اختبار الاختراق
اختبار فعالية ومرونة أصول المؤسسة من خلال تحديد واستغلال نقاط الضعف في الضوابط (الأفراد والعمليات والتكنولوجيا)، ومحاكاة أهداف وإجراءات المهاجم.
لماذا هذا الضابط مهم؟
يتطلب الموقف الدفاعي الناجح برنامجاً شاملاً يتضمن سياسات وحوكمة فعالة ودفاعات تقنية قوية، مدمجة مع إجراءات مناسبة من الأفراد. في بيئة معقدة حيث تتطور التكنولوجيا باستمرار وتظهر أساليب جديدة للمهاجمين بانتظام، يجب على المؤسسات اختبار ضوابطها بشكل دوري لتحديد الثغرات وتقييم مرونتها. يمكن إجراء هذا الاختبار من منظور الشبكة الخارجية أو الشبكة الداخلية أو التطبيقات أو الأنظمة أو الأجهزة. كما قد يشمل الهندسة الاجتماعية للمستخدمين أو تجاوز ضوابط الوصول المادي.
قوالب السياسات ذات الصلة
الإجراءات الوقائية (5)
| المعرف | العنوان | الوظيفة | مجموعات التطبيق | عناصر التدقيق | الأدلة |
|---|---|---|---|---|---|
| 18.1 | إنشاء وصيانة برنامج اختبار الاختراق | تحديد |
IG2
IG3
|
2 | 1 |
| 18.2 | إجراء اختبارات اختراق خارجية دورية | تحديد |
IG2
IG3
|
2 | 1 |
| 18.3 | معالجة نتائج اختبار الاختراق | حماية |
IG2
IG3
|
2 | 1 |
| 18.4 | التحقق من صحة التدابير الأمنية | حماية |
IG3
|
2 | 1 |
| 18.5 | إجراء اختبارات اختراق داخلية دورية | تحديد |
IG3
|
2 | 1 |
تفاصيل التحقق من التدقيق
إنشاء وصيانة برنامج اختبار الاختراق المناسب لحجم المؤسسة وتعقيدها ونضجها. يجب أن تتضمن خصائص برنامج اختبار الاختراق كحد أدنى النطاق مثل تقنيات الشبكة وتطبيقات الويب وأمان API والعميل والخادم اللاسلكي، والتكرار والقيود مثل الساعات والشبكات الحرجة خارج النطاق، وعملية الإبلاغ والمعالجة.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |
إجراء اختبارات اختراق خارجية دورية بناءً على متطلبات البرنامج لا تقل عن مرة سنويًا. يمكن تحديد الاختبار الخارجي كاختبار من خارج محيط دفاع الشبكة. يمكن أن يشمل الاختبار كحد أدنى مسح الثغرات الخارجية واختبار خدمات محددة ومعروفة على منافذ معروفة واختبار الهندسة الاجتماعية.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |
معالجة نتائج اختبار الاختراق بناءً على سياسة المؤسسة لنطاق ونوع المعالجة.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |
التحقق من صحة التدابير الأمنية بعد كل اختبار اختراق. إذا اعتُبر ذلك ضروريًا، إجراء اختبار ما بعد المعالجة للتحقق من التخفيف الناجح.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |
إجراء اختبارات اختراق داخلية دورية بناءً على متطلبات البرنامج لا تقل عن مرة سنويًا. يمكن أن يكون الاختبار عبارة عن مراجعة نقاط الضعف من زاوية المهاجم الداخلي.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |