В предыдущей части статьи мы больше сосредоточились на ISO/IEC 29147 Информационные технологии — Методы обеспечения безопасности — Раскрытие уязвимостей. Напомню, что этот стандарт распространяется на поставщиков, которые решают раскрыть уязвимости, чтобы снизить риск для пользователей продуктов и услуг поставщиков.
Вторая часть, как было объявлено, будет касаться стандарта ISO 30111 «Информационные технологии — Методы обеспечения безопасности — Процессы устранения уязвимостей». Стандарт ISO 30111:2019 (PN-EN ISO 30111:2020) содержит требования и рекомендации по обработке и устранению заявленных потенциальных уязвимостей в безопасности продукта или услуги. Этот стандарт применяется к поставщикам.
Стандарт ISO 30111 тесно связан со стандартом ISO/IEC 29147, интеграция стандартов рассматривается при получении отчетов о потенциальных уязвимостях и при распространении информации об устранении уязвимостей.
Как видно из названия стандарта, этот документ описывает процессы, которые поставщики должны внедрить для обработки уязвимостей и отчетов о потенциальных уязвимостях в продуктах и услугах.
ISO/IEC 30111 предоставляет руководство о том, как обрабатывать информацию о потенциальных уязвимостях, о которых сообщают отдельные лица или организации, выявившие потенциальные уязвимости в продукте или онлайн-сервисе, и как принимать решения об уязвимостях. Стандарт состоит из 8 глав:
- Диапазон
- Нормативные ссылки
- Понятия и определения
- Сокращенные сроки
- Связи с другими международными стандартами
- Политика и организационная структура
- Процесс обработки уязвимостей
- Вопросы цепочки поставок
Получателями этого документа являются разработчики, поставщики, оценщики и пользователи ИТ-продуктов и услуг. Этот документ будет полезен следующим аудиториям:
– ответы поставщиков и разработчиков на сообщения о реальных или потенциальных уязвимостях;
– оценщики, в основном для оценки уровня безопасности и обеспечения механизмов и процессов, связанных с обработкой уязвимостей поставщиками и разработчиками;
– Пользователи могут указывать и сообщать требования о закупках разработчикам, торговым посредникам и интеграторам.
Стандарт ISO/IEC 30111 определяет процессы, которые обеспечат подготовку к расследованию и устранению потенциальных уязвимостей. Конечно, процессы должны быть задокументированы. Может возникнуть вопрос «Почему?». Это очень просто — документирование ваших процедур обработки уязвимостей должно обеспечить повторяемость. Документация может включать: политики, процедуры и методы, используемые для отслеживания всех зарегистрированных уязвимостей.
Помните, что процесс обработки уязвимостей должен быть не только реализован, но и периодически оцениваться для улучшения процесса наращивания потенциала и обеспечения ожидаемого выполнения процесса.
Стоит сказать, что стандарт ISO 30111 связан не только со стандартом ISO/IEC 29147 по раскрытию уязвимостей, но и:
– со всеми частями ISO/IEC 27034 Информационные технологии – Безопасность приложений,
– ISO/IEC 27036-3 Информационные технологии. Методы обеспечения безопасности. Информационная безопасность в отношениях с поставщиками. Часть 3. Руководство по обеспечению безопасности цепи поставок информационно-коммуникационных технологий.
– ISO/IEC 15408-3 Информационные технологии. Методы обеспечения безопасности. Критерии оценки безопасности ИТ. Часть 3. Элементы обеспечения безопасности.
Использованные источники: