Послуги з імітації атак хакерів для вдосконалення процесів кібербезпеки.
/ BLOG
Чи передбачає ISO/IEC 27001 проведення тестування на проникнення?
Що таке ISO/IEC 27001?
ISO/IEC 27001 є провідним міжнародним стандартом, який використовується організаціями різних розмірів та напрямів діяльності для розробки, впровадження, підтримки та постійного вдосконалення системи управління інформаційною безпекою.
Відповідність стандарту ISO/IEC 27001 є ознакою інтегрованості інформаційної безпеки в усі процеси діяльності організації.
Чи вимагає ISO/IEC 27001 тестування на проникнення (пентест)?
Тестування на проникнення не є обов’язковою вимогою для відповідності стандарту ISO/IEC 27001. Водночас найкращими світовими практиками рекомендується здійснювати пентест як частину низки процесів управління інформаційною безпекою – таких, як управління ризиками організації, управління вразливостями, оцінка безпеки постачальників і партнерів, безпечна розробка та тестування програмного забезпечення, внутрішній аудит та процес безперервного вдосконалення. Стандарт ISO/IEC 27002:2022, який деталізує процедури впровадження заходів контролю безпеки, зазначених у додатку A до стандарту ISO/IEC 27001:2022, підкреслює важливість цієї практики в кількох ключових компонентах інформаційної безпеки.
Зокрема, додаток A стандарту ISO/IEC 27001:2022 посилається на захід контролю A.5.21 “Управління інформаційною безпекою в ланцюгу постачання інформаційно-комунікаційних технологій (ІКТ)”. Згідно стандарту, організація повинна перевіряти, що надані продукти та послуги постачальників у сфері ІКТ відповідають заявленим вимогам безпеки. Пентест розглядається як інструмент перевірки постачальника ІКТ, який допомагає оцінити ризики і може захистити організацію від можливих порушень безпеки з боку третіх сторін. Для оцінки ризиків безпеки, пов’язаних із постачальниками та партнерами, варто ознайомлюватись із результатами тестування на проникнення, яке рекомендується здійснювати постачальникам у їх інфраструктурі.
Таким чином, треті сторони не стануть слабкою ланкою в процесі побудови системи управління інформаційною безпекою організації. Якщо постачальники послуг зацікавлені в надійності власних систем безпеки, вчасно оцінюють уразливості та усувають їх, це, зокрема, покращує стан захищеності організації, яка є їх партнером.
Захід контролю 8.16 “Моніторинг активностей” розглядає пентест як один із способів розширення моніторингу безпеки мереж, систем та додатків у організації, який дозволяє встановити базовий рівень поведінки та стану систем. Визначення базового стану надасть відправну точку для подальшого вимірювання та порівняння ефективності впроваджених заходів безпеки. Цей важливий етап допомагає виявляти відхилення від нормальної роботи, що може свідчити про потенційні інциденти безпеки або загрози, та реагувати на них.
Заходи контролю в стандарті ISO/IEC 27001:2022, що стосуються безпечної розробки та тестування, а саме A.8.25 “Безпечний життєвий цикл розробки” та A.8.29 “Тестування безпеки під час розробки та приймання”, підкреслюють, що під час розробки програмного забезпечення повинні застосовуватись принципи безпечного написання коду та мають бути визначені процеси тестування безпеки, які слід впровадити на всіх етапах життєвого циклу розробки програмного забезпечення. Для впровадження заходу контролю A.8.29 ISO/IEC 27002:2022 рекомендує проводити тестування на проникнення, поряд із процедурою перегляду коду та регресійним тестуванням, для виявлення вразливостей на рівні коду та проєктування. Зі свого боку, захід контролю A.8.25 визначає пентест як одну з передумов безпечної розробки, що включає в себе побудову архітектури, програм, сервісів та систем з акцентом на їх безпеку. Інтеграція тестування на проникнення в процес розробки буде гарантувати, що аспекти безпеки будуть враховані у ваших програмних продуктах із самого початку їх життєвого циклу.
