Test penetracyjny vs. test podatności w kontekście audytu Krajowych Ram Interoperacyjności? Jaka jest różnica?

Test podatności ≠ test penetracyjny

Dość częstym zjawiskiem jest mylenie dwóch pojęć (test podatności oraz test penetracyjny) przez jednostki zamawiające usługi. W szczególności odzwierciedla to audyt Krajowych Ram Interoperacyjności, co wiąże się ze sporymi różnicami kosztów po stronie zamawiającego jak i wykonawcy.

Test podatności jest skanowaniem / wykrywaniem luk. Natomiast test penetracyjny jest przeprowadzaniem kontrolowanego ataku na system IT jednostki jako „przedłużenie” testu podatności. Jest to zasadnicza różnica pomiędzy oba testami, przy czym test podatności jest najtrafniejszą interpretacją zapisów rozporządzenia Krajowych Ram Interoperacyjności.

W rozporządzeniu Krajowych Ram Interoperacyjności (link do tekstu jednolitego) w § 20 ust. 2 pkt 12 lit. f oraz g mowa jest o opublikowanych podatnościach technicznych:

Rozporządzenie Krajowych Ram Interoperacyjności z dnia 12 kwietnia 2012r. (Dz.U. 2017.2247)

§ 20 ust. 2 | Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań:
[…]
pkt 12 | zapewnienia odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegającego w szczególności na:
[…]
lit. f | redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych,
lit. g | niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa,

Opublikowane podatności

Frazę "opublikowanych podatności" najprościej utożsamić ze zjawiskiem ogólnodostępnych baz danych podatności (np. CVE). Takowe bazy są aktualizowane od wielu lat i są podstawą dla każdego informatyka/pentestera. Oczywiście ręczne przeglądanie jest wykonalne, jednakowoż w praktyce wykorzystuje się m.in zautomatyzowane oprogramowania oraz indywidualne rozwiązania IT. Pierwszym etapem jest test podatności (wyszukiwanie luk) co niejednokrotnie może być wystarczające, ale nie jest to regułą. Takowe testy powinny dotyczyć wewnętrznej i zewnętrznej infrastruktury jednostki. Przykładem są np. serwery wewnętrzne / chmurowe / kolokowane, punkty styku WAN/LAN, urządzenia brzegowe, komputery, drukarki, oprogramowanie itd... Natomiast drugim etapem jest wskazanie sposobu zniwelowania podatności (wyszukanych luk) co w naszej organizacji jest standardem. Oczywiście jest to bardzo ogólne zestawienie wymagające większej szczegółowości.

Techniki testów

Obligatoryjnym jest ustalenie techniki wykonywanych testów (Black Box, Grey Box, White Box). Jest to ustalenie sposobu pozyskiwania danych. Przykładowo techniką jest brak jakichkolwiek wewnętrznych informacji o jednostce, "pół na pół" czy też pełna wiedza o infrastrukturze.

Test penetracyjny

Uzupełnieniem całego procesu może być test penetracyjny w zależności od uwarunkowania oraz zapotrzebowania. Warto jednak pamiętać, iż w sektorze realizującym zadania publiczne wykonywanie testów penetracyjnych nie jest takie oczywiste z punktu formalno-prawnego. Ale to już inna, dłuższa historia.

Testy socjotechniczne

Warto też pamiętać, iż testy socjotechniczne (zjawisko inżynierii społecznej) są ciekawym dopełnieniem całego procesu testowania. Ich sposób oraz rodzaj przeprowadzenia jest dość indywidualny wobec każdej sytuacji.

Więcej szczegółów można się dowiedzieć na naszych szkoleniach oraz na stronie www.audytkri.pl

Co oznacza że norma ISO jest „wycofana” lub „zastąpiona”?

W normalizacji, u której podstaw leży dobrowolne stosowanie normy, "norma ISO wycofana" oznacza dezaktualizację jej treści. Jednakże nie jest to zakaz jej stosowania. Jej stosowanie / opieranie się o nią jest czymś złym. Dopiero w sytuacji, gdy dana norma ma atrybut "zastąpiona" - stosowanie jej nie jest zalecane i warto sięgnąć po nowszą wersję. Idealnym przykładem wobec powyższego jest:

• norma (wycofana) PN-ISO/IEC 24762:2010 (Technika informatyczna -- Techniki bezpieczeństwa -- Wytyczne dla usług odtwarzania techniki teleinformatycznej po katastrofie) która jest wskazana w aktualnym rozporządzeniu KRI (stan na 2023r.), czy też często sięga się po nią w aspekcie art. 32 ust. 1 pkt b RODO. Co więcej spore spora ilość audytorów korzysta z tej normy co jest pewnym standardem;

• norma (wycofana) PN-ISO/IEC 27005:2014-01 (Technika informatyczna -- Techniki bezpieczeństwa -- Zarządzanie ryzykiem w bezpieczeństwie informacji) która obecnie jest wykorzystywana w prawie każdym szacowaniu ryzyka bezpieczeństwa informacji. Co więcej UODO w swoim dwutomowym poradniku szacowania ryzyka bezpośrednio wskazują niniejszą normę.

Przydatne linki wobec przedmiotowego tematu:

• Standardy Krajowych Ram Interoperacyjności (KRI): https://www.gov.pl/web/ia/standardy-krajowych-ram-interoperacyjnosci-kri
• Stanowisko Polskiego Komitetu Normalizacyjnego wobec norm wycofanych: https://wiedza.pkn.pl/web/wiedza-normalizacyjna/stanowisko-pkn-w-sprawie-stosowania-pn-wycofanych

Jakie kwalifikacje powinien mieć Inspektor Ochrony Danych?

Jakie dokumenty muszę mieć w jednoosobowej działalności gospodarczej, by spełnić wymagania RODO?

Nie zatrudniam pracowników w swojej firmie. Czy RODO mnie dotyczy?