02.10.2024

Що таке ISO/IEC 27001?

ISO/IEC 27001 є провідним міжнародним стандартом, який використовується організаціями різних розмірів та напрямів діяльності для розробки, впровадження, підтримки та постійного вдосконалення системи управління інформаційною безпекою.
Відповідність стандарту ISO/IEC 27001 є ознакою інтегрованості інформаційної безпеки в усі процеси діяльності організації. 
Сертифікована організація демонструє здатність надійного захисту даних клієнтів та власних інформаційних активів, поєднуючи організаційні заходи та технічні засоби в єдину контрольовану систему, а також підтверджує перед клієнтами і діловими партнерами, що вона має дієві та перевірені процеси безпеки, де оцінка ризиків і відповідність світовим стандартам з точки зору безпеки є вирішальними. Це допомагає здобути довіру зацікавлених сторін, впливає на покращення іміджу та конкурентоздатність організації.
У 2022 році стандарт зазнав змін, і була опублікована оновлена версія стандарту ISO/IEC 27001:2022 з актуалізованими вимогами щодо системи управління інформаційною безпекою та оновленою структурую Додатку А. Також було переглянуто керівництво ISO/IEC 27002:2022 з урахуванням сучасних практик та засобів контролю безпеки. 
Для досягнення або підтримки відповідності стандарту ISO/IEC 27001:2022 організація має розглянути впровадження заходів контролю безпеки A.5.21, A.8.8, A.8.16, A.8.25 та A.8.29. Для їх ефективної реалізації рекомендується виконувати тестування на проникнення (пентест). Стандарт ISO/IEC 27001 розглядає цей вид тестування як один із ефективних інструментів, спрямованих на покращення стану інформаційної безпеки організації. Чи є таке тестування обов'язковим або рекомендованим, ви дізнаєтесь у цій статті.

Чи вимагає ISO/IEC 27001 тестування на проникнення (пентест)?