У рекомендаціях впровадження заходу контролю А.8.8 “Управління технічними вразливостями”, визначеного у стандарті ISO/IEC 27002:2022, зазначено наступне: "Потрібно отримувати інформацію про технічні вразливості наявних інформаційних систем, оцінювати ступінь впливу таких уразливостей на організацію та вживати відповідних заходів."
Упровадження процесу управління вразливостями передбачає заплановані та періодичні тестування на проникнення (penetration testing) за участю фахівців або проведення оцінки вразливостей, зокрема автоматизованої, що допомагає виявити вразливості, які існують у системах, для їх подальшої оцінки та вжиття заходів. Хоча пентест у даному випадку розглядається як альтернатива для процесу оцінки вразливостей (наприклад, як-от автоматизоване сканування), він дозволяє провести оцінку недоліків та вразливих місць систем у значно більшому обсязі. За допомогою комплексних методик, підходів та спеціалізованих інструментів для тестування на проникнення, команда фахівців, як правило, виявляє значно більше слабких місць у системах, ніж автоматизоване сканування, зокрема завдяки наближенню процедури тестування до умов реальних кіберзагроз. Завчасно усунувши ці вразливості в програмах, мережах та системах, організація може значно зменшити ризик можливої кібератаки та її наслідки, запобігти втратам від витоку даних і репутаційним збиткам.
Поєднання таких методів, як тестування на проникнення (pentest) і сканування на вразливості, відповідає найкращим світовим практикам у сфері інформаційної безпеки і суттєво підвищує ефективність процесу управління вразливостями, забезпечуючи всебічний підхід до виявлення, оцінки та усунення потенційних загроз.
Отже, проведення спеціалізованого тестування на проникнення (penetration testing) відповідно до стандарту ISO/IEC 27001 підтримує реалізацію зазначених заходів контролю, допомагаючи забезпечити відповідність вимогам управління вразливостями, моніторингу активностей, перевірки постачальників і тестування безпеки під час розробки.
Чи вимагає ISO/IEC 27001 тестування на проникнення (пентест)?
Тестування на проникнення не є обов’язковою вимогою для відповідності стандарту ISO/IEC 27001. Водночас найкращими світовими практиками рекомендується здійснювати пентест як частину низки процесів управління інформаційною безпекою – таких, як управління ризиками організації, управління вразливостями, оцінка безпеки постачальників і партнерів, безпечна розробка та тестування програмного забезпечення, внутрішній аудит та процес безперервного вдосконалення. Стандарт ISO/IEC 27002:2022, який деталізує процедури впровадження заходів контролю безпеки, зазначених у додатку A до стандарту ISO/IEC 27001:2022, підкреслює важливість цієї практики в кількох ключових компонентах інформаційної безпеки.
Зокрема, додаток A стандарту ISO/IEC 27001:2022 посилається на захід контролю A.5.21 “Управління інформаційною безпекою в ланцюгу постачання інформаційно-комунікаційних технологій (ІКТ)”. Згідно стандарту, організація повинна перевіряти, що надані продукти та послуги постачальників у сфері ІКТ відповідають заявленим вимогам безпеки. Пентест розглядається як інструмент перевірки постачальника ІКТ, який допомагає оцінити ризики і може захистити організацію від можливих порушень безпеки з боку третіх сторін. Для оцінки ризиків безпеки, пов’язаних із постачальниками та партнерами, варто ознайомлюватись із результатами тестування на проникнення, яке рекомендується здійснювати постачальникам у їх інфраструктурі. Таким чином, треті сторони не стануть слабкою ланкою в процесі побудови системи управління інформаційною безпекою організації. Якщо постачальники послуг зацікавлені в надійності власних систем безпеки, вчасно оцінюють уразливості та усувають їх, це, зокрема, покращує стан захищеності організації, яка є їх партнером.
Захід контролю 8.16 “Моніторинг активностей” розглядає пентест як один із способів розширення моніторингу безпеки мереж, систем та додатків у організації, який дозволяє встановити базовий рівень поведінки та стану систем. Визначення базового стану надасть відправну точку для подальшого вимірювання та порівняння ефективності впроваджених заходів безпеки. Цей важливий етап допомагає виявляти відхилення від нормальної роботи, що може свідчити про потенційні інциденти безпеки або загрози, та реагувати на них.
