Skany podatności
Planowanie
(faza I)
Rekonesans, kolekcja danych i pozyskiwanie informacji, mapowanie
Testy stabilności i dostępności infrastruktury sieciowej na styku z Internetem
(faza II)
Skan całej puli adresacji publicznej jednostki audytowanej
Testy ekspozycji systemów na styku z Internetem
Opcjonalne testy destabilizujące infrastrukturę sieciową typu Denial of Service
W sytuacji wykrycia mniejszej bądź większej liczby systemów niż w przyjętych w punkcie „założenia skali i architektury przyjęte w wycenie”, nastąpi spotkanie między zamawiającym, a wykonawcą, które będzie miało na celu doprecyzowanie danych lub przekazanie dodatkowych informacji wykonawcy
Raportowanie
(faza III)
Zebranie wyników testów bezpieczeństwa
Analiza wyników audytu
Opisanie podatności wraz z kategoryzacją CVE i CVSS
Opisanie rekomendacji
Przekazanie raportu
Zawartość raportu:
- ExecutiveSummary – główne konkluzje
- Główne rekomendacje
- Przedmiot testów
- Risk Rating
- Metodologia i kryteria testowania
- Wykorzystane narzędzia w trakcie prowadzenia skanów
- Wykaz zidentyfikowanych podatności wraz z odpowiadającym im kodem CVE
- (CommonVulnerabilityEnumaration) oraz odnośnikiem do opisu luki.
- Podatności będą pogrupowane według ryzyka, zgodnie ze standardem CVSS
- (CommonVulnerabilityScoring System).
- Rekomendacje związane z możliwym usunięciem wykrytych podatności