Drošības testēšanas un red-teaming politika

Drošības testēšanas un red-teaming politika (P40) nosaka visaptverošu ietvaru organizācijas kiberdrošības pasākumu nepārtrauktai novērtēšanai un validācijai. Tās galvenais mērķis ir nodrošināt atbilstību tādiem regulējumiem kā NIS2 21. panta 2. punkta (f) apakšpunkts, kas paredz formālus un strukturētus procesus kiberdrošības risku pārvaldības darbību efektivitātes izvērtēšanai. Ieviešot regulāru ievainojamību skenēšanu, ikgadēju penetrācijas testēšanu kritiskajām sistēmām un periodiskas red-team simulācijas, politika nodrošina proaktīvu nepilnību identificēšanu, ko standarta operatīvās kontroles var neatklāt. Politikas darbības joma ir plaša un aptver visas kritiskās informācijas sistēmas, lietojumprogrammas un atbalstošo infrastruktūru organizācijā. Būtiski, ka tā attiecas arī uz fiziskās drošības aspektiem, piemēram, sociālo inženieriju un fiziskās penetrācijas testiem, ja tas ir piemērojams, lai nodrošinātu holistisku pieeju organizācijas aizsardzībai. Tās prasības ir saistošas visām iekšējām drošības komandām, ārējiem testēšanas uzņēmumiem un attiecīgajiem sistēmu īpašniekiem vai lietojumprogrammu īpašniekiem. Testēšanas aktivitātes tiek rūpīgi regulētas, pieprasot autorizēšanu un noteiktu noteikumu ievērošanu, lai novērstu traucējumus un nodrošinātu drošību. Lomas un pienākumi ir skaidri aprakstīti, lai uzturētu pārskatatbildību un racionalizētu procesus. Drošības testēšanas koordinators, kuru ieceļ galvenais informācijas drošības vadītājs (CISO), uzrauga visu drošības testēšanas aktivitāšu plānošanu, izpildi un ziņošanu. Iekšējās komandas sadarbojas gan aizsardzības, gan testēšanas lomās, savukārt red teams vai penetrācijas testētāji (iekšējie vai trešo pušu) izpilda kontrolētus uzbrukuma scenārijus saskaņotos parametros. Sistēmu īpašnieki nodrošina savlaicīgu identificēto problēmu un trūkumu novēršanu, bet vadība integrē konstatējumus plašākos risku pārvaldības un atbilstības ziņošanas procesos. Politika uzsver detalizētu pārvaldību: pirms katra testa tiek definēta darbības joma un iesaistes noteikumi, tiek piemērotas stingras autorizēšanas procedūras un nodrošināta rūpīga ziņošana. Tā uzsver drošas datu apstrādes nozīmi, pieprasot, lai jebkuri piekļūtie reālie dati tiktu turēti konfidenciāli un ziņojumos tiktu iekļauta tikai anonimizēta informācija. Trūkumu novēršana ir obligāta un tiek izsekota, veicot atkārtotu testēšanu, lai verificētu labojumus. Politika attiecas arī uz piegādātāju un trešo pušu sistēmām, ja tas ir būtiski, nodrošinot saskaņošanu visā piegādes ķēdē. Nepārtraukta uzlabošana ir būtiska tēma: no atkārtotiem konstatējumiem gūtajām mācībām jāietekmē politika, konfigurācijas standarti un incidentu reaģēšanas plāni. IT, izstrādes un vadības personālam ir noteiktas apmācību programmas, lai veicinātu informētību, nostiprinātu operatīvo disciplīnu un uzturētu modrību pret jauniem draudiem. Visas testēšanas aktivitātes tiek reģistrētas žurnālos un periodiski auditētas, lai apstiprinātu efektivitāti, regulatīvo pienākumu izpildi un savlaicīgu trūkumu novēršanas pasākumu slēgšanu. Pārskatīšana tiek plānota reizi gadā vai pēc būtiskiem incidentiem, nodrošinot, ka politika saglabā aktualitāti dinamiskā draudu vidē.