У попередній частині цієї статті ми більше зосередилися на стандарті ISO/IEC 29147 Інформаційні технології – Методи безпеки – Розкриття вразливостей. Нагадаю, що цей стандарт поширюється на постачальників, які вирішують виявити слабкі сторони з метою зниження ризику для користувачів товарів і послуг постачальників.

Друга частина, як було анонсовано, стосуватиметься стандарту ISO 30111 Інформаційні технології – Методи безпеки – Процеси обробки вразливостей. Стандарт ISO/IEC 30111: 2019  містить вимоги та рекомендації щодо того, як обробляти та видаляти повідомлені потенційні вразливості (прогалини) у безпеці продукту чи послуги. Цей стандарт стосується постачальників, які обробляють уразливості.

Стандарт ISO 30111 тісно пов’язаний зі стандартом ISO/IEC 29147, інтеграція стандартів враховується при отриманні звітів про потенційні вразливості та при поширенні інформації про усунення вразливостей.

Zobacz podobne  Уразливості безпеки та їх розкриття. Огляд ISO/IEC 29147 та ISO/IEC 30111. Частина 1

Як ми бачимо з назви стандарту, цей документ описує процеси, які постачальники повинні впровадити, щоб обробляти вразливі місця та повідомляти про потенційні вразливості в продуктах і послугах.

ISO/IEC 30111 містить рекомендації щодо того, як поводитися з інформацією про потенційні вразливості, про які повідомляють окремі особи або організації, які виявили потенційні вразливості / вразливості в онлайн-продукті або службі, і як приймати рішення про вразливості. Стандарт складається з 8 розділів:

  1. Сфера застосування
  2. Нормативні посилання
  3. Терміни та визначення
  4. Скорочення
  5. Зв’язок з іншими міжнародними стандартами
  6. Політика та організаційна структура
  7. Процес обробки уразливостей
  8. Розгляд ланцюга поставок

Цілевою аудиторією цього стандарта є розробники, постачальники, оцінювачі та користувачі ІТ-продуктів і послуг. Цей стандарт стане у пригоді для наступних груп одержувачів:

Zobacz podobne  Характеристика внутрішніх аудитів систем менеджменту

– постачальників і розробників, які відповідають на поточні або потенційні звіти про вразливості;

– оцінювачів, головним чином для оцінки рівня безпеки та забезпечення механізмів і процесів, пов’язаних з обробкою вразливих місць постачальниками та розробники;

– користувачів, що визначають і повідомляють розробникам, постачальникам та інтеграторам вимоги до закупівлі.

Стандарт ISO/IEC 30111 визначає процеси, які забезпечать підготовку до тестування та усунення потенційних вразливостей. Звичайно, процеси мають бути задокументовані. Вас можуть запитати «Чому?». Це дуже просто – документування ваших процедур обробки вразливостей допомагає забезпечити їх повторюваність. Документація може включати: політики, процедури та методи, які використовуються для відстеження усіх вразливих місць, про які повідомляється.

Пам’ятайте, що процес обробки вразливостей слід не тільки впроваджувати, але й періодично оцінювати, щоб покращити процес нарощування потенціалу та забезпечити очікуване завершення процесу.

Zobacz podobne  Новий стандарт ISO/IEC 27001:2022

Варто сказати, що стандарт ISO 30111 пов’язаний не тільки зі стандартом ISO/IEC 29147 щодо розкриття вразливостей, а й:

– з усіма частинами ISO/IEC 27034 Інформаційні технології – Безпека додатків,

– ISO/IEC 27036-3 Інформаційні технології – Методи безпеки – Інформаційна безпека у відносинах з постачальниками – Частина 3: Рекомендації щодо безпеки ланцюга поставок інформаційно-комунікаційних технологій,

– ISO/IEC 15408-3 Інформаційні технології – Методи безпеки – Критерії оцінки ІТ-безпеки – Частина 3: Елементи безпеки.

Автор: Марина Кучинська

Використані джерела:

ISO/IEC 30111: 2019 Інформаційні технології – Методи безпеки – Процеси обробки вразливостей

ISO/IEC 29147: 2018 Інформаційні технології – Методи безпеки – Розкриття вразливостей

Прокрутка до верху