web-dev-qa-db-ja.com

セキュリティテスト計画のテンプレートまたは例

セキュリティテスト計画はどのようなものですか?

そのようなドキュメントや例のテンプレートを誰かが指摘できますか?

automated-testingthreats
8
smiley

Pentest Standard もあります。

10
Epoch Win

NIST 800-53A および NIST 800-115 これは厳密にはテスト計画ではありませんが、テスト計画の要素のカタログです。政府のシステムを使用している場合、これはセキュリティ管理策のテスト標準のリストです。商用システムで作業している場合、それはリソースのカタログです。

テスト計画のもう1つのリソースは SANS Critical 20 Security Controls ;です。個人的にはそれは合法だと思いますが、誇大宣伝です。

Abrams は例のようです。詳細については、Googleでセキュリティテストと評価プランを検索してください。

しかし、結局のところ、それらはすべてマークを逃しています。最新のセキュリティテスト計画は、リスクに基づいて行う必要があります。私の意見では、リスク評価を実行し、上位Nのリスクを特定し、標準のプロジェクト計画を作成して、利用可能なリソース($$、時間、専門知識など)内でそれらのリスクをテスト/検証する必要があります。

6
Mark C. Wallace

MSDNには優れたリソースがあります。 MSDN Magazineでこのトピックについて読む機会がありましたか?

さて、ここにあなたがあなたが見るものを定義するのを助けるかもしれないリンクがあります:

5
Yusubov

標準/ポリシー、リスク評価、および脅威のモデリングにより、一連の主要なリスクと統制を排除し、それらを軽減する必要があります。これらの構成は、配信される内容によって異なります。

テスト計画は、基本的にこれらのコントロールを証明するために設定する必要があります。侵入/脆弱性テストはこれの一部にすぎません。その他の側面としては、コード/ビルド/構成のレビュー、期待される機能が存在することを確認する機能テストの側面、サードパーティによる保証、標準への準拠などがあります。

3
flamingm0

ここ は、XBOSoftが提供するテスト計画テンプレートのリクエストページです http:/ /www.xbosoft.com/contact/whitepaper/functional-test-plan-for-websites

2
Cyril

これは、セキュリティ管理の観点からすると、非常に重要な問題です。私にとってそれは、管理上のすべての心配を解決する'a PLAN'を持ってくると魔法のように思っている場合に起こりました。定義による計画は、特定の詳細への焦点と注意を要求します。成功した計画は、常にその目的、努力、およびそれが提供する結果と一致します

さらに説明させてください。

まず、計画は基本的に小規模なプロジェクトのように機能し、効果的で費用効果の高いプロジェクトとして妥協すべきすべての要素を備えている必要があります。他のプロジェクトと同じように

  • プロジェクト範囲
  • 必要条件
  • 目的
  • 資源
  • リストアイテム
  • 設計/提案されたソリューション
  • 成果物
  • プロジェクトパフォーマンスメトリック/ KPI
  • ドキュメンテーション

同様に、その問題の計画には、効果的なプロジェクト管理活動と計画の適切なフットプリントが必要です。

あなたの発言は、まさに完璧な文脈上の意味をなしていたでしょう。 xyzのテスト計画が必要なようなものを追加した場合。ここでXYZは任意ですが、これに限定されません。

  1. OWASPテストガイドで指定および説明されているように、プログラマがOWASPセキュアコーディングガイドラインに従っているかどうかに応じて、コンプライアンスをテストするために準備される計画または一連のテストケース
  2. これはつまり、計画を使用、準備、メンタリングして、要件と目的に合ったあらゆるものをテストできることを意味します。これが理由で、ESPにはすべてに計画または方法論があることがわかります。別の例は、組織のアクセスポイントの構成を定期的にテストして、弱い暗号化プロトコル/標準(WEP)をテストする計画を立てることもできます。この計画では、暗号化されていないリモート管理サービス(例:telnet)ツール(例:NESSUSを使用)。平易な言い方をすると、2つの異なる体系的で環境に絶望的なインプットが関係する場合は常に、1つではなく2つの計画が関係します。例えば。これは、製造業者が2つの個別のテスト計画と、静止時の応力(高速で移動する物体による衝撃)に対するナットとボルトの耐性の戦略、および同じ問題が発生した場合の回復力を要求できる特定の産業機器の使用の重要性に応じて、完全に理にかなっています。その動き。

第二に、計画に関連する要点です。実行されたテストのタイプと期待される結果の明確で明確な説明はありますか?通常、これらの結果は、これらのテストの実行で達成された成功または失敗のレベルを理解するために、すでに準備されたMETRICSと調整またはマッピングされます。

最後に、計画に含まれるものについて質問しました。あなたが宿題をやり、何がどこに行くのか知っていると言ってください。次のアウトラインから始めることができます。

  • バックグラウンド
  • ターゲットの詳細
  • 仕事の範囲
  • 採用された方法論
  • 実行されたテストのリスト
  • テスト結果の分析
  • 計画の維持と更新
  • 推奨事項

それがあなたを助けることを願っています:)

2
Saladin