Тестування на проникнення не є обов’язковою вимогою для відповідності стандарту ISO/IEC 27001. Водночас найкращими світовими практиками рекомендується здійснювати пентест як частину низки процесів управління інформаційною безпекою – таких, як управління ризиками організації, управління вразливостями, оцінка безпеки постачальників і партнерів, безпечна розробка та тестування програмного забезпечення, внутрішній аудит та процес безперервного вдосконалення. Керівництво ISO/IEC 27002:2022, яке деталізує процедури впровадження заходів контролю безпеки, зазначених у додатку A до стандарту ISO/IEC 27001:2022, підкреслює важливість цієї практики в кількох ключових компонентах інформаційної безпеки.
Зокрема, додаток A стандарту ISO/IEC 27001:2022 посилається на захід контролю A.5.21 “Управління інформаційною безпекою в ланцюгу постачання інформаційно-комунікаційних технологій (ІКТ)”. Згідно з керівництвом з впровадження ISO/IEC 27002:2022, організація повинна перевіряти, що надані продукти та послуги постачальників у сфері ІКТ відповідають заявленим вимогам безпеки. Пентест розглядається як інструмент перевірки постачальника ІКТ, який допомагає оцінити ризики і може захистити організацію від можливих порушень безпеки з боку третіх сторін. Для оцінки ризиків безпеки, пов’язаних із постачальниками та партнерами, варто ознайомлюватись із результатами тестування на проникнення, яке рекомендується здійснювати постачальникам у їх інфраструктурі. Таким чином, треті сторони не стануть слабкою ланкою в процесі побудови системи управління інформаційною безпекою організації. Якщо постачальники послуг зацікавлені в надійності власних систем безпеки, вчасно оцінюють уразливості та усувають їх, це, зокрема, покращує стан захищеності організації, яка є їх партнером.
Захід контролю 8.16 “Моніторинг активностей” розглядає пентест як один із способів розширення моніторингу безпеки мереж, систем та застосунків в організації, який дозволяє встановити базовий рівень поведінки та стану систем. Визначення базового стану надасть відправну точку для подальшого вимірювання та порівняння ефективності впроваджених заходів безпеки. Цей важливий етап допомагає виявляти відхилення від нормальної роботи, що може свідчити про потенційні інциденти безпеки або загрози, та реагувати на них.
Контролі A.8.25 “Безпечний життєвий цикл розробки” та A.8.29 “Тестування безпеки під час розробки та приймання” підкреслюють, що під час розробки програмного забезпечення повинні застосовуватись принципи безпечного написання коду та мають бути визначені процеси тестування безпеки, які слід впровадити на всіх етапах життєвого циклу розробки програмного забезпечення. Для впровадження заходу контролю A.8.29 ISO/IEC 27002:2022 рекомендує проводити тестування на проникнення, поряд із процедурою перегляду коду та регресійним тестуванням, для виявлення вразливостей на рівні коду та проєктування. Зі свого боку, захід контролю A.8.25 визначає пентест як одну з передумов безпечної розробки, що включає в себе побудову архітектури, програм, сервісів та систем з акцентом на їх безпеку. Інтеграція тестування на проникнення в процес розробки буде гарантувати, що аспекти безпеки будуть враховані у ваших програмних продуктах із самого початку їх життєвого циклу.
У рекомендаціях впровадження заходу контролю А.8.8 “Управління технічними вразливостями”, визначеного в керівництві з впровадження ISO/IEC 27002:2022, зазначено наступне: "Потрібно отримувати інформацію про технічні вразливості наявних інформаційних систем, оцінювати ступінь впливу таких уразливостей на організацію та вживати відповідних заходів."  
Упровадження процесу управління вразливостями передбачає заплановані та періодичні тестування на проникнення за участю фахівців або проведення оцінки вразливостей, зокрема автоматизованої, що допомагає виявити вразливості, які існують у системах, для їх подальшої оцінки та вжиття заходів. Хоча пентест у даному випадку розглядається як альтернатива для процесу оцінки вразливостей (наприклад, як-от автоматизоване сканування), він дозволяє провести оцінку недоліків та вразливих місць систем у значно більшому обсязі. За допомогою комплексних методик, підходів та спеціалізованих інструментів для тестування на проникнення, команда фахівців, як правило, виявляє значно більше слабких місць у системах, ніж автоматизоване сканування, зокрема завдяки адаптації процедури тестування до умов реальних кіберзагроз. Завчасно усунувши ці вразливості в програмах, мережах та системах, організація може значно зменшити ризик можливої кібератаки та її наслідки, запобігти втратам від витоку даних і репутаційним збиткам.
Поєднання таких методів, як тестування на проникнення і сканування на вразливості, відповідає найкращим світовим практикам у сфері інформаційної безпеки і суттєво підвищує ефективність процесу управління вразливостями, забезпечуючи всебічний підхід до виявлення, оцінки та усунення потенційних загроз.Отже, проведення спеціалізованого тестування на проникнення підтримує реалізацію зазначених заходів контролю, допомагаючи забезпечити відповідність вимогам управління вразливостями, моніторингу активностей, перевірки постачальників і тестування безпеки під час розробки.

Як часто рекомендовано проводити тестування на проникнення (пентест)?

ISO/IEC 27002:2022 підкреслює, що таке тестування стосується окремих заходів безпеки, і для підтримання сертифікації та забезпечення відповідності стандарту пентест рекомендується здійснювати регулярно, згідно з визначеним організацією планом. Однак, ми завжди рекомендуємо проводити тестування зовнішніх систем на проникнення після будь-яких значних змін в ІТ-інфраструктурі, під час випуску нових версій продукту, додавання нових функцій або перед введенням в експлуатацію нових систем чи програмного забезпечення. Хоча впровадження надійних заходів безпеки має вирішальне значення, не менш важливо перевіряти стан захищеності організації, щоб виявити вразливі місця, перш ніж ними скористаються зловмисники. Моделюючи загрози реального світу за допомогою пентесту, організація зможе налагодити своєчасне та ефективне реагування на них. Включивши тестування на проникнення у свою стратегію побудови та подальшої підтримки системи управління інформаційною безпекою, організація не лише відповідатиме міжнародним стандартам з інформаційної та кібербезпеки, а й захистить власні інформаційні активи від реальних кіберзагроз. 
У цій короткій статті ми відповіли на питання: чи передбачає стандарт ISO/IEC 27001 проведення тестування на проникнення? Якщо у вас залишились питання щодо пентесту для вашого бізнесу, наші фахівці готові надати детальну інформацію. Ви дізнаєтесь про обсяг цього виду тестування, його тривалість та вартість.