Чек-лист "Как контролировать качество пентеста"

В тестировании на проникновение существуют свои отраслевые стандарты. Есть те, что формализуют деятельность инженеров (MITRE ATT&CK, OWASP и пр), есть те, которые  вдобавок описывают лучшие способы организации самого процесса.

Например PTES - Penetration Testing Execution Standard, одна из наиболее полных и популярных, NIST SP 800-115 – Technical Guide to Information Security Testing and Assessment, стандыртификация с уклоном в аудит, OSSTMM – The Open Source Security Testing Methodology.

Manual – наиболее научный, с большим количеством метрик, но, к сожалению не обновляемый, ISSAF – Information System Security Assessment Framework – один из первых, очень популярный когда-то. Отраслевые стандарты, типа CRES, PCI DSS и т.п.

Мы, полагаясь на свой опыт, методику и существующие стандарты, выделили критерии по  которым можно определить на сколько качественно проходило тестирование на проникновение.

Если тестирование ещё идёт или планируется, то можно улучшить его качество контролируя получение соответствующих артефактов.