ISMS Guiden 1.0

Search

SearchSearch

3.4.1 - Planlegg inntrengingstester med tydelig mål og omfang

May 03, 20242 min read

  • a) Identifiser viktige deler av informasjonssystemet som bør vektlegges i testingen.

  • b) Identifiser enkeltsystemer eller - komponenter som er så kritiske at de må unntas fra testingen. Dette kan være deler av IKT-infrastrukturen som er kritiske for å opprettholde virksomhetskritiske tjenester eller som ikke er i stand til å tåle en inntrengingstest (eksempelvis sentrale industrielle kontrollsystemer).

Etisk hacking, er en essensiell prosess for å sikre en organisasjons cybersikkerhet ved å simulere angrep for å identifisere og adressere sårbarheter. Denne formen for testing spiller en stor rolle i å evaluere effektiviteten av sikkerhetstiltak og strategier. Ved å avdekke svakheter før de kan utnyttes av ondsinnede aktører, bidrar penetrasjonstesting til å forhindre potensielle sikkerhetsbrudd som kan føre til datatap, økonomiske tap og skade på organisasjonens omdømme.

Implementering

a) Identifiser viktige deler av informasjonssystemet som bør vektlegges i testingen.

1. Vurdering

I kategorien 1.1.1 - Identifiser virksomhetens strategi og prioriterte mål defineres det virksomheten sin strategi og prioriterte mål. Det er mulig å bruke de prioriterte målene som virksomheten har definert her som et start punkt for. Vurder hvilke systemer som inneholder sensitiv eller kritisk informasjon og de som, hvis kompromittert, kunne ha stor påvirkning på organisasjonens operasjoner. Fokuser på systemer kjent for å ha sårbarheter, eller som ikke har blitt testet nylig. Dette kan inkludere webapplikasjoner, databaser, og nettverksinfrastruktur.

b) Identifiser enkeltsystemer eller - komponenter som er så kritiske at de må unntas fra testingen. Dette kan være deler av IKT-infrastrukturen som er kritiske for å opprettholde virksomhetskritiske tjenester eller som ikke er i stand til å tåle en inntrengingstest (eksempelvis sentrale industrielle kontrollsystemer).

1. Vurdering

Noen systemer kan være for risikable å gjennomføre penetrasjons tester. Dette kommer av at enkelte systemer har lav terskel på forstyrrelser før systemer kan skades, dette er ofte eldre systemer. Det kan også være systemer i bedriften som er for kritisk for at bedriften kan operere og dermed ikke bør bør testes mot i produksjon, men heller en demo situasjon.

Gjør også en vurdering rundt systemer som har strenge sikkerhets mekanismer som kan slå utløse alvorlige konsekvenser.

Graph View

Backlinks