У попередній частині цієї статті ми більше зосередилися на стандарті ISO/IEC 29147 Інформаційні технології – Методи безпеки – Розкриття вразливостей. Нагадаю, що цей стандарт поширюється на постачальників, які вирішують виявити слабкі сторони з метою зниження ризику для користувачів товарів і послуг постачальників.
Друга частина, як було анонсовано, стосуватиметься стандарту ISO 30111 Інформаційні технології – Методи безпеки – Процеси обробки вразливостей. Стандарт ISO/IEC 30111: 2019 містить вимоги та рекомендації щодо того, як обробляти та видаляти повідомлені потенційні вразливості (прогалини) у безпеці продукту чи послуги. Цей стандарт стосується постачальників, які обробляють уразливості.
Стандарт ISO 30111 тісно пов’язаний зі стандартом ISO/IEC 29147, інтеграція стандартів враховується при отриманні звітів про потенційні вразливості та при поширенні інформації про усунення вразливостей.
Як ми бачимо з назви стандарту, цей документ описує процеси, які постачальники повинні впровадити, щоб обробляти вразливі місця та повідомляти про потенційні вразливості в продуктах і послугах.
ISO/IEC 30111 містить рекомендації щодо того, як поводитися з інформацією про потенційні вразливості, про які повідомляють окремі особи або організації, які виявили потенційні вразливості / вразливості в онлайн-продукті або службі, і як приймати рішення про вразливості. Стандарт складається з 8 розділів:
- Сфера застосування
- Нормативні посилання
- Терміни та визначення
- Скорочення
- Зв’язок з іншими міжнародними стандартами
- Політика та організаційна структура
- Процес обробки уразливостей
- Розгляд ланцюга поставок
Цілевою аудиторією цього стандарта є розробники, постачальники, оцінювачі та користувачі ІТ-продуктів і послуг. Цей стандарт стане у пригоді для наступних груп одержувачів:
– постачальників і розробників, які відповідають на поточні або потенційні звіти про вразливості;
– оцінювачів, головним чином для оцінки рівня безпеки та забезпечення механізмів і процесів, пов’язаних з обробкою вразливих місць постачальниками та розробники;
– користувачів, що визначають і повідомляють розробникам, постачальникам та інтеграторам вимоги до закупівлі.
Стандарт ISO/IEC 30111 визначає процеси, які забезпечать підготовку до тестування та усунення потенційних вразливостей. Звичайно, процеси мають бути задокументовані. Вас можуть запитати «Чому?». Це дуже просто – документування ваших процедур обробки вразливостей допомагає забезпечити їх повторюваність. Документація може включати: політики, процедури та методи, які використовуються для відстеження усіх вразливих місць, про які повідомляється.
Пам’ятайте, що процес обробки вразливостей слід не тільки впроваджувати, але й періодично оцінювати, щоб покращити процес нарощування потенціалу та забезпечити очікуване завершення процесу.
Варто сказати, що стандарт ISO 30111 пов’язаний не тільки зі стандартом ISO/IEC 29147 щодо розкриття вразливостей, а й:
– з усіма частинами ISO/IEC 27034 Інформаційні технології – Безпека додатків,
– ISO/IEC 27036-3 Інформаційні технології – Методи безпеки – Інформаційна безпека у відносинах з постачальниками – Частина 3: Рекомендації щодо безпеки ланцюга поставок інформаційно-комунікаційних технологій,
– ISO/IEC 15408-3 Інформаційні технології – Методи безпеки – Критерії оцінки ІТ-безпеки – Частина 3: Елементи безпеки.
Автор: Марина Кучинська
Використані джерела:
ISO/IEC 30111: 2019 Інформаційні технології – Методи безпеки – Процеси обробки вразливостей
ISO/IEC 29147: 2018 Інформаційні технології – Методи безпеки – Розкриття вразливостей