У попередній частині статті ми більше зосередилися на ISO/IEC 29147 Інформаційні технології – Методи безпеки – Розкриття вразливостей. Нагадаю, що цей стандарт поширюється на постачальників, які вирішують розкрити вразливості, щоб зменшити ризик для користувачів продуктів і послуг постачальників.
Друга частина, як було анонсовано, стосуватиметься стандарту ISO 30111 Інформаційні технології – Техніки безпеки – Процеси обробки вразливостей. Стандарт ISO 30111:2019 (PN-EN ISO 30111:2020) містить вимоги та рекомендації щодо того, як обробляти та видаляти зареєстровані потенційні вразливості (уразливості) у безпеці продукту чи послуги. Цей стандарт стосується постачальників уразливостей.
Стандарт ISO 30111 тісно пов’язаний зі стандартом ISO/IEC 29147, інтеграція стандартів розглядається при отриманні звітів про потенційні вразливості та при поширенні інформації про усунення вразливостей.
Як бачимо з назви стандарту, цей документ описує процеси, які постачальники мають запроваджувати для обробки вразливостей і звітів про потенційні вразливості в продуктах і послугах.
ISO/IEC 30111 надає вказівки щодо того, як поводитися з інформацією про потенційні вразливості, про яку повідомляють особи чи організації, які виявили потенційні вразливості в продукті чи онлайн-сервісі, і як приймати рішення щодо вразливостей. Стандарт складається з 8 розділів:
- Діапазон
- Нормативні посилання
- Терміни та визначення
- Скорочені терміни
- Зв’язки з іншими міжнародними стандартами
- Політика та організаційна основа
- Процес обробки вразливостей
- Розгляд ланцюга поставок
Одержувачами цього документа є розробники, постачальники, оцінювачі та користувачі ІТ-продуктів і послуг. Цей документ буде корисним для наступних аудиторій:
– відповіді постачальників і розробників на фактичні або потенційні звіти про вразливості;
— оцінювачі, головним чином для оцінки рівня безпеки та забезпечення механізмів і процесів, пов’язаних із обробкою вразливостей постачальниками та розробниками;
– Користувачі можуть вказувати та повідомляти вимоги щодо закупівель розробникам, торговим посередникам та інтеграторам.
Стандарт ISO/IEC 30111 визначає процеси, які забезпечать підготовку до дослідження та усунення потенційних вразливостей. Звичайно, процеси мають бути задокументовані. Може виникнути питання «Чому?». Це дуже просто – документування ваших процедур обробки вразливостей має забезпечити повторюваність. Документація може містити: політики, процедури та методи, що використовуються для відстеження всіх повідомлених вразливостей.
Пам’ятайте, що процес обробки вразливостей слід не лише впроваджувати, але й періодично оцінювати, щоб покращити процес нарощування потенціалу та забезпечити очікуване виконання процесу.
Варто сказати, що стандарт ISO 30111 пов’язаний не тільки зі стандартом ISO/IEC 29147 щодо розкриття вразливостей, а й:
– з усіма частинами ISO/IEC 27034 Інформаційні технології – Безпека додатків,
– ISO/IEC 27036-3 Інформаційні технології – Методи безпеки – Інформаційна безпека у відносинах з постачальниками – Частина 3: Інструкції з безпеки ланцюга постачання інформаційно-комунікаційних технологій,
– ISO/IEC 15408-3 Інформаційні технології – Методи безпеки – Критерії оцінки безпеки ІТ – Частина 3: Елементи забезпечення безпеки.
Використані джерела:
ISO/IEC 30111:2019 Інформаційні технології. Методи безпеки. Процеси обробки вразливостей
ISO/IEC 29147:2018 Інформаційні технології. Методи безпеки. Розкриття вразливостей