatności;
— ewaluatorzy, głównie do oceny poziomu bezpieczeństwa oraz zapewnienia mechanizmów, procesów związanych z obsługą podatności przez dostawców i deweloperów;
— użytkownicy, żeby określić i przekazać wymagania dotyczące zamówień deweloperom, sprzedawcom i integratorom.
Norma ISO/IEC 30111 określa procesy, które zapewnią przygotowanie na zbadanie i wyeliminowanie potencjalnych podatności. Oczywiście procesy mają zostać udokumentowane. Może pojawić się pytanie „Dlaczego?”. To jest bardzo proste – zadokumentowanie swoich procedur obsługi luk w zabezpieczeniach służy zapewnieniu ich powtarzalności. Dokumentacja może zawierać: polityki, procedury i metody wykorzystywane do śledzenia wszystkich zgłoszonych podatności.
Pamjętajcie, że proces obsługi podatności powinien być nie tylko wdrożony, ale również okresowo oceniany w celu usprawnienia procesu budowania potencjału i zapewnienia oczekiwanej realizacji procesu.
Warto powiedzieć, że norma ISO 30111 jest powiązana nie tylko z norma ISO/IEC 29147 dotycząca ujawnienia podatności, ale również:
– ze wszystkimi częściami ISO/IEC 27034 Technologia informatyczna – Bezpieczeństwo aplikacji,
– ISO/IEC 27036-3 Technologia informacyjna – Techniki bezpieczeństwa – Bezpieczeństwo informacji w relacjach z dostawcami – Część 3: Wytyczne dotyczące bezpieczeństwa łańcucha dostaw technologii informacyjnej i komunikacyjnej,
– ISO/IEC 15408-3 Technologia informacyjna — Techniki bezpieczeństwa — Kryteria oceny bezpieczeństwa IT — Część 3: Elementy zapewniania bezpieczeństwa.
Wykorzystane źródła:
ISO/IEC 30111:2019 Information technology — Security techniques — Vulnerability handling processes
ISO/IEC 29147:2018 Information technology — Security techniques — Vulnerability disclosure