суббота, 19 ноября 2011 г.

Методология проведения Penetration testing

У начинающих специалистов по информационной безопасности возникает вопрос: политикой информационной безопасности компании требуется проведение тестов на проникновение или, другими словами Penetration testing, но как подходить к этой процедуре? Какие действия выполнять внутренними силами информационной безопасности или что обсуждать при заказе выполнения процедур от внешних организаций?
Привожу ссылки на наиболее распространенные руководства по этому вопросу. К сожалению, все руководства не русскоязычные.
  1. Technical guidance for Penetration Testing Execution Standard
  2. Open Web Application Security Project (OWASP) Testing Project
  3. A Penetration Testing Model
  4. NIST Special Publication 800-53 “Recommended Security Controls for Federal Information Systems and Organizations”
  5. Open-Source Security Testing Methodology Manual
  6. NSA IAM (National Security Agency Information Security Assessment Methodology)
  7. Cybersecurity Vulnerability Assessment Methodologies (Cybersecurity VAMs, Primatech Inc.)
  8. Information Systems Security Assessment Framework, OISSG (Open Information Systems Security Group)