Глобальная система навыков и компетенций для цифрового мира

Тестирование на проникновение PENT

Проверка эффективности средств контроля безопасности путем эмуляции инструментов и методов вероятных злоумышленников.

Уровни ответственности за этот навык

3 4 5 6

Методические рекомендации:

Тестирование на проникновение может быть отдельным мероприятием или аспектом приемочного тестирования перед получением разрешения на эксплуатацию.

Деятельность может включать, но не ограничиваться:

  • этический хакинг - использование тех же инструментов и методов, что и противник, для безопасного использования слабых мест в системе безопасности
  • демонстрация того, как противник может подорвать цели безопасности или достичь конкретных целей противника
  • оценка эффективности текущих/планируемых мер защиты или мер по снижению воздействия
  • обеспечение безопасности сетей, систем и приложений
  • выявление понимания бизнес-рисков, связанных с различными уязвимостями
  • тестирование сети, инфраструктуры, веб-приложений и мобильных приложений на наличие слабых мест
  • проверка уровней и конфигураций патчей
  • социальная инженерия.

Понимание уровней ответственности этого навыка

Там, где нижние уровни не определены...
  • Конкретные задачи и обязанности не определены, потому что навык требует более высокого уровня автономии, влияния и сложности в принятии решений, чем обычно ожидается на этих уровнях. Операторы сущности можно использовать для понимания общих обязанностей, связанных с этими уровнями.
Там, где не определены более высокие уровни...
  • Обязанности и подотчетность не определены, потому что эти более высокие уровни предполагают стратегическое лидерство и более широкое организационное влияние, выходящее за рамки этого конкретного навыка. Смотрите основные утверждения.

Развитие навыков и демонстрация обязанностей, связанных с этим навыком

Определенные уровни показывают постепенное развитие навыков и ответственности.

Там, где нижние уровни не определены...

Вы можете развивать свои знания и поддерживать других людей, которые несут ответственность в этой области, следующим образом:

  • Изучение ключевых концепций и принципов, связанных с этим навыком и его влиянием на вашу роль
  • Выполнение соответствующих навыков (см. соответствующие навыки SFIA)
  • Поддержка других лиц, выполняющих задачи и мероприятия более высокого уровня
Там, где не определены более высокие уровни...
  • Вы можете прогрессировать, развивая соответствующие навыки, которые лучше подходят для более высоких уровней организационного лидерства.

Показать/скрыть дополнительные описания и уровни.

Тестирование на проникновение: Уровень 3

Уровень 3 - Применять: Суть уровня: Выполняет разнообразные задачи, иногда сложные и нестандартные, используя стандартные методы и процедуры. Работает под общим руководством, проявляет осмотрительность и управляет собственной работой в установленные сроки. Инициативно повышает квалификацию и усиливает свое влияние на рабочем месте.

Следуя стандартным подходам, разрабатывает и выполняет мероприятия по тестированию на проникновение. Изучает и исследует методы атак и рекомендует способы защиты от них. Анализирует и составляет отчеты о мероприятиях по тестированию на проникновение, результатах, проблемах и рисках.

Тестирование на проникновение: Уровень 4

Уровень 4 - Выполнять: Суть уровня: Выполняет разнообразную сложную деятельность, поддерживает и направляет других, делегирует задачи, когда это необходимо, работает автономно под общим руководством и вносит экспертный вклад в достижение целей команды.

Выбирает соответствующий подход к тестированию, используя глубокий технический анализ рисков и типичных уязвимостей. Разрабатывает сценарии тестирования, материалы и тестовые пакеты и проводит тестирование новых и существующих сетей, систем или приложений. Предоставляет консультации по вопросам тестирования на проникновение для поддержки других сотрудников. Записывает и анализирует действия и результаты и при необходимости вносит изменения в тесты. Предоставляет отчеты о прогрессе, аномалиях, рисках и проблемах, связанных с общим проектом.

Тестирование на проникновение: Уровень 5

Уровень 5 - Обеспечивать, советовать: Суть уровня: Обеспечивает авторитетное руководство в своей области и работает под широким руководством. Отвечает за достижение значительных результатов работы, начиная с анализа, выполнения и заканчивая оценкой.

Планирует и проводит тестирование на проникновение в рамках определенной сферы деятельности. Предоставляет объективную информацию о наличии уязвимостей, эффективности защитных мер и средств контроля. Берет на себя ответственность за целостность мероприятий по тестированию и координирует их выполнение. Предоставляет авторитетные советы и рекомендации по всем аспектам тестирования на проникновение. Определяет потребности и внедряет новые подходы к тестированию на проникновение. Вносит вклад в разработку стандартов тестирования безопасности.

Тестирование на проникновение: Уровень 6

Уровень 6 - Инициировать, влиять: Суть уровня: Обладает значительным организационным влиянием, принимает решения на высоком уровне, формирует политику, демонстрирует лидерство, способствует организационному сотрудничеству и принимает на себя ответственность в ключевых областях.

Определяет политику тестирования на проникновение и владеет вспомогательными процессами. Управляет всеми мероприятиями по тестированию на проникновение в организации. Оценивает и консультирует по вопросам практической целесообразности альтернативных вариантов процесса тестирования. Создает возможности для постоянного совершенствования и изобретений в области тестирования на проникновение и руководит внедрением новых подходов. Оценивает возможности поставщиков в области разработки и тестирования. Управляет отношениями с клиентами в отношении тестирования на проникновение.