PASSI, CREST, OSCP, CEH… Стоит ли проводить пентест у сертифицированного исполнителя? Сертификация в области безопасности позволяет компаниям, предлагающим аудит безопасности, пройти квалификацию. Если вы хотите воспользоваться данным видом услуг, это интересные элементы, которые следует учитывать при выборе поставщика услуг, но не единственные, позволяющие оценить уровень качества. Более того, если вы заказываете пентест, возникает вопрос о ценности этого процесса и любых сертификатах, которые вы сможете предъявить по результатам аудита безопасности.
Проведение пентеста в сертифицированной компании
Проведение пентеста в компании, имеющей признанные сертификаты, может быть обнадеживающим как для клиента, так и для его партнеров, которым будет передан отчет об аудите. Некоторые сертификаты относятся к самой компании, проводящей пентест, другие — к аудиторам безопасности, отвечающим за проведение пентеста.
Сертификация компании, проводящей пентест
Некоторые компании сертифицированы в области пентестинга. Хотя это не является обязательным условием для проведения качественных пентестов (некоторые небольшие, узкоспециализированные компании имеют мало времени для проведения сертификации, в то время как другие компании, которые проводят пентесты реже, могут иметь больше ресурсов для проведения сертификации), этот вид сертификации, специфичный для деятельности по проведению пентестов, подтверждает, что процессы компании были проверены и признаны надежными независимой третьей стороной. Параллельно другие знаки безопасности могут свидетельствовать о процессах, внедренных компанией, проводящей пентест, для обеспечения безопасности своих ИБ, собственных данных и данных своих клиентов.
Другие знаки и сертификаты безопасности
Существуют и другие сертификаты кибербезопасности, которые могут иметь компании, проводящие тестирование на проникновение (а также другие компании из различных секторов).
ISO27001 — это наиболее знаковый сертификат кибербезопасности. Он применяется к управлению безопасностью информационных систем компании в целом и является очень всеобъемлющим стандартом. Следует отметить, что этот стандарт не относится конкретно к услугам по пентестированию, оказываемым третьим лицам, а касается политики безопасности и процессов, применяемых для обеспечения кибербезопасности внутри компании.
Если компания занимается и другими видами деятельности, помимо тестирования на проникновение, то в зависимости от характера деятельности могут применяться другие сертификаты кибербезопасности.
Для издателей программного обеспечения или разработчиков решений сертификация Common Criteria свидетельствует о надежном уровне кибербезопасности, широко признанном на международном уровне. В США SOC2 — это стандарт, касающийся контроля безопасности и конфиденциальности данных, который обычно требуется для издателей программного обеспечения. Во Франции сертификация CSPN может подтвердить первый уровень безопасности, предлагая более доступную альтернативу общим критериям для издателей программного обеспечения, желающих усовершенствовать свой подход к безопасности.
Для поставщиков цифровых услуг существует множество сертификатов, применяемых в зависимости от сферы деятельности.