Modello di piano di test di sicurezza o esempio

8

Che aspetto ha un piano di test di sicurezza?

Qualcuno può indicare un modello per tale documento o un esempio?

    
posta smiley 12.07.2012 - 13:34
fonte

6 risposte

10

C'è anche lo Pentest Standard

    
risposta data 13.07.2012 - 18:00
fonte
6

NIST 800-53A e NIST 800-115 Questo non è strettamente un piano di test, ma è un catalogo degli elementi di un piano di test. Se stai lavorando con un sistema governativo, questo è un elenco di standard di test per i controlli di sicurezza. Se stai lavorando su un sistema commerciale, è un catalogo di risorse.

Un'altra risorsa per i piani di test è SANS Critical 20 Security Controls ; personalmente penso che sia legittimo ma sovrascritto.

Abrams sembra essere un esempio; puoi trovare altro cercando Security Test & Piani di valutazione su Google.

In definitiva, comunque, penso che tutti manchi il bersaglio. I moderni piani di test di sicurezza dovrebbero essere fatti sulla base del rischio. Secondo me, dovresti eseguire la valutazione del rischio, identificare i principali rischi N e quindi sviluppare un piano di progetto standard per testare / convalidare tali rischi all'interno delle risorse disponibili ($$, tempo, esperienza, ecc.).

    
risposta data 19.03.2013 - 19:55
fonte
5

C'è una buona risorsa su MSDN. Hai avuto la possibilità di leggere questo argomento su MSDN Magazine?

Bene, ecco qui i link che possono aiutare a definire ciò che sembri:

risposta data 13.07.2012 - 07:13
fonte
3

Standard / politiche, valutazione del rischio e modelli di minaccia dovrebbero eliminare una serie di rischi e controlli chiave per mitigarli. Ciò che consiste dipenderà da ciò che viene consegnato.

Un piano di test dovrebbe fondamentalmente stabilire prove di questi controlli. Il test di penetrazione / vulnerabilità è solo una parte di questo. Altri aspetti potrebbero essere la revisione del codice / build / configurazione, gli aspetti dei test funzionali per garantire che le funzionalità previste siano presenti, l'assicurazione di terze parti e la conformità agli standard.

    
risposta data 26.03.2013 - 10:04
fonte
2

Qui è una pagina di richiesta per Modello piano di test per Siti Web e applicazioni Web forniti da XBOSoft - link

    
risposta data 25.03.2013 - 08:31
fonte
2

Questa è una domanda molto simpatica dal punto di vista della gestione della sicurezza. Per me è successo nei casi in cui sono magicamente supposto di portare 'a PLAN' che risolve tutte le preoccupazioni del management. Il piano secondo la definizione richiede attenzione e attenzione a dettagli specifici. Un piano di successo dovrebbe SEMPRE corrispondere al suo scopo, agli sforzi e ai risultati che offre

Lascia che ti spieghi ulteriormente.

Firstly, a plan basically should work like a small project have all the ingredients of what should compromise as an effective and cost-effective project. Just like in any project you would discuss

  • Ambito del progetto
  • Requisiti
  • Obiettivi
  • Risorse
  • Elemento dell'elenco
  • Design / Soluzione proposta
  • Deliverable
  • Metriche sul rendimento del progetto / KPI
  • Documentazione

Similarly, any plan for that matter should have a decent foot-print of an effective project management activities and planning.

Your statement would have made just the perfect contextual sense; if you added something like i want a testing plan for xyz. XYZ here is arbitrary can be but not limited to:-

  1. Come indicato e spiegato nella guida di test OWASP un piano o una serie di test casi che sarebbero pronti a verificare la conformità se il programmatore ha seguito o meno le linee guida di codifica OWASP.
  2. Dicendo questo voglio dire che un piano può essere usato, preparato e tutorato per testare qualsiasi cosa che soddisfi i requisiti e gli obiettivi. Questo è il motivo, vedresti esp in sicurezza che c'è un piano o una metodologia per tutto . Un altro esempio potrebbe essere predisposto un piano che verifica periodicamente la configurazione del punto di accesso dell'organizzazione a protocolli / standard di crittografia debole (WEP) anche un piano che controlla specificamente i servizi di gestione remota non crittografati (ad es. Telnet) utilizzando uno strumento (es.) NESSUS . Nei termini del laico, ogni volta che ci sono due input dispendiosi sistematicamente e ambientalmente coinvolti, ci sarebbero sempre due piani coinvolti non uno. Per esempio. Ha perfettamente senso, a seconda della criticità dell'uso di particolari attrezzature industriali, i produttori potrebbero imporre due piani di prova separati e strategie per la resistenza di dadi e bulloni alle sollecitazioni a riposo (colpite da oggetti in rapido movimento) e anche la resilienza della stessa cosa che accade quando il suo movimento.

Secondly, a key point related to plans; is there a clean and distinct description of types of tests performed and the expected results. Usually these results are aligned or mapped with an already prepared METRICS to have an understanding on the level of success or failure achieved in performing these tests.

Lastly, you asked about stuff / things that goes in a PLAN. Saying if you have done your homework and know what goes where. You can start with the following outline.

  • Sfondo
  • Dettagli obiettivo
  • Ambito di lavoro
  • Metodologie adottate
  • Elenco dei test eseguiti
  • Analisi dei risultati del test
  • Manutenzione e aggiornamento del piano
  • Consigli

Spero ti possa aiutare:)

    
risposta data 26.03.2013 - 18:23
fonte

Leggi altre domande sui tag