Заходи контролю в стандарті ISO/IEC 27001:2022, що стосуються безпечної розробки та тестування, а саме A.8.25 “Безпечний життєвий цикл розробки” та A.8.29 “Тестування безпеки під час розробки та приймання”, підкреслюють, що під час розробки програмного забезпечення повинні застосовуватись принципи безпечного написання коду та мають бути визначені процеси тестування безпеки, які слід впровадити на всіх етапах життєвого циклу розробки програмного забезпечення. Для впровадження заходу контролю A.8.29 ISO/IEC 27002:2022 рекомендує проводити тестування на проникнення, поряд із процедурою перегляду коду та регресійним тестуванням, для виявлення вразливостей на рівні коду та проєктування. Зі свого боку, захід контролю A.8.25 визначає пентест як одну з передумов безпечної розробки, що включає в себе побудову архітектури, програм, сервісів та систем з акцентом на їх безпеку. Інтеграція тестування на проникнення в процес розробки буде гарантувати, що аспекти безпеки будуть враховані у ваших програмних продуктах із самого початку їх життєвого циклу.
У рекомендаціях впровадження заходу контролю А.8.8 “Управління технічними вразливостями”, визначеного у стандарті ISO/IEC 27002:2022, зазначено наступне: "Потрібно отримувати інформацію про технічні вразливості наявних інформаційних систем, оцінювати ступінь впливу таких уразливостей на організацію та вживати відповідних заходів."
Упровадження процесу управління вразливостями передбачає заплановані та періодичні тестування на проникнення за участю фахівців або проведення оцінки вразливостей, зокрема автоматизованої, що допомагає виявити вразливості, які існують у системах, для їх подальшої оцінки та вжиття заходів. Хоча пентест у даному випадку розглядається як альтернатива для процесу оцінки вразливостей (наприклад, як-от автоматизоване сканування), він дозволяє провести оцінку недоліків та вразливих місць систем у значно більшому обсязі. За допомогою комплексних методик, підходів та спеціалізованих інструментів для тестування на проникнення, команда фахівців, як правило, виявляє значно більше слабких місць у системах, ніж автоматизоване сканування, зокрема завдяки наближенню процедури тестування до умов реальних кіберзагроз. Завчасно усунувши ці вразливості в програмах, мережах та системах, організація може значно зменшити ризик можливої кібератаки та її наслідки, запобігти втратам від витоку даних і репутаційним збиткам.
Поєднання таких методів, як тестування на проникнення і сканування на вразливості, відповідає найкращим світовим практикам у сфері інформаційної безпеки і суттєво підвищує ефективність процесу управління вразливостями, забезпечуючи всебічний підхід до виявлення, оцінки та усунення потенційних загроз.
Отже, проведення спеціалізованого тестування на проникнення відповідно до стандарту ISO/IEC 27001 підтримує реалізацію зазначених заходів контролю, допомагаючи забезпечити відповідність вимогам управління вразливостями, моніторингу активностей, перевірки постачальників і тестування безпеки під час розробки.
Чи вимагає ISO/IEC 27001 тестування на проникнення?
Тестування на проникнення не є обов’язковою вимогою для відповідності стандарту ISO/IEC 27001. Водночас найкращими світовими практиками рекомендується здійснювати пентест як частину низки процесів управління інформаційною безпекою – таких, як управління ризиками організації, управління вразливостями, оцінка безпеки постачальників і партнерів, безпечна розробка та тестування програмного забезпечення, внутрішній аудит та процес безперервного вдосконалення. Стандарт ISO/IEC 27002:2022, який деталізує процедури впровадження заходів контролю безпеки, зазначених у додатку A до стандарту ISO/IEC 27001:2022, підкреслює важливість цієї практики в кількох ключових компонентах інформаційної безпеки.
