Сертификаты сами по себе не суммируют все навыки пентестинговой компании и ее пентестеров. Важно учитывать и другие критерии, чтобы оценить пригодность поставщика услуг для проведения аудита безопасности.
Задайте себе вопросы, приведенные ниже, чтобы выбрать компанию профессионалов.
Основная деятельность
Специализируется ли компания на пентестинге? Какой объем тестирования на проникновение составляет по отношению к общему объему услуг или деятельности компании?
Каков предлагаемый подход к пентесту? Какую методологию и инструменты использует поставщик услуг?
Понимание потребностей клиента
Какова способность поставщика услуг понимать и переформулировать потребности клиента? Какова степень технического понимания поставщика услуг и точность его предложения?
Каковы действующие процессы для определения потребностей перед проведением пентеста, заключения контракта и проведения аудита безопасности?
Связи с другими структурами
Является ли компания независимой? Или она является дочерней компанией группы с другими видами деятельности? Для какого типа клиентов она работает и какие виды пентестов являются наиболее распространенными?
Насколько привлекательна компания для пентестеров? И, следовательно, какова ее способность нанимать и удерживать хороших специалистов?
Каковы гарантии в отношении защиты данных и конфиденциальности результатов? Есть ли у компании какие-либо другие этические или КСО обязательства?
Получение сертификата по результатам пентеста
Вопрос сертификации в связи с проведением пентеста также относится к ценности аудита безопасности и получению возможной сертификации для клиента. Существуют сертификаты безопасности, составной частью которых является пентест, а также сертификаты аудита безопасности и другие результаты, которые могут быть предоставлены клиенту по итогам пентеста.
Для компании, заказывающей пентест, конечной целью может быть получение сертификата кибербезопасности. Это касается, в частности, проектов сертификации ISO27001, а также более специфических сертификаций, таких как SOC2. В этом случае пентест является одним из критериев или шагов для получения сертификата. Важно обсудить текущий контекст сертификации с компанией, которая будет отвечать за проведение пентеста, поскольку конечная цель, а также цели, определенные в ходе анализа рисков, будут влиять на объем пентеста.
Получение сертификата пентеста
Помимо сертификатов по кибербезопасности, о которых мы только что упомянули, после некоторых видов пентестов можно получить сертификат аудита безопасности.
В этом случае речь идет о частном сертификате, выданном компанией, которая проводила пентест. Сертификат подтверждает, что тесты на проникновение были проведены третьей стороной, специализирующейся в данной области. Компания, проводящая пентест, подтверждает свой имидж и серьезность своих услуг, официально подтверждая выполненную работу. Как правило, сертификат такого типа выдается после проведения полного пентеста (углубленного тестирования на проникновение и проверки внесенных после этого исправлений), чтобы не подорвать доверие к исполнителям, если пентест был непродолжительным и охватывал только часть периметра.
Сертификат аудита безопасности — это интересный результат, который можно донести до потенциальных клиентов, заказчиков и партнеров.
Другие результаты, которые могут быть получены после проведения пентеста
Сертификат — это не единственный тип документа, который может быть передан третьим лицам после проведения пентеста. Отчеты по аудиту безопасности также могут быть переданы полностью или частично.
Можно выделить несколько типов результатов:
- технический отчет, в котором подробно описываются протестированные части, типы проведенных тестов, обнаруженные уязвимости, рекомендации по исправлению.
- отчет о встречном аудите, который показывает, что проблемы безопасности, выявленные в ходе аудита, были устранены
- резюме, которое представляет собой нетехническое резюме для руководства или лиц, принимающих решения, не связанных с ИТ и кибербезопасностью.