Globalne ramy umiejętności i kompetencji w cyfrowym świecie

Testy penetracyjne PENT

Ocena zagrożeń dla bezpieczeństwa danej organizacji poprzez projektowanie i realizację testów penetracyjnych, które wykazują, w jaki sposób przeciwnik może doprowadzić do naruszenia celów dotyczących zabezpieczeń organizacji lub osiągnąć określone przeciwne cele. Testy penetracyjne mogą być czynnościami odrębnymi lub aspektami testów akceptacyjnych przed uzyskaniem zatwierdzenia do pracy. Zapewnienie lepszego wglądu w ryzyko biznesowe poszczególnych zagrożeń dla bezpieczeństwa.

Poziomy

Zdefiniowane na następujących poziomach: 4 5 6

Testy penetracyjne: Poziomy 1-3

Ta umiejętność zazwyczaj nie jest obserwowana przy pracy na tych poziomach odpowiedzialności.

Testy penetracyjne: Poziom 4

Utrzymuje aktualną wiedzę na temat złośliwego oprogramowania oraz innych zagrożeń dla cyberbezpieczeństwa. Tworzy przypadki testowe, korzystając z dogłębnej analizy technicznej ryzyka i typowych zagrożeń dla bezpieczeństwa. Tworzy skrypty testowe, materiały i pakiety testów do testowania nowego i istniejącego oprogramowania lub usług. Określa wymagania dla środowiska, danych, zasobów i narzędzi. Dokonuje przekładu, realizuje i dokumentuje złożone skrypty testowe, korzystając z uzgodnionych metod i standardów. Rejestruje i analizuje działania i rezultaty. Przegląda wyniki testów i modyfikuje testy w razie konieczności. Dostarcza raporty dotyczące postępu, anomalii, ryzyka i problemów powiązanych z ogólnym projektem. Dostarcza sprawozdań dotyczących jakości systemu i gromadzi dane na temat przypadków testowych. Zapewnia specjalistyczne porady, aby pomagać innym.

Testy penetracyjne: Poziom 5

Koordynuje i zarządza planowaniem testów penetracyjnych w ramach zdefiniowanego obszaru działalności biznesowej. Dostarcza obiektywne spostrzeżenia na istnienie zagrożeń dla bezpieczeństwa, skuteczności środków ochronnych i łagodzących – tych istniejących i planowanych pod kątem przyszłego wdrożenia. Ponosi odpowiedzialność za spójność czynności testowych i koordynuje realizację tych działań. Zapewnia zdecydowane porady i wytyczne dotyczące planowania i realizacji testów zagrożeń dla bezpieczeństwa. Definiuje i komunikuje strategię testową. Zarządza wszystkimi procesami testowymi i przyczynia się do korporacyjnych standardów testowania bezpieczeństwa.

Testy penetracyjne: Poziom 6

Stosuje wszechstronne podejście w celu znalezienia zagrożeń dla bezpieczeństwa w ramach pełnego spektrum polityk, procesów i mechanizmów obronnych organizacji w celu poprawy gotowości organizacyjnej, usprawnienia szkoleń dla osób odpowiedzialnych za bezpieczeństwo oraz sprawdza obecne poziomy wydajności. Określa zasady testowania i ponosi odpowiedzialność za procesy pomocnicze. Ponosi odpowiedzialność za zarządzanie wszystkimi czynnościami testowymi w zakresie zagrożeń dla bezpieczeństwa w ramach organizacji. Ocenia i doradza w zakresie praktyczności alternatyw procesów testowych. Początkuje usprawnienia w procesach testowych i kieruje ich wdrożeniem. Ocenia możliwości rozwoju i testowania dostawców. Zarządza relacjami z klientem w odniesieniu do wszystkich kwestii związanych z testowaniem.

Testy penetracyjne: Poziom 7

Ta umiejętność zazwyczaj nie jest obserwowana przy pracy na tym poziomie odpowiedzialności.