Зокрема, додаток A стандарту ISO/IEC 27001:2022 посилається на захід контролю A.5.21 “Управління інформаційною безпекою в ланцюгу постачання інформаційно-комунікаційних технологій (ІКТ)”. Згідно стандарту, організація повинна перевіряти, що надані продукти та послуги постачальників у сфері ІКТ відповідають заявленим вимогам безпеки. Пентест розглядається як інструмент перевірки постачальника ІКТ, який допомагає оцінити ризики і може захистити організацію від можливих порушень безпеки з боку третіх сторін. Для оцінки ризиків безпеки, пов’язаних із постачальниками та партнерами, варто ознайомлюватись із результатами тестування на проникнення, яке рекомендується здійснювати постачальникам у їх інфраструктурі. Таким чином, треті сторони не стануть слабкою ланкою в процесі побудови системи управління інформаційною безпекою організації. Якщо постачальники послуг зацікавлені в надійності власних систем безпеки, вчасно оцінюють уразливості та усувають їх, це, зокрема, покращує стан захищеності організації, яка є їх партнером.
Захід контролю 8.16 “Моніторинг активностей” розглядає пентест як один із способів розширення моніторингу безпеки мереж, систем та додатків у організації, який дозволяє встановити базовий рівень поведінки та стану систем. Визначення базового стану надасть відправну точку для подальшого вимірювання та порівняння ефективності впроваджених заходів безпеки. Цей важливий етап допомагає виявляти відхилення від нормальної роботи, що може свідчити про потенційні інциденти безпеки або загрози, та реагувати на них.
Заходи контролю в стандарті ISO/IEC 27001:2022, що стосуються безпечної розробки та тестування, а саме A.8.25 “Безпечний життєвий цикл розробки” та A.8.29 “Тестування безпеки під час розробки та приймання”, підкреслюють, що під час розробки програмного забезпечення повинні застосовуватись принципи безпечного написання коду та мають бути визначені процеси тестування безпеки, які слід впровадити на всіх етапах життєвого циклу розробки програмного забезпечення. Для впровадження заходу контролю A.8.29 ISO/IEC 27002:2022 рекомендує проводити тестування на проникнення, поряд із процедурою перегляду коду та регресійним тестуванням, для виявлення вразливостей на рівні коду та проєктування. Зі свого боку, захід контролю A.8.25 визначає пентест як одну з передумов безпечної розробки, що включає в себе побудову архітектури, програм, сервісів та систем з акцентом на їх безпеку. Інтеграція тестування на проникнення в процес розробки буде гарантувати, що аспекти безпеки будуть враховані у ваших програмних продуктах із самого початку їх життєвого циклу.
У рекомендаціях впровадження заходу контролю А.8.8 “Управління технічними вразливостями”, визначеного у стандарті ISO/IEC 27002:2022, зазначено наступне: "Потрібно отримувати інформацію про технічні вразливості наявних інформаційних систем, оцінювати ступінь впливу таких уразливостей на організацію та вживати відповідних заходів."
Упровадження процесу управління вразливостями передбачає заплановані та періодичні тестування на проникнення за участю фахівців або проведення оцінки вразливостей, зокрема автоматизованої, що допомагає виявити вразливості, які існують у системах, для їх подальшої оцінки та вжиття заходів. Хоча пентест у даному випадку розглядається як альтернатива для процесу оцінки вразливостей (наприклад, як-от автоматизоване сканування), він дозволяє провести оцінку недоліків та вразливих місць систем у значно більшому обсязі. За допомогою комплексних методик, підходів та спеціалізованих інструментів для тестування на проникнення, команда фахівців, як правило, виявляє значно більше слабких місць у системах, ніж автоматизоване сканування, зокрема завдяки наближенню процедури тестування до умов реальних кіберзагроз. Завчасно усунувши ці вразливості в програмах, мережах та системах, організація може значно зменшити ризик можливої кібератаки та її наслідки, запобігти втратам від витоку даних і репутаційним збиткам.
Поєднання таких методів, як тестування на проникнення і сканування на вразливості, відповідає найкращим світовим практикам у сфері інформаційної безпеки і суттєво підвищує ефективність процесу управління вразливостями, забезпечуючи всебічний підхід до виявлення, оцінки та усунення потенційних загроз.
Отже, проведення спеціалізованого тестування на проникнення відповідно до стандарту ISO/IEC 27001 підтримує реалізацію зазначених заходів контролю, допомагаючи забезпечити відповідність вимогам управління вразливостями, моніторингу активностей, перевірки постачальників і тестування безпеки під час розробки.