Когда работы по оценке защищенности закончены, важно оценить их результаты. Главным помощником в этом деле является техническое задание, составленное перед началом работ.
Работы по оценке защищенности строго не регламентируются на законодательном уровне и основываются на опыте и специфике работы исполнителя и по большей части носят «творческий» характер. Получается, что четкие критерии качества могут быть предъявлены только к аудиту информационной безопасности. Критериями качества для таких работ будут выступать требования или стандарты, на соответствие которым проводился аудит. Остальные работы (анализ защищенности отдельных систем и тестирование на проникновение) могут выполняться разными специалистами по-разному. Кроме того, для каждого вида работ могут различаться и цели их выполнения. Так как предъявить четкие критерии качества для таких работ не представляется возможным, для определения качества работ необходимо руководствоваться утвержденным техническим заданием. Тем не менее для всех работ по оценке защищенности можно выделить критерии качества, выполнение которых обязательно:
- цель работ достигнута или дано обоснование невозможности ее достижения;
- результаты работ соответствуют требованиям технического задания;
- границы проведения работ соблюдены;
- дано обоснование оценки защищенности систем;
- даны рекомендации по повышению защищенности систем и устранению выявленных недостатков;
- подтверждена возможность эксплуатации выявленных уязвимостей.
Кроме того, для оценки качества работ могут быть приняты во внимание возможные показатели качества, приведенные ниже.
Приведенные выше возможные показатели качества являются лишь дополнительным инструментом оценки, и их невыполнение не означает, что работы выполнены некачественно, за исключением случаев, когда эти показатели определены в утвержденном техническом задании.
Когда вид работ по оценке защищенности выбран корректно, то, как правило, и результаты работ соответствуют ожиданиям и поставленной задаче, а значит, могут быть корректно оценены. Если же, например, стояла задача определить, сможет ли внешний злоумышленник реализовать недопустимые для бизнеса события, а для ее решения был выбран аудит информационной безопасности, то результаты работ заведомо не позволят решить поставленную задачу, а значит, могут быть несправедливо трактованы как неудовлетворительные. Нельзя оценивать работы как выполненные плохо или неуспешно только исходя из того, что цель работ не достигнута. Может случиться ситуация, когда исполнитель выполнил работу максимально качественно, а поставленная задача не решена как раз потому, что заказчик выбрал неподходящий вид работ.
Бывают и ситуации, когда вид работ подобран верно, но исполнитель все-таки не смог достичь поставленной цели и оценил защищенность системы как высокую. В этом случае оценить полноту проведенных работ помогут обобщенный перечень проверок или описание проведенных работ, которые исполнитель должен включить в итоговый отчет.