Уразливості безпеки. ISO/IEC 29147 та ISO/IEC 30111. Частина 1

На нашому сайті ми багато говоримо про стандарти, які містять вимоги і найчастіше підлягають сертифікації чи акредитації. Проте багато стандартів містять передову практику та цінні рекомендації для організації.

У цій статті ми зосередимося на одному з таких міжнародних стандартів, яким буде ISO/IEC 29147 Інформаційні технології – Методи безпеки – Розкриття вразливостей. Також варто згадати супровідний стандарт ISO 30111 Інформаційні технології – Методи безпеки – Процеси обробки вразливостей, але про це буде окрема стаття. Також слідкуйте за нашими новинами!

ISO/IEC 29147 та ISO 30111 надають корисні вказівки щодо розкриття вразливостей, в тому числі передові практики та приклади, які можна використовувати як шаблони.

ISO/IEC 29147 надає рекомендації для постачальників щодо розкриття вразливості продуктів і послуг. Навіщо це? Звернемося до стандарту ISO/IEC 27002 – Інформаційні технології – Методи безпеки – Практика інформаційної безпеки, який говорить нам, що розкриття вразливості безпеки дозволяє користувачам технічно керувати своєю вразливістю.

Zobacz podobne Стандарти серії ISO 27000

Зачекайте хвилинку, але чим є вразливість?

У контексті інформаційних технологій та кібербезпеки вразливість безпеки — це поведінка або набір умов, присутніх у системі, продукті, компоненті чи службі, що порушує секретну чи явну політику безпеки. Уразливість можна розглядати як слабкість або вплив, що може мати вплив на безпеку або певні наслідки. Зловмисники використовують уразливості, щоб порушити конфіденційність, цілісність, доступність, продуктивність або інші властивості безпеки.

Уразливості часто виникають через збої програми або системи в результаті обробки ненадійних або неочікуваних даних. Причини, які призводять до вразливості безпеки, включають помилки кодування або конфігурації, упущення щодо вибору дизайну, а також незахищені специфікації протоколів і форматів.

Zobacz podobne Як отримати сертифікат ISO 9001:2015?

Термін «розкриття вразливості» використовується для опису загальних заходів, пов’язаних з отриманням звітів про вразливості та наданням інформації про контрзаходи. Додаткові дії, такі як перевірка та визначення пріоритетів звітів, розробка, тестування та впровадження контрзаходів, а також покращення безпечної розробки, називаються «обробкою вразливостей» і описані в ISO / IEC 30111.

Розкриття вразливості безпеки:

– допомагає захистити дані та системи

– визначити пріоритетність розподілу ресурсів на інформаційну безпеку

– покращує процес управління ризиками.

Метою розкриття вразливості є насамперед зниження ризику використання вразливостей. Скоординоване розкриття вразливостей особливо важливо, коли задіяно кілька постачальників. Стандарт ISO/IEC 29147 включає:

– терміни та визначення, характерні для розкриття вразливостей;

– огляди концепції розкриття вразливостей;

Zobacz podobne Стандарт ISO 15189

– рекомендації щодо отримання звітів про потенційні слабкі місця;

– Інструкції з розкриття вразливостей;

– методи та політики розкриття вразливостей;

– конкретні приклади методів і політики (Додаток А) та комунікації (Додаток В).

Інші пов’язані дії, які відбуваються між отриманням та розкриттям звітів про вразливості, описані в ISO 30111, про який ми поговоримо в наступній статті.

Автор: Марина Кучинська

Використані джерела:

ISO / IEC 29147: 2018 Інформаційні технології – Методи безпеки – Розкриття вразливостей

ISO / IEC 30111: 2019 Інформаційні технології – Методи безпеки – Процеси обробки вразливостей