Добрият тон при продажба и маркетинг на penetration test според OSSTMM

Целите на един ИТ одит на сигурността (security assessment) включват:

  • Оценка на реални заплахи за бизнес системите
  • Съпоставяне на техническите уязвимости и рисковете за бизнеса
  • Осигуряване на навременни и ефективни решения за ИТ сигурност чрез оценка на сигурността, базиран на риск (risk-based security assessment)

Оценката на ИТ сигурността може да включи следните модули (но не е ограничена до):

  • External Network Vulnerability Assessment
  • Internal Network Vulnerability Assessment
  • Server Configuration Reviews
  • Firewall Reviews
  • Web Application Assessment

Open Source Security Testing Methodology Manual (OSSTMM) е методология за провеждане на ИТ одити на сигурността (penetration testing) и измерване на съответните метрики (metrics). OSSTMM е разделен на 5 подтеми, които вкупом изследват:

  1. information and data controls
  2. personnel security awareness levels
  3. fraud and social engineering control levels
  4. computer and telecommunications networks
  5. wireless devices, mobile devices
  6. physical security access controls
  7. security processes
  8. physical locations such as buildings, perimeters, and military bases.

OSSTMM се фокусира върху техническите детайли, относно кои параметри трябва да бъдат изследвани, какво да се направи преди, по време на и след ИТ одита по сигурността, и как да бъдат измерени резултатите.

Първоначалното представяне на ИТ одит на сигурността (Security assessment, Penetration testing) като услуга пред клиента изисква от консултанта да представи темата поверително.

OSSTMM 2.2 (v http://isecom.securenetltd.com/osstmm.en.2.2.pdf) предоставя конкретни съвети относно продажбата и маркетинга на IT security assessment.

Накратко:

  1. Използването на страх, несигурност или измама не може да бъде използвано по време на рекламирането и продажбата на ИТ одити на сигурността
  2. Публични състезания за hacking, cracking и trespass с цел популяризиране на одити или подобни услуги са забранени
  3. Провеждането на одит или тест без изричното писмено разрешение от страна на клиента е забранено
  4. Използването на имена на съществуващи клиенти е забранено дори при наличие на съгласие от страна на клиента
  5. Необходимо е клиентът да бъде консултиран точно и прямо спрямо текущото състояние на ИТ системите му. Незнанието не е оправдание за недобросъвестно отношение от страна на консултанта.

19.04.2010
dimitar (at) newhorizons.bg

Интересувате се от темата? Пишете ни!

    Бързо запитване

    Вашите имена *

    Вашият Email *

    Вашето съобщение *

    captcha

    Добавете коментар

    Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *