У начинающих специалистов по информационной безопасности возникает вопрос: политикой информационной безопасности компании требуется проведение тестов на проникновение или, другими словами Penetration testing, но как подходить к этой процедуре? Какие действия выполнять внутренними силами информационной безопасности или что обсуждать при заказе выполнения процедур от внешних организаций?
Привожу ссылки на наиболее распространенные руководства по этому вопросу. К сожалению, все руководства не русскоязычные.
Привожу ссылки на наиболее распространенные руководства по этому вопросу. К сожалению, все руководства не русскоязычные.
- Technical guidance for Penetration Testing Execution Standard
- Open Web Application Security Project (OWASP) Testing Project
- A Penetration Testing Model
- NIST Special Publication 800-53 “Recommended Security Controls for Federal Information Systems and Organizations”
- Open-Source Security Testing Methodology Manual
- NSA IAM (National Security Agency Information Security Assessment Methodology)
- Cybersecurity Vulnerability Assessment Methodologies (Cybersecurity VAMs, Primatech Inc.)
- Information Systems Security Assessment Framework, OISSG (Open Information Systems Security Group)
