¿Qué aspecto tiene un plan de pruebas de seguridad?
¿Alguien puede señalar una plantilla para dicho documento o un ejemplo?
NIST 800-53A y NIST 800-115 Eso no es estrictamente un plan de prueba, pero es un catálogo de los elementos de un plan de prueba. Si está trabajando con un sistema de gobierno, es una lista de estándares de prueba para los controles de seguridad. Si estás trabajando en un sistema comercial, es un catálogo de recursos.
Otro recurso para los planes de prueba es SANS Critical 20 Security Controls ; Personalmente creo que eso es legítimo pero que está sobrevalorado.
Abrams parece ser un ejemplo; Puede encontrar más buscando Test de seguridad & Planes de evaluación en Google.
En última instancia, sin embargo, creo que todos se pierden la marca. Los planes de prueba de seguridad modernos deben hacerse sobre la base del riesgo. En mi opinión, debe realizar su evaluación de riesgos, identificar los principales N riesgos y luego desarrollar un plan de proyecto estándar para probar / validar esos riesgos dentro de los recursos disponibles ($$, tiempo, experiencia, etc.).
Hay un buen recurso en MSDN. ¿Tuvo la oportunidad de leer sobre este tema en la revista MSDN?
Bueno, aquí están los enlaces que pueden ayudar a definir su aspecto:
Los estándares / políticas, la evaluación de riesgos y el modelado de amenazas deben eliminar un conjunto de riesgos y controles clave para mitigarlos. En qué consistirá esto dependerá de lo que se entregue.
Un plan de prueba debe establecerse fundamentalmente para evidenciar estos controles. La penetración / pruebas de vulnerabilidad es solo una parte de esto. Otros aspectos podrían ser la revisión de código / construcción / configuración, los aspectos de las pruebas funcionales para garantizar que las capacidades esperadas están presentes, la garantía de terceros y el cumplimiento de los estándares.
Esta es una pregunta muy importante desde la perspectiva de la gestión de la seguridad. Para mí, ha sucedido en los casos en los que, mágicamente, supongo que debo traer 'a PLAN'
que resuelve todas las preocupaciones de la administración. El plan según la definición exige atención y atención a detalles específicos. Un plan exitoso SIEMPRE coincide con su propósito, esfuerzo y los resultados que entrega
Déjame explicarte más.
En primer lugar, un plan básicamente debería funcionar como un pequeño proyecto que tiene todos los ingredientes de lo que debería comprometerse como un proyecto eficaz y rentable. Al igual que en cualquier proyecto que discutirías
Del mismo modo, cualquier plan para ese asunto debería tener un decente huella de una planificación y actividades de gestión de proyectos eficaces.
Tu declaración hubiera tenido el perfecto sentido contextual; si agregaste algo como que quiero un plan de prueba para
xyz
. XYZ aquí es arbitrario, pero no se limita a: -
En segundo lugar, un punto clave relacionado con los planes; ¿Existe una descripción clara y clara de los tipos de pruebas realizadas y los resultados esperados? Por lo general, estos resultados se alinean o mapean con METRICS ya preparados para comprender el nivel de éxito o fracaso alcanzado al realizar estas pruebas.
Por último, preguntaste sobre cosas que van en un PLAN. Decir si has hecho tu tarea y saber qué va a dónde. Puedes comenzar con el siguiente esquema.
Espero que te ayude :)
Lea otras preguntas en las etiquetas threats automated-testing