При подготовке и проведении работ по оценке защищенности необходимо учитывать факторы, влияющие на их результаты. К таким факторам относятся:
-
Сроки проведения работ. Для получения качественного результата сроки работ должны определяться исходя из объемов работ и их сложности. Также при определении сроков работ необходимо учитывать количество специалистов, которые будут проводить оценку. Чем больше специалистов выделено исполнителем, тем быстрее будут выполнены работы. Однако нужно понимать, что слишком сжатые сроки выполнения работ будут накладывать ограничения на команду тестирования. Если время на проведение работ изначально не позволяет достигнуть поставленных целей и решить требуемые задачи, то не стоит ожидать многого и от качества результатов. Специалисты исполнителя в сильно ограниченных временных рамках могут физически не успеть выполнить все необходимые проверки для всех систем в границах работ, из-за чего им придется либо снижать глубину проверок, либо ограничиваться проверками отдельных систем или сетей.
-
Границы проведения работ. Границы работ влияют на количество выявленных уязвимостей, векторов атак и вариантов реализации недопустимых событий. Для проведения максимально эффективных работ рекомендуется тестировать все активы и всю информационно-телекоммуникационную инфраструктуру, задействованную в работе вашей системы. Помните, что чем больше компонентов системы будет исключено из процесса оценки, тем больше угроз безопасности останутся невыявленными, а значит, и неустраненными. Не рекомендуется исключать критически значимые системы из процесса оценки, для таких систем существуют безопасные методы тестирования. Такие методы будут рассмотрены в отдельном документе.
-
Препятствия работе команды тестирования. Такими препятствиями могут быть: затягивание с ответами на вопросы исполнителя, блокирование IP-адресов команды тестирования, непредоставление входных данных, необходимых для проведения работ, предоставление недостоверной информации о системе и т. д. Все это может приводить к потере времени, увеличению трудозатрат исполнителя (что скажется на эффективности его работы и качестве полученных результатов) или даже к невозможности проведения работ.
-
Ограничения на способы тестирования. К таким ограничениям могут относиться: запрет на использование методов социальной инженерии, отказ от тестирования беспроводных сетей, запрет на использование методов физического доступа к сетям связи и другие. Эти ограничения существенно снизят эффективность тестирования, поэтому и качество результатов будет ниже. Самым распространенным ограничением является отказ от проверок, которые могут привести к отказу в обслуживании систем. Несмотря на то, что такие проверки могут не быть основной целью тестирования, рекомендуется рассмотреть возможность провести такие проверки во время технологических окон, в нерабочее время сотрудников или на тестовом стенде.
-
Рабочее место исполнителя. Если работы выполняются на территории заказчика, рекомендуется предоставить исполнителю выделенное помещение (например, переговорную комнату) или выделенные рабочие места, настроенное сетевое оборудование для подключения к сети или тестируемой системе с характеристиками, достаточными для эффективной работы, и учетные записи с необходимым уровнем привилегий (если требуется). Комфортные условия работы исполнителя демонстрируют ответственное отношение заказчика к задаче и повышают эффективность работы исполнителя.
-
Изменение целей по ходу работ. В случае изменения целей работ исполнителю для достижения новых целей может потребоваться выполнить дополнительные работы, не запланированные на старте, что приведет к изменению общего срока выполнения работ. Если изменить сроки проведения работ не представляется возможным, исполнитель будет вынужден повышать скорость выполнения работ за счет снижения их объема и качества. Кроме того, из-за изменения целей работ уже проведенные работы могут оказаться бесполезными. Все это говорит о том, что изменение целей работ может привести к неэффективному использованию времени и ресурсов, заложенных на выполнение работ, и не позволить получить ожидаемый результат.