Алексей Халин
Отчет о проведении работ по оценке защищенности является итоговым документом, в котором содержатся сведения о порядке проведения работ, их результатах, а также информация об объекте оценки, целях, условиях и границах проведения работ и используемых для оценки методах и средствах.
Чтобы можно было оценить качество и полноту выполненных работ, итоговый отчет должен содержать:
- Общие положения работ. Такие положения включают сведения об основании для проведения работ, наименования заказчика и исполнителя работ, сроки проведения работ, их цели и задачи. Обычно эту информацию помещают в первые разделы отчета.
- Описание объекта оценки, границы проведения работ и условия их проведения. Объем представленной информации должен обеспечить заказчику возможность оценить масштаб и объем проведенных работ с учетом утвержденного технического задания. Рекомендуем размещать эту информацию в начале отчета.
- Резюме проекта. Эти сведения предназначены для руководящего состава компании заказчика и должны включать в себя общую оценку защищенности объекта оценки и краткое описание полученных результатов. Здесь же может быть представлено описание ключевых угроз информационной безопасности. Резюме проекта обычно помещается после описания объекта оценки.
- Детальное описание хода работ. Эти сведения являются основным источником информации для технических специалистов компании заказчика. Они должны содержать детальное описание действий команды специалистов по тестированию на проникновение, которые привели к достижению поставленных целей и задач. Описанные действия должны быть подтверждены доказательствами успешной эксплуатации уязвимостей (скриншотами, листингами, текстовыми описаниями). Кроме того, здесь должны содержаться рекомендации по устранению выявленных уязвимостей. Эту информацию следует размещать сразу после резюме проекта. Обычно это заключительный раздел.
Помимо основных разделов, итоговый отчет может включать различные приложения к нему. Например:
- полный перечень выявленных недостатков и уязвимостей (реестр уязвимостей);
- перечень проведенных проверок;
- методики проведения работ, которые могут описывать условия проведения работ, модель нарушителя, используемые методы и средства тестирования, порядок проведения работ, требования, на соответствие которым проводилась оценка, а также метрики расчета общей оценки защищенности системы, опасности уязвимостей и угроз информационной безопасности;
- рекомендации по улучшению работы системы обеспечения информационной безопасности.