Normy ISO/IEC 29147 oraz ISO 30111 zawierają przydatne wskazówki w zakresie ujawnień luk w zabezpieczeniach, m.in. dobre praktyki i przykłady, które można wykorzystać jako szablony.
Norma ISO/IEC 29147
Skupimy się tu właśnie na jednej z takich norm międzynarodowych, czyli na ISO/IEC 29147 Technika informatyczna – Techniki bezpieczeństwa – Ujawnianie podatności. Warto też wspomnieć o towarzyszącej jej normie ISO 30111 Technologia informacyjna – Techniki bezpieczeństwa – Procesy obsługi podatności, ale o niej będzie osobny artykuł. Także proszę śledzić nasze aktualności!
Norma ISO/IEC 29147 zawiera zalecenia dla dostawców dotyczące ujawniania luk w produktach i usługach. Po co to jest potrzebne? Zwrócimy się do normy ISO/IEC 27002 – Technika informatyczna – Techniki bezpieczeństwa – Praktyczne zasady zabezpieczania informacji, która mówi nam, że ujawnienie luki w zabezpieczeniach umożliwia użytkownikom techniczne zarządzanie podatnością na zagrożenia.
Chwileczkę, ale czym jest właściwie luka?
W kontekście technologii informatycznych i cyberbezpieczeństwa, luka w zabezpieczeniach to zachowanie lub zestaw warunków obecnych w systemie, produkcie, komponencie lub usłudze, które naruszają tajną lub jawną politykę bezpieczeństwa. Luka może być traktowana jako słabość lub ekspozycja, która może mieć wpływ na bezpieczeństwo lub pewne konsekwencje. Atakujący wykorzystują luki w zabezpieczeniach, aby naruszyć poufność, integralność, dostępność, działanie lub inne właściwości bezpieczeństwa.
Luki często wynikają z awarii programu lub systemu, jako skutek obsługi niezaufanych lub nieoczekiwanych danych wejściowych. Przyczyny, które prowadzą do luk w zabezpieczeniach, obejmują błędy w kodowaniu lub konfiguracji, przeoczenia dotyczące wyborów projektowych oraz niezabezpieczone specyfikacje protokołów i formatów.
Termin „ujawnienie luki w zabezpieczeniach” jest używany do opisania ogólnych działań związanych z otrzymywaniem raportów o lukach w zabezpieczeniach i dostarczaniem informacji o środkach zaradczych. Dodatkowe czynności, takie jak badanie i ustalanie priorytetów raportów, opracowywanie, testowanie i wdrażanie środków zaradczych oraz ulepszanie bezpiecznego rozwoju, nazywane są „obsługą luk w zabezpieczeniach” i są opisane w normie ISO/IEC 30111.
Ujawnienie luki w zabezpieczeniach:
- pomaga chronić dane i systemy
- określać priorytety w przeznaczeniu zasobów na bezpieczeństwo informacji
- usprawnia proces zarządzania ryzykiem.
Celem ujawnienia podatności na zagrożenia jest w pierwszej kolejności zmniejszenie ryzyka związanego z wykorzystaniem luk w zabezpieczeniach. Skoordynowane ujawnianie podatności jest szczególnie ważne, gdy dotyczy to wielu dostawców. W normie ISO/IEC 29147 zawarte są:
- terminy i definicje specyficzne dla ujawnienia podatności;
- przeglądy koncepcji ujawnienia podatności;
- wytyczne dotyczące otrzymywania raportów o potencjalnych słabych punktach;
- wytyczne dotyczące ujawniania informacji o usuwaniu podatności na zagrożenia;
- techniki i polityki dotyczące ujawniania podatności;
- konkretne przykłady technik i polityk (Załącznik A), a także komunikacji (Załącznik B).
Norma ISO 30111
Norma ISO 30111:2019 (PN-EN ISO 30111:2020) Technologia informacyjna — Techniki bezpieczeństwa — Procesy obsługi podatności zawiera wymagania i zalecenia dotyczące sposobu przetwarzania i usuwania zgłoszonych potencjalnych podatności (luk) w zabezpieczeniach produktu lub usługi. Dana norma dotyczy dostawców zajmujących się obsługą luk w zabezpieczeniach.
Norma ISO 30111 jest mocno powiązania z normą ISO/IEC 29147, integracja norm jest uwzględnione w momencie otrzymywania raportów o potencjalnych podatnościach oraz w momencie rozpowszechniania informacji o naprawie podatności.
Jak widzimy z tytułu normy w tym dokumencie opisano procesy, które dostawcy mają wprowadzić w celu obsługi podatności i raportów o potencjalnych lukach w zabezpieczeniach produktów i usług.
ISO/IEC 30111 zawiera wytyczne dotyczące postępowania z informacjami o potencjalnych lukach zgłoszonych przez osoby lub organizacje, które zidentyfikowały potencjalne luki/podatności w produkcie lub usłudze online oraz sposób decydowania o podatnościach. Norma składa się z 8 rozdziałów:
- Zakres
- Odniesienia normatywne
- Terminy i definicje
- Skrócone terminy
- Powiązania z innymi normami międzynarodowymi
- Polityka i ramy organizacyjne
- Proces obsługi podatności
- Uwagi dotyczące łańcucha dostaw
Odbiorcami tego dokumentu są programiści, dostawcy, oceniający oraz użytkownicy produktów i usług informatycznych. Pomocnym ten dokument będzie dla następujących grup odbiorców:
- dostawcy i deweloperzy, odpowiadające na aktualne lub potencjalne zgłoszenia podatności;
- ewaluatorzy, głównie do oceny poziomu bezpieczeństwa oraz zapewnienia mechanizmów, procesów związanych z obsługą podatności przez dostawców i deweloperów;
- użytkownicy, żeby określić i przekazać wymagania dotyczące zamówień deweloperom, sprzedawcom i integratorom.
Norma ISO/IEC 30111 określa procesy, które zapewnią przygotowanie na zbadanie i wyeliminowanie potencjalnych podatności. Oczywiście procesy mają zostać udokumentowane. Może pojawić się pytanie „Dlaczego?”. To jest bardzo proste – zadokumentowanie swoich procedur obsługi luk w zabezpieczeniach służy zapewnieniu ich powtarzalności. Dokumentacja może zawierać: polityki, procedury i metody wykorzystywane do śledzenia wszystkich zgłoszonych podatności.
Pamjętajcie, że proces obsługi podatności powinien być nie tylko wdrożony, ale również okresowo oceniany w celu usprawnienia procesu budowania potencjału i zapewnienia oczekiwanej realizacji procesu.
Warto powiedzieć, że norma ISO 30111 jest powiązana nie tylko z norma ISO/IEC 29147 dotycząca ujawnienia podatności, ale również:
- ze wszystkimi częściami ISO/IEC 27034 Technologia informatyczna – Bezpieczeństwo aplikacji,
- ISO/IEC 27036-3 Technologia informacyjna – Techniki bezpieczeństwa – Bezpieczeństwo informacji w relacjach z dostawcami – Część 3: Wytyczne dotyczące bezpieczeństwa łańcucha dostaw technologii informacyjnej i komunikacyjnej,
- ISO/IEC 15408-3 Technologia informacyjna — Techniki bezpieczeństwa — Kryteria oceny bezpieczeństwa IT — Część 3: Elementy zapewniania bezpieczeństwa.