На нашем сайте мы много рассказываем о стандартах, которые содержат требования и чаще всего подлежат сертификации или аккредитации. Однако многие стандарты содержат передовой опыт и ценные рекомендации для организации.
В этой статье мы остановимся на одном из таких международных стандартов, которым будет ISO/IEC 29147 Информационные технологии – Методы обеспечения безопасности – Раскрытие уязвимостей. Также стоит упомянуть сопутствующий стандарт ISO 30111. Информационные технологии — Методы безопасности — Процессы работы с уязвимостями, но о нем будет отдельная статья. Также следите за нашими новостями!
ISO/IEC 29147 и ISO 30111 содержат полезные рекомендации по раскрытию информации об уязвимостях, в т.ч. передовой опыт и примеры, которые можно использовать в качестве шаблонов.
ISO/IEC 29147 содержит рекомендации для поставщиков по раскрытию информации об уязвимостях продуктов и услуг. Для чего это? Если обратиться к ISO/IEC 27002 — Информационные технологии — Методы обеспечения безопасности — Практики информационной безопасности, в котором говорится, что раскрытие уязвимости безопасности позволяет пользователям технически управлять уязвимостью.
Подождите минутку, а что такое уязвимость?
В контексте информационных технологий и кибербезопасности уязвимость системы безопасности — это поведение или набор условий, присутствующих в системе, продукте, компоненте или услуге, которые нарушают секретную или явную политику безопасности. Уязвимость можно рассматривать как слабость, которая может повлиять на безопасность или иметь некоторые последствия. Злоумышленники используют уязвимости для нарушения конфиденциальности, целостности, доступности, производительности или других свойств безопасности.
Уязвимости часто возникают из-за сбоев программы или системы в результате обработки ненадежных или неожиданных входных данных. Причины, которые приводят к уязвимостям безопасности, включают ошибки кодирования или конфигурации, упущения в выборе дизайна и незащищенные спецификации протокола и формата.
Термин «раскрытие уязвимостей» используется для описания общих действий, связанных с получением отчетов об уязвимостях и предоставлением информации о мерах противодействия. Дополнительные действия, такие как изучение и приоритизация отчетов, разработка, тестирование и реализация контрмер, а также улучшение безопасной разработки, называются «обработкой уязвимостей» и описаны в ISO/IEC 30111.
Раскрытие уязвимости безопасности:
– помогает защитить данные и системы
– приоритизировать выделение ресурсов на информационную безопасность
– улучшает процесс управления рисками.
Цель раскрытия уязвимости состоит в первую очередь в снижении риска использования уязвимости. Скоординированное раскрытие информации об уязвимостях особенно важно, когда речь идет о нескольких поставщиках. Стандарт ISO/IEC 29147 включает:
– термины и определения, относящиеся к раскрытию уязвимостей;
– обзоры концепции раскрытия уязвимостей;
– руководство по получению отчетов о потенциальных недостатках;
– руководство по раскрытию уязвимостей;
– методы и политики раскрытия уязвимостей;
– конкретные примеры методов и политики (Приложение A) и коммуникации (Приложение B).
Другие сопутствующие действия, происходящие между получением и раскрытием отчетов об уязвимостях, описаны в стандарте ISO 30111, о котором мы поговорим в следующей статье.
Использованные источники:
ISO / IEC 29147: 2018 Информационные технологии. Методы безопасности. Раскрытие уязвимостей
ISO / IEC 30111: 2019 Информационные технологии. Методы безопасности. Процессы обработки уязвимостей