Testy penetracyjne PENT
Ocena zagrożeń dla bezpieczeństwa danej organizacji poprzez projektowanie i realizację testów penetracyjnych, które wykazują, w jaki sposób przeciwnik może doprowadzić do naruszenia celów dotyczących zabezpieczeń organizacji lub osiągnąć określone przeciwne cele. Testy penetracyjne mogą być czynnościami odrębnymi lub aspektami testów akceptacyjnych przed uzyskaniem zatwierdzenia do pracy. Zapewnienie lepszego wglądu w ryzyko biznesowe poszczególnych zagrożeń dla bezpieczeństwa.
Poziom odpowiedzialności za tę umiejętność
4 | 5 | 6 |
Testy penetracyjne: Poziomy 1-3
Ta umiejętność nie jest zazwyczaj obserwowana ani praktykowana na tych poziomach odpowiedzialności i rozliczalności.
Testy penetracyjne: Poziom 4
Utrzymuje aktualną wiedzę na temat złośliwego oprogramowania oraz innych zagrożeń dla cyberbezpieczeństwa. Tworzy przypadki testowe, korzystając z dogłębnej analizy technicznej ryzyka i typowych zagrożeń dla bezpieczeństwa. Tworzy skrypty testowe, materiały i pakiety testów do testowania nowego i istniejącego oprogramowania lub usług. Określa wymagania dla środowiska, danych, zasobów i narzędzi. Dokonuje przekładu, realizuje i dokumentuje złożone skrypty testowe, korzystając z uzgodnionych metod i standardów. Rejestruje i analizuje działania i rezultaty. Przegląda wyniki testów i modyfikuje testy w razie konieczności. Dostarcza raporty dotyczące postępu, anomalii, ryzyka i problemów powiązanych z ogólnym projektem. Dostarcza sprawozdań dotyczących jakości systemu i gromadzi dane na temat przypadków testowych. Zapewnia specjalistyczne porady, aby pomagać innym.
Testy penetracyjne: Poziom 5
Koordynuje i zarządza planowaniem testów penetracyjnych w ramach zdefiniowanego obszaru działalności biznesowej. Dostarcza obiektywne spostrzeżenia na istnienie zagrożeń dla bezpieczeństwa, skuteczności środków ochronnych i łagodzących – tych istniejących i planowanych pod kątem przyszłego wdrożenia. Ponosi odpowiedzialność za spójność czynności testowych i koordynuje realizację tych działań. Zapewnia zdecydowane porady i wytyczne dotyczące planowania i realizacji testów zagrożeń dla bezpieczeństwa. Definiuje i komunikuje strategię testową. Zarządza wszystkimi procesami testowymi i przyczynia się do korporacyjnych standardów testowania bezpieczeństwa.
Testy penetracyjne: Poziom 6
Stosuje wszechstronne podejście w celu znalezienia zagrożeń dla bezpieczeństwa w ramach pełnego spektrum polityk, procesów i mechanizmów obronnych organizacji w celu poprawy gotowości organizacyjnej, usprawnienia szkoleń dla osób odpowiedzialnych za bezpieczeństwo oraz sprawdza obecne poziomy wydajności. Określa zasady testowania i ponosi odpowiedzialność za procesy pomocnicze. Ponosi odpowiedzialność za zarządzanie wszystkimi czynnościami testowymi w zakresie zagrożeń dla bezpieczeństwa w ramach organizacji. Ocenia i doradza w zakresie praktyczności alternatyw procesów testowych. Początkuje usprawnienia w procesach testowych i kieruje ich wdrożeniem. Ocenia możliwości rozwoju i testowania dostawców. Zarządza relacjami z klientem w odniesieniu do wszystkich kwestii związanych z testowaniem.
Testy penetracyjne: Poziom 7
Ta umiejętność nie jest zwykle obserwowana ani praktykowana na tym poziomie odpowiedzialności i rozliczalności.