В предыдущей части этой статьи мы больше сосредоточились на стандарте ISO/IEC 29147 Информационные технологии — Методы обеспечения безопасности — Раскрытие уязвимостей. Напомню, что этот стандарт распространяется на поставщиков, которые решают выявить слабые места, чтобы снизить риск для пользователей продуктов и услуг.
Вторая часть, как было оговорено, будет посвящена стандарту ISO 30111 Информационные технологии – Методы обеспечения безопасности – Процессы обработки уязвимостей. Стандарт ISO 30111:2019 содержит требования и рекомендации по обработке и устранению заявленных потенциальных уязвимостей в безопасности продукта или услуги. Этот стандарт применяется к поставщикам, обрабатывающим уязвимости.
Стандарт ISO 30111 тесно связан со стандартом ISO/IEC 29147, интеграция стандартов учитывается при получении отчетов о потенциальных уязвимостях и при распространении информации об устранении уязвимостей.
Как видно из названия стандарта, этот документ описывает процессы, которые поставщики должны внедрить для обработки уязвимостей и предоставления отчетов о потенциальных уязвимостях в продуктах и услугах.
ISO/IEC 30111 предоставляет руководство о том, как обращаться с информацией о потенциальных уязвимостях, о которых сообщают отдельные лица или организации, выявившие потенциальные уязвимости/уязвимости в онлайн-продукте или услуге, и как принимать решения об уязвимостях. Стандарт состоит из 8 разделов:
- Область применения
- Нормативные ссылки
- Понятия и определения
- Сокращения
- Связь с другими международными стандартами
- Политика и организационная структура
- Процесс обработки уязвимостей
- Вопросы цепочки поставок
Этот стандарт предназначен главным образом для разработчиков, поставщиков, оценщиков и пользователей ИТ-продуктов и услуг. Документ будет полезен следующим группам получателей:
– поставщикам и разработчикам, отвечающим на текущие или потенциальные отчеты об уязвимостях;
– оценщикам, в основном для оценки уровня безопасности и предоставления механизмов и процессов, связанных с обработкой уязвимостей поставщиками и Разработчики;
– пользователям для определения и передачи требований к закупкам разработчикам, поставщикам и интеграторам.
Стандарт ISO/IEC 30111 определяет процессы, которые обеспечат подготовку к тестированию и устранению потенциальных уязвимостей. Конечно же процессы должны быть задокументированы. Может появиться вопрос «Зачем?». Это очень просто — документирование процедур обработки уязвимостей помогает обеспечить их повторяемость. Документация может включать: политики, процедуры и методы, используемые для отслеживания всех зарегистрированных уязвимостей.
Помните, что процесс обработки уязвимостей следует не только внедрить, но и периодически оценивать, чтобы улучшить процесс наращивания потенциала и обеспечить ожидаемое завершение процесса.
Стоит сказать, что стандарт ISO 30111 связан не только со стандартом ISO/IEC 29147 по раскрытию уязвимостей, но и:
– со всеми частями ISO/IEC 27034 Информационные технологии – Безопасность приложений,
– ISO/IEC 27036-3 Информационные технологии. Методы обеспечения безопасности. Информационная безопасность в отношениях с поставщиками. Часть 3. Руководство по обеспечению безопасности цепочки поставок информационных и коммуникационных технологий,
– ISO/IEC 15408-3 Информационные технологии. Методы обеспечения безопасности. Критерии оценки безопасности ИТ. Часть 3. Элементы безопасности.
Использованные источники:
ISO / IEC 30111: 2019 Информационные технологии. Методы безопасности. Процессы обработки уязвимостей
ISO / IEC 29147: 2018 Информационные технологии. Методы безопасности. Раскрытие уязвимостей