02.10.2024

Что такое ISO/IEC 27001?

ISO/IEC 27001 является ведущим международным стандартом, который используется организациями разных размеров и направлений деятельности для разработки, внедрения, поддержки и постоянного улучшения системы управления информационной безопасностью.
Соответствие стандарту ISO/IEC 27001 является признаком интегрированности информационной безопасности во все процессы деятельности организации.Сертифицированная организация демонстрирует способность защиты данных клиентов и собственных информационных активов путем объединения организационных мер и технических средств в единую управляемую систему, а также подтверждает перед клиентами и деловыми партнерами, что она имеет действенные и проверенные процессы безопасности. Это помогает завоевать доверие заинтересованных сторон и заключать сделки, где оценка рисков и соответствие мировым стандартам с точки зрения безопасности являются решающими.
В 2022 году стандарт подвергся значительным изменениям, вследствие чего была опубликована обновленная редакция ISO/IEC 27001:2022, в которой была представлена новая структура приложения контролей информационной безопасности и имплементированы новые требования.
Для достижения или поддержания соответствия стандарту ISO/IEC 27001:2022 организация должна рассмотреть внедрение мер контроля безопасности A.5.21, A.8.8, A.8.16, A.8.25 и A.8.29. Для их эффективной реализации рекомендуется проводить тестирование на проникновение (пентест). Стандарт ISO/IEC 27001 рассматривает этот вид тестирования как один из эффективных инструментов, направленных на улучшение состояния информационной безопасности организации. Является ли такое тестирование обязательным или рекомендованным, вы узнаете в этой статье.

