Oi peerlysters!

Este pequeno post ilustra a diferença entre Políticas, Normas , Procedimentos e Diretrizes e apresenta alguns Padrões e Diretrizes bem conhecidos.

Políticas

Políticas são documentos escritos por membros de alto nível gerencial que especificam as responsabilidades e o comportamento exigido de cada indivíduo em uma organização. Em geral, as políticas são curtas e não especificam aspectos técnicos, como sistemas operacionais e fornecedores. Se a organização for grande, as políticas poderiam ser divididas em subpolíticas.

Padrões

Padrões são uma descrição de baixo nível de como a organização aplicará a política. Em outras palavras, eles são usados ​​para manter um nível mínimo de segurança cibernética efetiva. Eles também são obrigatórios.

Procedimentos

Os procedimentos são documentos detalhados que descrevem todas as etapas necessárias em tarefas específicas, como a criação de um novo usuário ou a redefinição de senha . Cada passo é obrigatório. Esses procedimentos devem estar alinhados com as políticas da organização.

Nota : Em termos de padrões e procedimentos , também é necessário fornecer um protocolo para lidar com exceções ou isenções, pois não fazê-lo pode colocar essas atividades no subterrâneo (e enfraquecer o programa de segurança , como resultado). O protocolo deve incluir como o pedido deve ser documentado, que o pedido deve ser apoiada por um atraente negócio caso (para fazê-lo) e o nome do trabalho posição, ou o departamento ou comitê responsável por analisar e aprovar qualquer pedido. (Adicionado graças a Darrell Drystek )

Orientação

Orientações ou diretrizes são um conjunto de dicas recomendadas e dicas úteis de pessoas e instituições experientes. Existem muitos padrões e diretrizes seguidos pelos testadores de penetração . A seguir estão alguns dos mais conhecidos, com as etapas necessárias para cada padrão ou diretriz.

Manual de metodologia de teste de segurança de código aberto

O Manual de Metodologia de Testes de Segurança de Código Aberto (OSSTMM) é um documento abrangente divulgado por Pete Herzog e distribuído pelo Instituto de Segurança e Metodologias Abertas (ISECOM). De acordo com o OSSTMM , todo teste de penetração deve incluir testes de segurança de informações, processos, tecnologia de internet ( varredura de portas , firewalls e assim por diante), comunicações , wireless e ambiente físico.

Quadro de Avaliação de Segurança de Sistemas de Informação

A Estrutura de Avaliação de Segurança de Sistemas de Informação (ISSAF) é uma metodologia em que o testador de penetração imita as etapas de invasão com algumas fases adicionais. Passa pelas seguintes fases:

  1. Coleta de informações
  2. Mapeamento de rede
  3. Identificação de vulnerabilidade
  4. Penetração
  5. Obtendo acesso e escalonamento de privilégios
  6. Enumerando mais
  7. Comprometendo usuários / sites remotos
  8. Mantendo o acesso
  9. Cobrindo as trilhas

Padrão de Execução de Testes de Penetração

O padrão de execução de teste de penetração (PTES) é um conjunto de seções técnicas. Ele ajuda o testador de penetração a fornecer um relatório de pentesting eficaz percorrendo as sete seções a seguir:

  1. Interações pré-engajamento
  2. Coleta de informações
  3. Modelagem de ameaças
  4. Análise de vulnerabilidade
  5. Exploração
  6. Pós-exploração
  7. Relatório

Padrão de segurança de dados do setor de cartões de pagamento

O Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) é uma referência importante para as organizações que planejam trabalhar com os principais cartões de crédito da marca. Foi lançado em 2014. É usado para garantir a segurança dos dados dos titulares de cartão de crédito e evitar fraudes. A conformidade é realizada uma vez por ano por um avaliador de segurança qualificado, que é fornecido pelo PCI Security Standards Council ou internamente para casos com pequena quantidade de dados. O PCI DSS passa pelas quatro fases a seguir:

  1. Pré-engajamento
  2. Engajamento: teste de penetração
  3. Pós-engajamento
  4. Relatório e documentação

https://www.peerlyst.com/posts/the-difference-between-policies-standards-procedures-and-guidelines-chiheb-chebbi?trk=landing_page_activity_feed