سياسة اختبار الاختراق

يجب على [ORGANIZATION] إجراء اختبار اختراق على الأقل [CUSTOMIZE: annually/bi-annually] وبعد التغييرات الجوهرية في البنية التحتية أو التطبيقات.

يجب أن يشمل نطاق اختبار الاختراق: اختبار اختراق الشبكة الخارجية واختبار اختراق الشبكة الداخلية واختبار اختراق تطبيقات الويب لجميع التطبيقات المواجهة للإنترنت وتقييم الشبكة اللاسلكية واختبار الهندسة الاجتماعية (التصيد والتصيد الصوتي والمادي).

يجب تحديد والحفاظ على برنامج اختبار الاختراق بما في ذلك: النطاق والتكرار والمنهجية وقواعد الاشتباك ومتطلبات الإبلاغ.

يجب أن تتوافق منهجية الاختبار مع أطر عمل معترف بها مثل PTES أو دليل اختبار OWASP أو NIST SP 800-115.

يجب أن يُجرى اختبار الاختراق من قبل متخصصين مؤهلين حاصلين على شهادات ذات صلة (مثل OSCP أو GPEN أو CEH أو CREST) أو خبرة مكافئة مثبتة.

يجب أن تحمل شركات اختبار الاختراق الخارجية تأمين مسؤولية مهنية بمبلغ لا يقل عن [CUSTOMIZE: $1M/$5M].

لبيئات IG3: يجب إجراء اختبار اختراق واحد على الأقل [CUSTOMIZE: annual] من قبل شركة خارجية مستقلة (ليست نفس الشركة التي تقدم خدمات أمنية أخرى لـ [ORGANIZATION]).

يجب أن يخضع كل اختبار اختراق لوثيقة قواعد الاشتباك (RoE) الموقعة التي تحدد: النطاق المصرح به (الأنظمة والشبكات والتطبيقات) والأنشطة المحظورة ونوافذ الاختبار وجهات الاتصال في حالات الطوارئ ومتطلبات التعامل مع البيانات للنتائج والحماية القانونية للمختبرين.

يجب جدولة الاختبار الذي قد يسبب تعطيل الخدمة خلال [CUSTOMIZE: maintenance windows/off-peak hours] مع إخطار أصحاب المصلحة المناسبين.

يجب الإبلاغ عن الثغرات الحرجة المكتشفة أثناء الاختبار إلى [CUSTOMIZE: CISO/IT Security] فوراً، وعدم الاحتفاظ بها للتقرير النهائي.

يجب معالجة نتائج اختبار الاختراق وفقاً لاتفاقيات مستوى الخدمة الخاصة بسياسة إدارة الثغرات.

يجب التحقق من معالجة النتائج الحرجة والعالية من خلال إعادة الاختبار خلال [CUSTOMIZE: 30/60] يوماً من الإبلاغ عن المعالجة.

يجب تصنيف تقارير اختبار الاختراق كسرية وتوزيعها فقط على المستلمين المصرح لهم.