Техническое задание является основополагающим документом, содержащим сроки, условия, объемы и границы работ, а также критерии качества результатов работ по оценке защищенности. К разработке технического задания необходимо подходить ответственно, так как после утверждения внести изменения в него будет достаточно сложно.
Ниже описаны основные разделы технического задания, которые оно должно содержать, чтобы работы по оценке защищенности были выполнены в достаточном объеме и качестве. При этом техническое задание может быть дополнено другими разделами по усмотрению заказчика.
Первый раздел технического задания должен содержать общие положения работ. В такой раздел включают основания для разработки технического задания, цели и задачи, которые должны быть выполнены в результате работ, наименование заказчика работ, наименование исполнителя работ (если известно).
Второй раздел технического задания должен включать описание масштабов, состава и архитектуры тестируемой системы. Объем предоставляемой информации должен обеспечить исполнителю возможность оценить необходимые трудозатраты на проведение работ. Подробное описание системы и границ проведения работ предоставляется исполнителю дополнительно после заключения договора об оказании услуг в объеме, зависящем от метода проведения работ (метод черного ящика, метод серого ящика или метод белого ящика).
Третий раздел технического задания должен содержать условия проведения работ. Условия могут включать требования к модели нарушителя, модели проведения работ, входные данные, формат работы службы информационной безопасности заказчика и команды специалистов по тестированию на проникновение и другие условия.
Четвертый раздел технического задания должен содержать требования к проведению работ. В этот раздел необходимо включить подразделы, соответствующие этапам проведения работ. В этих подразделах нужно привести описание этапов работ. Этапами работ могут быть:
- сбор и согласование границ проведения работ;
- сбор информации о системе;
- активная стадия работ;
- другие этапы.
Кроме того, в этот раздел необходимо включить требования к объему выполняемых работ и привести критерии качества результатов. Объем выполняемых работ не должен ограничиваться разовыми попытками тестирования компонентов системы и должен предусматривать использование исполнителем всех своих средств и инструментов для выполнения поставленных задач. На случай, если исполнитель, проводя тестирование, исчерпает все свои ресурсы, так и не получив доступа к целевой системе, рекомендуется предусмотреть в техническом задании вариант предоставления исполнителю доступа к системе для проведения тестирования от лица внутреннего нарушителя.
Пятый раздел должен содержать правила проведения работ. В этот раздел включаются правила работы команды специалистов по тестированию на проникновение. Например, команда специалистов по тестированию на проникновение не должна проводить атаки, целью которых является отказ в обслуживании элементов инфраструктуры заказчика, за исключением тех случаев, когда отказ в обслуживании какой-либо системы является целью тестирования, согласованной с заказчиком. В этом разделе следует указать обязанность исполнителя незамедлительно сообщать о найденных на периметре сети критически опасных уязвимостях, позволяющих злоумышленнику легко (быстро) получить доступ к внутренней сети. Также следует обозначить, что после устранения выявленной уязвимости исполнителю при необходимости будет предоставлен доступ к внутренней сети, эквивалентный полученному за счет эксплуатации выявленной уязвимости.
Шестой раздел должен содержать требования к оформлению отчетной документации. В этот раздел включаются требования к разработке финального отчета о выполнении работ.
Седьмой раздел должен содержать сроки проведения работ. В этом разделе определяются сроки выполнения каждого этапа работ, указанного в разделе 3 технического задания, с указанием наименований этапов, а также дат начала и окончания этапов. В раздел могут быть добавлены и другие этапы работ, например подготовка отчетной документации и защита результатов работ.
Восьмой раздел должен содержать требования к взаимодействию сторон. В этом разделе необходимо указать, что взаимодействие между сторонами осуществляется через ответственных лиц. Также необходимо определить каналы коммуникаций: электронная почта, мессенджеры, платформы аудио- или видеосвязи, телефонная связь и т. д. Необходимо определить и способы передачи конфиденциальной информации.