У попередній частині статті ми більше зосередилися на ISO/IEC 29147 Інформаційні технології – Методи безпеки – Розкриття вразливостей. Нагадаю, що цей стандарт поширюється на постачальників, які вирішують розкрити вразливості, щоб зменшити ризик для користувачів продуктів і послуг постачальників.

Друга частина, як було анонсовано, стосуватиметься стандарту ISO 30111 Інформаційні технології – Техніки безпеки – Процеси обробки вразливостей. Стандарт ISO 30111:2019 (PN-EN ISO 30111:2020) містить вимоги та рекомендації щодо того, як обробляти та видаляти зареєстровані потенційні вразливості (уразливості) у безпеці продукту чи послуги. Цей стандарт стосується постачальників уразливостей.

Стандарт ISO 30111 тісно пов’язаний зі стандартом ISO/IEC 29147, інтеграція стандартів розглядається при отриманні звітів про потенційні вразливості та при поширенні інформації про усунення вразливостей.

Як бачимо з назви стандарту, цей документ описує процеси, які постачальники мають запроваджувати для обробки вразливостей і звітів про потенційні вразливості в продуктах і послугах.

ISO/IEC 30111 надає вказівки щодо того, як поводитися з інформацією про потенційні вразливості, про яку повідомляють особи чи організації, які виявили потенційні вразливості в продукті чи онлайн-сервісі, і як приймати рішення щодо вразливостей. Стандарт складається з 8 розділів:

  1. Діапазон
  2. Нормативні посилання
  3. Терміни та визначення
  4. Скорочені терміни
  5. Зв’язки з іншими міжнародними стандартами
  6. Політика та організаційна основа
  7. Процес обробки вразливостей
  8. Розгляд ланцюга поставок

Одержувачами цього документа є розробники, постачальники, оцінювачі та користувачі ІТ-продуктів і послуг. Цей документ буде корисним для наступних аудиторій:

– відповіді постачальників і розробників на фактичні або потенційні звіти про вразливості;

— оцінювачі, головним чином для оцінки рівня безпеки та забезпечення механізмів і процесів, пов’язаних із обробкою вразливостей постачальниками та розробниками;

– Користувачі можуть вказувати та повідомляти вимоги щодо закупівель розробникам, торговим посередникам та інтеграторам.

Стандарт ISO/IEC 30111 визначає процеси, які забезпечать підготовку до дослідження та усунення потенційних вразливостей. Звичайно, процеси мають бути задокументовані. Може виникнути питання «Чому?». Це дуже просто – документування ваших процедур обробки вразливостей має забезпечити повторюваність. Документація може містити: політики, процедури та методи, що використовуються для відстеження всіх повідомлених вразливостей.

Пам’ятайте, що процес обробки вразливостей слід не лише впроваджувати, але й періодично оцінювати, щоб покращити процес нарощування потенціалу та забезпечити очікуване виконання процесу.

Варто сказати, що стандарт ISO 30111 пов’язаний не тільки зі стандартом ISO/IEC 29147 щодо розкриття вразливостей, а й:

– з усіма частинами ISO/IEC 27034 Інформаційні технології – Безпека додатків,

– ISO/IEC 27036-3 Інформаційні технології – Методи безпеки – Інформаційна безпека у відносинах з постачальниками – Частина 3: Інструкції з безпеки ланцюга постачання інформаційно-комунікаційних технологій,

– ISO/IEC 15408-3 Інформаційні технології – Методи безпеки – Критерії оцінки безпеки ІТ – Частина 3: Елементи забезпечення безпеки.

 

Використані джерела:

ISO/IEC 30111:2019 Інформаційні технології. Методи безпеки. Процеси обробки вразливостей

ISO/IEC 29147:2018 Інформаційні технології. Методи безпеки. Розкриття вразливостей

 

Прокрутити вгору