ДСТУ ISO/IEC 30111:2016 Информационные технологии. Методы защиты. Процессы обработки уязвимостей (ISO/IEC 30111:2013, IDT)
НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ
Інформаційні технології
МЕТОДИ ЗАХИСТУ
Процеси оброблення вразливостей
ДСТУ ISO/IEC 30111:2016
(ISO/IEC 30111:2013, IDT)
Київ
(ДП «УкрНДНЦ»)
2019
ПЕРЕДМОВА
1 РОЗРОБЛЕНО: Міжнародний науково-навчальний центр інформаційних технологій та систем Національної академії наук України та Міністерства освіти і науки України (Міжнародний центр), Технічний комітет стандартизації «Інформаційні технологи» (ТК 20)
2 ПРИЙНЯТО ТА НАДАНО ЧИННОСТІ: наказ Державного підприємства «Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості» (
(ДП «УкрНДНЦ»)) від 23 грудня 2016 р. № 435 з 2017-10-01
3 Національний стандарт відповідає ISO/IEC 30111:2013 Information technology — Security techniques — Vulnerability handling processes (Інформаційні технології. Методи захисту. Процеси оброблення вразливостей) і внесений з дозволу CEN, Avenue Marnix 17, В-1000 Brussels, Belgium. Усі права щодо використання європейських стандартів у будь-якій формі й будь-яким способом залишаються за CEN
Ступінь відповідності — ідентичний (IDТ)
Переклад з англійської (еn)
4 Цей стандарт розроблено згідно з правилами, установленими в національній стандартизації України
5 НА ЗАМІНУ ДСТУ ISO/IEC 30111:2015
ЗМІСТ
Національний вступ
Вступ до ISO/IEC 30111:2013
1 Сфера застосування
2 Нормативні посилання
3 Терміни та визначення понять
4 Скорочення
5 Взаємодія між ISO/IEC 29147 — Розкриття вразливостей та ISO/IEC 30111 — Процеси оброблення вразливостей
6 Політика і основні засади організації щодо процесів оброблення вразливостей
6.1 Загальні положення
6.2 Розроблення політики оброблення вразливостей
6.3 Розроблення основних засад організацій щодо підтримки процесу оброблення вразливостей
6.4 CSIRT або PSIRT постачальника
6.5 Відповідальності відділу бізнесу продукту
6.6 Відповідальності відділу підтримки споживачів і відділу зв’язків з громадськістю
6.7 Правове консультування
7 Процес оброблення вразливостей
7.1 Вступ до фази оброблення вразливостей
7.2 Фази оброблення вразливостей
7.3 Моніторинг фаз оброблення вразливостей
7.4 Конфіденційність інформації щодо вразливості
8 Процес оброблення вразливостей у ланцюзі постачальників
Бібліографія
Додаток НА (довідковий) Перелік національних стандартів України, ідентичних і/або модифікованих з міжнародними стандартами, посилання на які є в цьому стандарті
НАЦІОНАЛЬНИЙ ВСТУП
Цей національний стандарт ДСТУ ISO/IEC 30111:2016 (ISO/IEC 30111:2013, IDT) «Інформаційні технології. Методи захисту. Процеси оброблення вразливостей», прийнятий методом перекладу, — ідентичний щодо ISO/IEC 30111:2013 «Information technology — Security techniques — Vulnerability handling processes» (версія en).
Технічний комітет стандартизації, відповідальний за цей стандарт в Україні, — ТК 20 «Інформаційні технології».
Цей стандарт прийнято на заміну ДСТУ ISO/IEC 30111:2015 (прийнятого методом підтвердження).
У цьому національному стандарті зазначено вимоги, які відповідають законодавству України.
До стандарту внесено такі редакційні зміни:
— слова «цей міжнародний стандарт», «цей документ» замінено на «цей стандарт»;
— структурні елементи стандарту: «Титульний аркуш», «Передмова», «Національний вступ», першу сторінку, «Терміни та визначення понять» і «Бібліографію» — оформлено згідно з вимогами національної стандартизації України;
— у розділі «Нормативні посилання» наведено «Національне пояснення», виділене рамкою;
— зі «Вступу» до ISO/IEC 30111:2013 у цей «Національний вступ» внесено все, що безпосередньо стосується цього стандарту;
— вилучено «Передмову» до ISO/IEC 30111:2013 як таку, що безпосередньо не стосується технічного змісту цього стандарту;
— долучено довідковий додаток НА (Перелік національних стандартів України, ідентичних і/або модифікованих з міжнародними стандартами, посилання на які є в цьому стандарті).
ВСТУП до ISO/IEC 30111:2013
Цей стандарт описує процеси для постачальників, що стосуються оброблення повідомлень про потенційні вразливості у продуктах або онлайнових послугах.
Аудиторія цього стандарту охоплює споживачів, розробників, постачальників та оцінювачів захищених ІТ-продуктів. Цей стандарт можуть застосовувати:
— розробники та постачальники під час реагування на повідомлені фактичні або потенційні вразливості;
— оцінювачі під час оцінювання гарантії безпеки, наданої процесами оброблення вразливостей постачальника і розробника та відповідними продуктами і послугами;
— споживачі під час вибору постачальників продукту та онлайнової послуги для того, щоб виразити найкращі практичні вимоги щодо гарантії розробникам, постачальниками та інтеграторам.
Цей стандарт пов’язаний зі стандартом ISO/IEC 29147 [5]. Він взаємодіє з елементами, описаними в ISO/IEC 29147, на рівні отримання повідомлень про потенційні вразливості і на рівні розповсюдження інформації про рішення щодо вразливості.
У цьому стандарті враховано відповідні елементи розділу 13.5 Виправлення дефектів (ALC_FLR) стандарту ISO/IEC 15408-3 [1].
НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ
ІНФОРМАЦІЙНІ ТЕХНОЛОГІЇ
МЕТОДИ ЗАХИСТУ
Процеси оброблення вразливостей
INFORMATION TECHNOLOGY
SECURITY TECHNIQUES
Vulnerability handling processes
Чинний від 2017-10-01
1 СФЕРА ЗАСТОСУВАННЯ
Цей стандарт надає настанови, як оброблювати та приймати рішення щодо інформації про потенційну вразливість у продукті або онлайновій послузі.
Цей стандарт застосовний до постачальників, залучених до оброблення вразливостей.
2 НОРМАТИВНІ ПОСИЛАННЯ
У наведених нижче нормативних документах зазначено положення, які через посилання в цьому тексті становлять положення цього стандарту. У разі датованих посилань застосовують тільки наведені видання. У разі недатованих посилань треба користуватися останнім виданням нормативних документів (разом зі змінами).
ISO/IEC 27000 Information technology — Security techniques — Information security management systems — Overview and vocabulary.
НАЦІОНАЛЬНЕ ПОЯСНЕННЯ
ISO/IEC 27000:2016 Інформаційні технології. Методи захисту. Системи менеджменту інформаційної безпеки. Огляд і словник.
Полная версия документа доступна в тарифе «ВСЕ ВКЛЮЧЕНО».