У попередній частині статті ми більше зосередилися на ISO/IEC 29147 Інформаційні технології – Методи безпеки – Розкриття вразливостей. Нагадаю, що цей стандарт поширюється на постачальників, які вирішують розкрити вразливості, щоб зменшити ризик для користувачів продуктів і послуг постачальників.

Друга частина, як було анонсовано, стосуватиметься стандарту ISO 30111 Інформаційні технології – Техніки безпеки – Процеси обробки вразливостей. Стандарт ISO 30111:2019 (PN-EN ISO 30111:2020) містить вимоги та рекомендації щодо того, як обробляти та видаляти зареєстровані потенційні вразливості (уразливості) у безпеці продукту чи послуги. Цей стандарт стосується постачальників уразливостей.

Стандарт ISO 30111 тісно пов’язаний зі стандартом ISO/IEC 29147, інтеграція стандартів розглядається при отриманні звітів про потенційні вразливості та при поширенні інформації про усунення вразливостей.

Zobacz podobne  Новий стандарт ISO 15189

Як бачимо з назви стандарту, цей документ описує процеси, які постачальники мають запроваджувати для обробки вразливостей і звітів про потенційні вразливості в продуктах і послугах.

ISO/IEC 30111 надає вказівки щодо того, як поводитися з інформацією про потенційні вразливості, про яку повідомляють особи чи організації, які виявили потенційні вразливості в продукті чи онлайн-сервісі, і як приймати рішення щодо вразливостей. Стандарт складається з 8 розділів:

  1. Діапазон
  2. Нормативні посилання
  3. Терміни та визначення
  4. Скорочені терміни
  5. Зв’язки з іншими міжнародними стандартами
  6. Політика та організаційна основа
  7. Процес обробки вразливостей
  8. Розгляд ланцюга поставок

Одержувачами цього документа є розробники, постачальники, оцінювачі та користувачі ІТ-продуктів і послуг. Цей документ буде корисним для наступних аудиторій:

Zobacz podobne  Інформаційна безпека, кібербезпека та стандарти серії IEC 62443

– відповіді постачальників і розробників на фактичні або потенційні звіти про вразливості;

— оцінювачі, головним чином для оцінки рівня безпеки та забезпечення механізмів і процесів, пов’язаних із обробкою вразливостей постачальниками та розробниками;

– Користувачі можуть вказувати та повідомляти вимоги щодо закупівель розробникам, торговим посередникам та інтеграторам.

Стандарт ISO/IEC 30111 визначає процеси, які забезпечать підготовку до дослідження та усунення потенційних вразливостей. Звичайно, процеси мають бути задокументовані. Може виникнути питання «Чому?». Це дуже просто – документування ваших процедур обробки вразливостей має забезпечити повторюваність. Документація може містити: політики, процедури та методи, що використовуються для відстеження всіх повідомлених вразливостей.

Пам’ятайте, що процес обробки вразливостей слід не лише впроваджувати, але й періодично оцінювати, щоб покращити процес нарощування потенціалу та забезпечити очікуване виконання процесу.

Zobacz podobne  Характеристика внутрішніх аудитів систем менеджменту

Варто сказати, що стандарт ISO 30111 пов’язаний не тільки зі стандартом ISO/IEC 29147 щодо розкриття вразливостей, а й:

– з усіма частинами ISO/IEC 27034 Інформаційні технології – Безпека додатків,

– ISO/IEC 27036-3 Інформаційні технології – Методи безпеки – Інформаційна безпека у відносинах з постачальниками – Частина 3: Інструкції з безпеки ланцюга постачання інформаційно-комунікаційних технологій,

– ISO/IEC 15408-3 Інформаційні технології – Методи безпеки – Критерії оцінки безпеки ІТ – Частина 3: Елементи забезпечення безпеки.

 

Використані джерела:

ISO/IEC 30111:2019 Інформаційні технології. Методи безпеки. Процеси обробки вразливостей

ISO/IEC 29147:2018 Інформаційні технології. Методи безпеки. Розкриття вразливостей

 

Прокрутка до верху