Стандарт ISO/IEC 27001 и тестирование на проникновение

Тестирование на проникновение не является обязательным требованием для соответствия стандарту ISO/IEC 27001. В то же время лучшие мировые практики рекомендуют проводить пентест как часть ряда процессов управления информационной безопасностью, таких как управление рисками организации, управление уязвимостями, оценка безопасности поставщиков и партнеров, безопасная разработка и тестирование программного обеспечения, внутренний аудит и процесс непрерывного улучшения. Стандарт ISO/IEC 27002:2022, который детализирует процедуры внедрения мер контроля безопасности, указанных в приложении A к стандарту ISO/IEC 27001:2022, подчеркивает важность этой практики в нескольких ключевых компонентах информационной безопасности.
В частности, приложение A стандарта ISO/IEC 27001:2022 ссылается на меру контроля A.5.21 «Управление информационной безопасностью в цепочке поставок информационно-коммуникационных технологий (ИКТ)». Согласно стандарту, организация должна проверять, что предоставленные продукты и услуги поставщиков в области ИКТ соответствуют заявленным требованиям безопасности. Пентест рассматривается как инструмент проверки поставщика ИКТ, который помогает оценить риски и может защитить организацию от возможных нарушений безопасности со стороны третьих лиц. Для оценки рисков безопасности, связанных с поставщиками и партнерами, стоит ознакомиться с результатами тестирования на проникновение, которое рекомендуется проводить поставщикам в их инфраструктуре. Таким образом, третьи стороны не станут слабым звеном в процессе построения системы управления информационной безопасностью организации. Если поставщики услуг заинтересованы в надежности своих систем безопасности, своевременно оценивают уязвимости и устраняют их, это, в свою очередь, улучшает уровень защищенности организации, которая является их партнером.
Мера контроля 8.16 «Мониторинг активностей» рассматривает пентест как один из способов расширения мониторинга безопасности сетей, систем и приложений в организации, что позволяет установить базовый уровень поведения и состояния систем. Определение базового состояния предоставит отправную точку для дальнейшего измерения и сравнения эффективности внедренных мер безопасности. Этот важный этап помогает выявлять отклонения от нормальной работы, которые могут свидетельствовать о потенциальных инцидентах безопасности или угрозах, и реагировать на них.
Меры контроля в стандарте ISO/IEC 27001:2022, касающиеся безопасной разработки и тестирования, а именно A.8.25 «Безопасный жизненный цикл разработки» и A.8.29 «Тестирование безопасности во время разработки и приёма в эксплуатацию», подчеркивают, что при разработке программного обеспечения должны применяться принципы безопасного написания кода и должны быть определены процессы тестирования безопасности, которые следует внедрить на всех этапах жизненного цикла разработки программного обеспечения. Для внедрения меры контроля A.8.29 ISO/IEC 27002:2022 рекомендует проводить тестирование на проникновение наряду с процедурой ревизии кода и регрессионным тестированием для выявления уязвимостей на уровне кода и проектирования. В свою очередь, мера контроля A.8.25 определяет пентест как одно из условий безопасной разработки, что включает в себя построение архитектуры, программ, сервисов и систем с акцентом на их безопасность. Интеграция тестирования на проникновение в процесс разработки обеспечит учет аспектов безопасности в ваших программных продуктах с самого начала их жизненного цикла.
В рекомендациях по внедрению меры контроля A.8.8 «Управление техническими уязвимостями», определенной в стандарте ISO/IEC 27002:2022, указано следующее: "Необходимо получать информацию о технических уязвимостях существующих информационных систем, оценивать степень воздействия таких уязвимостей на организацию и принимать соответствующие меры." 
Внедрение процесса управления уязвимостями предполагает плановые и периодические тестирования на проникновение с участием специалистов или проведение оценки уязвимостей, включая автоматизированное сканирование, которое помогает выявить уязвимости в системах для их дальнейшей оценки и принятия мер. Хотя пентест в данном случае рассматривается как альтернатива процессу оценки уязвимостей (например, автоматизированному сканированию), он позволяет провести более детальную оценку пробелов в надежности информационных систем. Благодаря комплексным методикам, подходам и специализированным инструментам для тестирования на проникновение команда специалистов обычно выявляет значительно больше слабых мест в системах по сравнению с автоматизированным сканированием, в том числе благодаря адаптации процедуры тестирования к условиям реальных киберугроз. Устранив эти уязвимости в программах, сетях и системах заранее, организация может значительно снизить риск возможной кибератаки и её последствия, предотвратить утечки данных и репутационные убытки.
Совмещение таких методов, как тестирование на проникновение и сканирование уязвимостей, соответствует лучшим мировым практикам в области информационной безопасности и существенно повышает эффективность процесса управления уязвимостями, обеспечивая комплексный подход к идентификации, оценке и устранению потенциальных угроз.
Таким образом, проведение специализированного тестирования на проникновение в соответствии со стандартом ISO/IEC 27001 поддерживает реализацию указанных мер контроля, помогая обеспечить соответствие требованиям управления уязвимостями, мониторинга активностей, проверки поставщиков и тестирования безопасности в процессе разработки.

Как часто рекомендуется проводить тестирование на проникновение (пентест)?

ISO/IEC 27001:2022 подчеркивает, что такое тестирование касается отдельных мер безопасности, и для подтверждения сертификации и обеспечения соответствия стандарту пентест рекомендуется проводить регулярно, в соответствии с установленным организацией планом. При этом рекомендуется проводить тестирование внешних систем на проникновение после значительных изменений в ИТ-инфраструктуре, при выпуске новых версий продукта, добавлении новых функций или перед вводом в эксплуатацию новых систем или программного обеспечения. Хотя внедрение надежных мер безопасности имеет решающее значение, не менее важно проверять состояние защищенности организации, чтобы выявить уязвимости до того, как ими смогут воспользоваться злоумышленники. Моделируя угрозы реального мира с помощью пентеста, организация сможет наладить своевременное и эффективное реагирование на них. Включив тестирование на проникновение в свою стратегию построения системы управления информационной безопасностью, организация не только будет соответствовать международным стандартам информационной и кибербезопасности, но и защитит свои информационные активы от реальных киберугроз.

В этой краткой статье мы ответили на вопрос, предусматривает ли стандарт ISO/IEC 27001 проведение тестирования на проникновение. Если у вас остались вопросы относительно пентеста для вашего бизнеса, наши специалисты готовы предоставить подробную информацию. Вы узнаете об объеме этого вида тестирования, его продолжительности и стоимости.