Che aspetto ha un piano di test di sicurezza?
Qualcuno può indicare un modello per tale documento o un esempio?
NIST 800-53A e NIST 800-115 Questo non è strettamente un piano di test, ma è un catalogo degli elementi di un piano di test. Se stai lavorando con un sistema governativo, questo è un elenco di standard di test per i controlli di sicurezza. Se stai lavorando su un sistema commerciale, è un catalogo di risorse.
Un'altra risorsa per i piani di test è SANS Critical 20 Security Controls ; personalmente penso che sia legittimo ma sovrascritto.
Abrams sembra essere un esempio; puoi trovare altro cercando Security Test & Piani di valutazione su Google.
In definitiva, comunque, penso che tutti manchi il bersaglio. I moderni piani di test di sicurezza dovrebbero essere fatti sulla base del rischio. Secondo me, dovresti eseguire la valutazione del rischio, identificare i principali rischi N e quindi sviluppare un piano di progetto standard per testare / convalidare tali rischi all'interno delle risorse disponibili ($$, tempo, esperienza, ecc.).
C'è una buona risorsa su MSDN. Hai avuto la possibilità di leggere questo argomento su MSDN Magazine?
Bene, ecco qui i link che possono aiutare a definire ciò che sembri:
Standard / politiche, valutazione del rischio e modelli di minaccia dovrebbero eliminare una serie di rischi e controlli chiave per mitigarli. Ciò che consiste dipenderà da ciò che viene consegnato.
Un piano di test dovrebbe fondamentalmente stabilire prove di questi controlli. Il test di penetrazione / vulnerabilità è solo una parte di questo. Altri aspetti potrebbero essere la revisione del codice / build / configurazione, gli aspetti dei test funzionali per garantire che le funzionalità previste siano presenti, l'assicurazione di terze parti e la conformità agli standard.
Questa è una domanda molto simpatica dal punto di vista della gestione della sicurezza. Per me è successo nei casi in cui sono magicamente supposto di portare 'a PLAN'
che risolve tutte le preoccupazioni del management. Il piano secondo la definizione richiede attenzione e attenzione a dettagli specifici. Un piano di successo dovrebbe SEMPRE corrispondere al suo scopo, agli sforzi e ai risultati che offre
Lascia che ti spieghi ulteriormente.
Firstly, a plan basically should work like a small project have all the ingredients of what should compromise as an effective and cost-effective project. Just like in any project you would discuss
Similarly, any plan for that matter should have a decent foot-print of an effective project management activities and planning.
Your statement would have made just the perfect contextual sense; if you added something like i want a testing plan for
xyz
. XYZ here is arbitrary can be but not limited to:-
Secondly, a key point related to plans; is there a clean and distinct description of types of tests performed and the expected results. Usually these results are aligned or mapped with an already prepared METRICS to have an understanding on the level of success or failure achieved in performing these tests.
Lastly, you asked about stuff / things that goes in a PLAN. Saying if you have done your homework and know what goes where. You can start with the following outline.
Spero ti possa aiutare:)
Leggi altre domande sui tag threats automated-testing