Тестирование на проникновение PENT
Оценка уязвимостей организации посредством разработки и выполнения тестов на проникновение, которые демонстрируют, как злоумышленник может либо подорвать цели организации в области безопасности, либо достичь определенных враждебных целей. Тестирование на проникновение может быть отдельным мероприятием или аспектом приемочного тестирования до утверждения работы. Выявление более глубокого понимания бизнес-рисков различных уязвимостей.
Уровни ответственности за этот навык
4 | 5 | 6 |
Тестирование на проникновение: Уровни 1-3
Этот навык, как правило, не соблюдается и не практикуется на этих уровнях ответственности и подотчетности.
Тестирование на проникновение: Уровень 4
Поддерживает текущие знания об атаках вредоносного ПО и других угрозах кибербезопасности. Создает тестовые примеры с использованием углубленного технического анализа рисков и типичных уязвимостей. Разрабатывает тестовые сценарии, материалы и тестовые пакеты для тестирования нового и существующего программного обеспечения или услуг. Определяет требования к среде, данным, ресурсам и инструментам. Интерпретирует, выполняет и документирует сложные сценарии тестирования с использованием согласованных методов и стандартов. Записывает и анализирует действия и результаты. Проверяет результаты тестов и при необходимости вносит изменения в тесты. Предоставляет отчеты о ходе работы, аномалиях, рисках и проблемах, связанных с проектом в целом. Отчеты о качестве системы и сбор метрик по тестовым случаям. Предоставляет консультации специалистам.
Тестирование на проникновение: Уровень 5
Координирует и управляет планированием тестов на проникновение в определенной сфере деятельности. Предоставляет объективную информацию о существовании уязвимостей, эффективности защиты и смягчающих мер контроля - как уже существующих, так и планируемых к внедрению в будущем. Берет на себя ответственность за целостность действий по тестированию и координирует выполнение этих действий. Предоставляет ценные советы и рекомендации по планированию и проведению тестов на уязвимости. Определяет и сообщает стратегию тестирования. Управляет всеми процессами тестирования и способствует соблюдению корпоративных стандартов тестирования безопасности.
Тестирование на проникновение: Уровень 6
Применяет комплексный подход к поиску уязвимостей по всему спектру политик, процессов и средств защиты организации, чтобы повысить готовность организации, улучшить обучение специалистов по обеспечению безопасности и проверить текущие уровни производительности. Определяет политику тестирования и владеет вспомогательными процессами. Берет на себя ответственность за управление всей деятельностью по тестированию уязвимостей в организации. Оценивает практичность альтернативных процессов тестирования и дает советы. Инициирует улучшения процессов тестирования и руководит их внедрением. Оценивает возможности поставщиков в области разработки и тестирования. Управляет отношениями с клиентами по всем вопросам тестирования.
Тестирование на проникновение: Уровень 7
Этот навык, как правило, не соблюдается и не практикуется на этом уровне ответственности и подотчетности.