Результаты тестирований на проникновение

Снова коллегойзатрагивается тема проведения тестирований на проникновение и тема о результирующих документах по окончанию подобных работ. В типовом отчете, предложенном Александром Дорофеевым, я больше увидел не отчет по тестированию на проникновение, а отчет по инструментальному обследованию с ручной верификацией уязвимостей. На этой ноте предлагаю вашему вниманию типовой шаблон по результатам проведения тестирований на проникновение, используемый в компании Positive Technologies. name='more'> Отчет по результатам тестирования на проникновение включает в себя: методику проводимых работ;выводы (как развернутые технические, так и более краткие для руководства), в которых дается оценка состояния защищенности информационной системы Заказчика;описание хода работ, выявленных уязвимостей, ранжирование их по степени потенциальной опасности, вероятности их использования, описание последствий реализации выявленных уязвимостей; рекомендации по нейтрализации выявленных уязвимостей (снижению возможного ущерба от их использования злоумышленниками), рекомендации по изменению конфигурации и настроек оборудования, используемых защитных механизмов и программных средств, принятию дополнительных мер и применению дополнительных средств защиты, по установке необходимых обновлений для используемого программного обеспечения и т.п.;выводы по анализу уязвимостей в Web-приложениях и методах их нейтрализации;результаты эксплуатации нескольких критичных уязвимостей, включая информацию о полученном уровне привилегий в системе на различных этапах тестирования; выводы об осведомленности персонала Заказчика о требованиях по обеспечению ИБ.Ниже представлен типовой шаблон комплексного тестирования на проникновение: PT Penetration Testing Report (sample)
View more documents from Dmitry Evteev. ЗЫ: шаблон появился на свет силами Сергея Гордейчика, Дмитрия Кузнецова, Алексея Юдина, и не без участия вашего покорного слуги.