Этот стандарт определяет рекомендуемые процессы проведения тестирования на проникновение с организациями финансовых услуг. Этот стандарт описывает структуру для определения@ описания и проведения тестирования на проникновение@ и последующего сопоставления результатов тестирования на проникновение. Этот стандарт позволяет организации, заинтересованной в получении услуг по тестированию на проникновение, идентифицировать объекты, подлежащие тестированию@, указывать уровень тестирования@ и устанавливать минимальный набор ожиданий от тестирования. Настоящий стандарт обеспечивает концептуальную основу для описания тестирования на проникновение@, включая: Роли и обязанности участников. Типы тестов на проникновение. Обобщенный цикл тестирования на проникновение. Общие методологии/методики тестирования. Ограничения тестирования на проникновение. Ранжирование методологий@. Основы усилий по тестированию (уровни тестирования). соображения работы Рекомендации по составлению отчета об испытаниях Требования к тестированию Безопасность среды тестирования Общие практики и методологии Квалификация тестировщика Следующие области явно выходят за рамки данного документа, поскольку они сильно зависят от особенностей компонентов/продуктов, используемых системой (например,@ операционная система@, программные приложения@ и машинная архитектура) и/или опыт тестировщика@ или деятельность не связана напрямую с процессом тестирования на проникновение и не соответствует структуре тестирования: Аудит локальной конфигурации Криминалистический анализ (например,@ оценка целей@ рассмотрение местных криминалистических доказательств проникновения @ цепочек доказательств) Конкретные методы эксплойта Интерпретация результатов (например, рейтинг «прошел/не прошел») Проверка поставщиков услуг по тестированию на проникновение Тестирование процедур резервного копирования (успешная непрерывность бизнеса) Аудитория этого стандарта включает: Организации финансовых услуг которые хотят привлечь внутреннюю группу или внешнее агентство для проведения теста на проникновение. Понимание правил участия в переговорах и принятии теста на проникновение одинаково применимо как к внутренним группам, так и к внешним агентствам. Поставщики услуг, предлагающие тестирование на проникновение другой внутренней группе или внешнему клиенту. Понимание правил взаимодействия, проведения переговоров и проведения теста на проникновение в равной степени применимо как к внутренним, так и к внешним клиентам. Специалисты по безопасности полагаются на тест на проникновение. Понимание правил участия в рассмотрении@интерпретации и принятии отчетов о тестах на проникновение в равной степени применимо как к внутренним подразделениям, так и к внешним оценщикам и аудиторам. Разработчики систем@ разработчики приложений@ системные администраторы@ и владельцы сервисных предприятий могут извлечь выгоду из понимания того, как методы тестирования на проникновение могут применяться для тестирования ИТ-ресурсов, находящихся под их ответственностью. Примечание: ISO/TR 13569 [2.1] @ ISO/IEC 27004 [2.3] @ ISO/IEC 27005 [2.4] и ISO/IEC 27006 [2.5] упоминают тестирование на проникновение; как и Стандарт безопасности данных индустрии платежных карт (PCI DSS). Этот стандарт организован и должен использоваться следующим образом: Раздел 5 «Значение деятельности по тестированию на проникновение» должен использоваться организациями финансовых услуг и специалистами, которые относительно плохо знакомы с тестированием на проникновение, чтобы получить представление о тестировании на проникновение. Пен-тестирование является компонентом оценки риска@, и в то же время необходимо осознавать присущие ограничения тестирования на проникновение. Раздел 6. Структура тестирования на проникновение должна использоваться организациями финансовых услуг и поставщиками услуг тестирования на проникновение для установления взаимопонимания и общих условий для всего процесса. Раздел 7. Спецификация теста на проникновение должен использоваться организациями финансовых услуг и поставщиками услуг тестирования на проникновение во время проведения фактического теста на проникновение. Доверяющие стороны должны использовать этот раздел, чтобы получить представление о цели оценки (TOE) и параметрах тестирования на проникновение. Раздел 8 – «Соображения по взаимодействию» должен использоваться организациями финансовых услуг и поставщиками услуг по тестированию на проникновение при заключении соглашения о взаимодействии по вопросам проникновения. Обратите внимание, что это одинаково применимо независимо от того, является ли поставщик услуг внутренней группой (например, Red Team) или внешним агентством (например, третьей стороной). Эта модель аналогична аудиту, проводимому либо внутренними аудиторами, либо специалистами по внешнему аудиту. Раздел 9 – Действия по тестированию на проникновение должен использоваться поставщиками услуг по тестированию на проникновение во время выполнения теста на проникновение для обеспечения качества для обеспечения последовательных@ сопоставимых и действенных результатов@, а также организацией финансовых услуг для управления проектом. Раздел 10. Отчетность должна использоваться поставщиком услуг тестирования на проникновение для создания и отправки отчета в организацию, предоставляющую финансовые услуги. Организации финансовых услуг должны использовать этот раздел для просмотра и принятия отчета о тестировании на проникновение. Доверяющие стороны должны использовать этот раздел для рассмотрения и интерпретации отчета о проникновении. Обратите внимание, что отчет о проникновении обычно предоставляется внутренней независимой или внешней проверяющей стороне организацией финансовых услуг без взаимодействия с поставщиком услуг тестирования на проникновение. Раздел 11 «Мероприятия по поддержке тестирования на проникновение» должен использоваться поставщиками услуг по тестированию на проникновение во время выполнения теста на проникновение для обеспечения качества, чтобы обеспечить последовательные, сопоставимые и действенные результаты. В этом разделе представлены вспомогательные мероприятия в дополнение к тем, которые обсуждаются в разделах 9 и 10. Обратите внимание, что этот стандарт может использоваться в других отраслях, помимо организаций финансовых услуг. Тест на проникновение — это целевой подход, позволяющий определить, могут ли различные цели и задачи быть достигнуты неавторизованным персоналом. Это не сканирование уязвимостей@ и не попытка перечислить все возможные уязвимости. Если есть основания полагать, что уязвимости могут существовать@, перед привлечением тестера на проникновение следует провести оценку безопасности и меры по усилению защиты. Тест на проникновение используется для определения того, защищены ли системы и активы надлежащим образом.