В предыдущей части этой статьи мы больше сосредоточились на стандарте ISO/IEC 29147 Информационные технологии — Методы обеспечения безопасности — Раскрытие уязвимостей. Напомню, что этот стандарт распространяется на поставщиков, которые решают выявить слабые места, чтобы снизить риск для пользователей продуктов и услуг.

Вторая часть, как было оговорено, будет посвящена стандарту ISO 30111 Информационные технологии – Методы обеспечения безопасности – Процессы обработки уязвимостей. Стандарт ISO 30111:2019 содержит требования и рекомендации по обработке и устранению заявленных потенциальных уязвимостей в безопасности продукта или услуги. Этот стандарт применяется к поставщикам, обрабатывающим уязвимости.

Стандарт ISO 30111 тесно связан со стандартом ISO/IEC 29147, интеграция стандартов учитывается при получении отчетов о потенциальных уязвимостях и при распространении информации об устранении уязвимостей.

Как видно из названия стандарта, этот документ описывает процессы, которые поставщики должны внедрить для обработки уязвимостей и предоставления отчетов о потенциальных уязвимостях в продуктах и ​​услугах.

ISO/IEC 30111 предоставляет руководство о том, как обращаться с информацией о потенциальных уязвимостях, о которых сообщают отдельные лица или организации, выявившие потенциальные уязвимости/уязвимости в онлайн-продукте или услуге, и как принимать решения об уязвимостях. Стандарт состоит из 8 разделов:

1. Область применения
2. Нормативные ссылки
3. Понятия и определения
4. Сокращения
5. Связь с другими международными стандартами
6. Политика и организационная структура
7. Процесс обработки уязвимостей
8. Вопросы цепочки поставок

Этот стандарт предназначен главным образом для разработчиков, поставщиков, оценщиков и пользователей ИТ-продуктов и услуг. Документ будет полезен следующим группам получателей:

– поставщикам и разработчикам, отвечающим на текущие или потенциальные отчеты об уязвимостях;

– оценщикам, в основном для оценки уровня безопасности и предоставления механизмов и процессов, связанных с обработкой уязвимостей поставщиками и Разработчики;

– пользователям для определения и передачи требований к закупкам разработчикам, поставщикам и интеграторам.

Стандарт ISO/IEC 30111 определяет процессы, которые обеспечат подготовку к тестированию и устранению потенциальных уязвимостей. Конечно же процессы должны быть задокументированы. Может появиться вопрос «Зачем?». Это очень просто — документирование процедур обработки уязвимостей помогает обеспечить их повторяемость. Документация может включать: политики, процедуры и методы, используемые для отслеживания всех зарегистрированных уязвимостей.

Помните, что процесс обработки уязвимостей следует не только внедрить, но и периодически оценивать, чтобы улучшить процесс наращивания потенциала и обеспечить ожидаемое завершение процесса.

Стоит сказать, что стандарт ISO 30111 связан не только со стандартом ISO/IEC 29147 по раскрытию уязвимостей, но и:

– со всеми частями ISO/IEC 27034 Информационные технологии – Безопасность приложений,

– ISO/IEC 27036-3 Информационные технологии. Методы обеспечения безопасности. Информационная безопасность в отношениях с поставщиками. Часть 3. Руководство по обеспечению безопасности цепочки поставок информационных и коммуникационных технологий,

– ISO/IEC 15408-3 Информационные технологии. Методы обеспечения безопасности. Критерии оценки безопасности ИТ. Часть 3. Элементы безопасности.

Использованные источники:

ISO / IEC 30111: 2019 Информационные технологии. Методы безопасности. Процессы обработки уязвимостей

ISO / IEC 29147: 2018 Информационные технологии. Методы безопасности. Раскрытие уязвимостей