Saugumo testavimo ir raudonosios komandos politika

Saugumo testavimo ir raudonosios komandos politika (P40) nustato išsamią sistemą nuolatiniam organizacijos kibernetinio saugumo priemonių vertinimui ir kontrolės validavimui. Pagrindinis tikslas – užtikrinti atitiktį reglamentams, tokiems kaip NIS2 21 straipsnio 2 dalies f punktas, kuriame reikalaujama formalių ir struktūrizuotų procesų kibernetinio saugumo rizikos valdymo veiklų veiksmingumui įvertinti. Įvedant reguliarius pažeidžiamumų skenavimus, metinius įsiskverbimo testus kritinėms sistemoms ir periodines raudonosios komandos simuliacijas, politika užtikrina proaktyvų trūkumų identifikavimą, kurių standartinės operacinės kontrolės priemonės gali neaptikti. Politikos taikymo sritis yra plati ir apima visas kritines informacines sistemas, taikomąsias programas ir palaikančią infrastruktūrą organizacijoje. Svarbu tai, kad ji taip pat apima fizinio saugumo aspektus, tokius kaip socialinė inžinerija ir fiziniai įsiskverbimo testai, kai tai aktualu, siekiant holistinio požiūrio į organizacijos apsaugą. Visos vidaus saugumo komandos, išorinės testavimo įmonės ir atitinkami sistemos savininkai ar taikomųjų programų savininkai privalo laikytis jos reikalavimų. Testavimo veiklos yra kruopščiai reguliuojamos, reikalaujant autorizavimo ir laikymosi apibrėžtų taisyklių, kad būtų išvengta sutrikimų ir užtikrintas saugumas. Vaidmenys ir atsakomybės aiškiai aprašyti, siekiant išlaikyti atskaitomybę ir supaprastinti procesus. Saugumo testavimo koordinatorius, paskirtas vyriausiojo informacijos saugumo pareigūno (CISO), prižiūri visų saugumo testavimo veiklų planavimą, vykdymą ir ataskaitų teikimą. Vidaus komandos bendradarbiauja tiek gynybos, tiek testavimo vaidmenyse, o raudonosios komandos nariai arba įsiskverbimo testuotojai (vidiniai arba trečiųjų šalių paslaugų teikėjai) vykdo kontroliuojamus atakų scenarijus pagal sutartus parametrus. Sistemos savininkas užtikrina savalaikį identifikuotų problemų šalinimą, o vadovybė integruoja išvadas į platesnius rizikos valdymo ir atitikties ataskaitų teikimo procesus. Politikoje didelis dėmesys skiriamas detaliai valdysenai: prieš kiekvieną testą apibrėžiama taikymo sritis ir įsitraukimo taisyklės, taikomos griežtos autorizavimo procedūros ir vykdomas nuoseklus ataskaitų teikimas. Pabrėžiama saugaus duomenų tvarkymo svarba, reikalaujant, kad bet kokie pasiekti realūs duomenys būtų laikomi konfidencialiais, o ataskaitose būtų pateikiamos tik anonimizuotos detalės. Trūkumų šalinimas yra privalomas ir sekamas, o pakartotinis testavimas atliekamas siekiant patikrinti pataisymus. Politika taip pat taikoma tiekėjų ir trečiųjų šalių sistemoms, kai tai aktualu, užtikrinant suderinimą visoje tiekimo grandinėje. Nuolatinis tobulinimas yra svarbi tema: pasikartojančių išvadų pamokos turi daryti įtaką politikai, konfigūracijos standartams ir reagavimo į incidentus planams. IT, kūrimo ir vadovybės personalui privalomos mokymo programos, siekiant didinti informuotumą, stiprinti operacinę drausmę ir išlaikyti budrumą prieš kylančias grėsmes. Visos testavimo veiklos registruojamos žurnaluose ir periodiškai audituojamos, siekiant patvirtinti veiksmingumą, reglamentavimo pareigų įvykdymą ir savalaikį taisomųjų veiksmų uždarymą. Peržiūros planuojamos kasmet arba po didelių incidentų, užtikrinant, kad politika išliktų aktuali dinamiškoje grėsmių aplinkoje.