Luki w zabezpieczeniach oraz ich ujawnienie. Przegląd norm ISO/IEC 29147 oraz ISO 30111. część 2

Luki w zabezpieczeniach oraz ich ujawnienie.
Przegląd norm ISO/IEC 29147 oraz ISO 30111. część 2

W poprzedniej części artykułu skupiliśmy się bardziej na normie ISO/IEC 29147 Technika informatyczna – Techniki bezpieczeństwa – Ujawnianie podatności. Przypomnę, że dotyczy ta norma dostawców, którzy decydują się na ujawnianie słabych punktów, aby zmniejszyć ryzyko dla użytkowników produktów i usług dostawców.

Część druga, jak było zapowiedziano będzie dotyczyła normy ISO 30111 Technologia informacyjna — Techniki bezpieczeństwa — Procesy obsługi podatności. Norma ISO 30111:2019 (PN-EN ISO 30111:2020) zawiera wymagania i zalecenia dotyczące sposobu przetwarzania i usuwania zgłoszonych potencjalnych podatności (luk) w zabezpieczeniach produktu lub usługi. Dana norma dotyczy dostawców zajmujących się obsługą luk w zabezpieczeniach.

Norma ISO 30111 jest mocno powiązania z normą ISO/IEC 29147, integracja norm jest uwzględnione w momencie otrzymywania raportów o potencjalnych podatnościach oraz w momencie rozpowszechniania informacji o naprawie podatności.

Jak widzimy z tytułu normy w tym dokumencie opisano procesy, które dostawcy mają wprowadzić w celu obsługi podatności i raportów o potencjalnych lukach w zabezpieczeniach produktów i usług.

ISO/IEC 30111 zawiera wytyczne dotyczące postępowania z informacjami o potencjalnych lukach zgłoszonych przez osoby lub organizacje, które zidentyfikowały potencjalne luki/podatności w produkcie lub usłudze online oraz sposób decydowania o podatnościach. Norma składa się z 8 rozdziałów:

  1. Zakres
  2. Odniesienia normatywne
  3. Terminy i definicje
  4. Skrócone terminy
  5. Powiązania z innymi normami międzynarodowymi
  6. Polityka i ramy organizacyjne
  7. Proces obsługi podatności
  8. Uwagi dotyczące łańcucha dostaw

Odbiorcami tego dokumentu są programiści, dostawcy, oceniający oraz użytkownicy produktów i usług informatycznych. Pomocnym ten dokument będzie dla następujących grup odbiorców:

— dostawcy i deweloperzy, odpowiadające na aktualne lub potencjalne zgłoszenia podatności;

— ewaluatorzy, głównie do oceny poziomu bezpieczeństwa oraz zapewnienia mechanizmów, procesów związanych z obsługą podatności przez dostawców i deweloperów;

— użytkownicy, żeby określić i przekazać wymagania dotyczące zamówień deweloperom, sprzedawcom i integratorom.

Norma ISO/IEC 30111 określa procesy, które zapewnią przygotowanie na zbadanie i wyeliminowanie potencjalnych podatności. Oczywiście procesy mają zostać udokumentowane. Może pojawić się pytanie „Dlaczego?”. To jest bardzo proste – zadokumentowanie swoich procedur obsługi luk w zabezpieczeniach służy zapewnieniu ich powtarzalności. Dokumentacja może zawierać: polityki, procedury i metody wykorzystywane do śledzenia wszystkich zgłoszonych podatności.

Pamjętajcie, że proces obsługi podatności powinien być nie tylko wdrożony, ale również okresowo oceniany w celu usprawnienia procesu budowania potencjału i zapewnienia oczekiwanej realizacji procesu.

Warto powiedzieć, że norma ISO 30111 jest powiązana nie tylko z norma ISO/IEC 29147 dotycząca ujawnienia podatności, ale również:

– ze wszystkimi częściami ISO/IEC 27034 Technologia informatyczna – Bezpieczeństwo aplikacji,

– ISO/IEC 27036-3 Technologia informacyjna – Techniki bezpieczeństwa – Bezpieczeństwo informacji w relacjach z dostawcami – Część 3: Wytyczne dotyczące bezpieczeństwa łańcucha dostaw technologii informacyjnej i komunikacyjnej,

– ISO/IEC 15408-3 Technologia informacyjna — Techniki bezpieczeństwa — Kryteria oceny bezpieczeństwa IT — Część 3: Elementy zapewniania bezpieczeństwa.

Wykorzystane źródła:

ISO/IEC 30111:2019 Information technology — Security techniques — Vulnerability handling processes

ISO/IEC 29147:2018 Information technology — Security techniques — Vulnerability disclosure

Scroll to Top