Отчеты писать умеют не все. Иногда встречаются отчёты менее 10 листов, в которых, помимо титульного листа и «дежурной» информации (реквизиты сторон, цель и назначение работ, границы проведения работ, перечень сокращений и т.д.) содержится автоматически сгенерированный отчёт сканера безопасности, с помощью которого проводились работы. Называть такой документ полноценным отчётом, на наш взгляд, было бы некорректно. Это – лишь промежуточный результат не самой объемной части работ. Мы считаем, что отчёт должен нести большую практическую ценность для Заказчика. А для этого должна быть проделана глубокая аналитическая работа. Например, иногда наличие нескольких некритичных уязвимостей в совокупности могут представлять серьезную брешь в информационной обороне компании. Однако, без «ручной» аналитики этого не выяснить.
Как вы понимаете, серьезный отчёт – это:
- а) НЕ автоматически сформированный с помощью сканера уязвимостей;
- б) НЕ «формальный» отчёт для регулятора о том, что пентест проведён (мы называем его «отчёт для галочки»);
- в) полноценный документ, содержащий необходимую информацию для построения Заказчиком трека реальных работ по повышению защищенности своих активов.
Выберите 5-6 интересуемых интеграторов и запросите у них образец обезличенного отчёта по пентесту (у них должен быть такой). Понятно, что отчёты могут быть разными из-за разных сценариев, целей работ, разных сканируемых объектов и т.д. Любой отчёт пишется «под Заказчика». Но, тем не менее, любая компания, которая оказывает услуги по пентесту, такой отчёт предоставить может. Получив подобный документ, вы смогли бы оценить грамотность, читабельность, практичность отчёта, а так же квалификацию исполнителя. И после этого принять решение по выбору Подрядчика.
В начале этого года мы провели подобное исследование, в рамках которого обратились к 6 интеграторам от имени Заказчика с просьбой предоставить обезличенный отчёт. Результат нас удивил – представители всех компаний под разными предлогами отказывались направить образец документа. И даже оглавление не готовы были прислать. Наша компания считает такой подход неприемлемым: Заказчик не должен покупать «кота в мешке». Вы должны быть уверены в том, что именно получите «на выходе».
В первом приближении грамотный отчёт должен содержать 2 важных блока: один – для руководителя, другой – для специалиста. Вы вправе «на берегу» договориться с Исполнителем, для какой цели вам нужен отчёт и какие блоки информации вам особенно нужны в отчёте. Исполнителю так будет даже легче формировать для Вас отчет, наполненный ценностью.
Блок руководителя должен содержать краткое описание основных обнаруженных проблем, способных повлиять на достижение целей организации, будь то максимальное извлечение прибыли или решение задач, поставленных государством (т.н., бизнес-риски – например, найденные уязвимости, влияющие на выручку, простои, нарушение бизнес-процессов компании, могущие привести к таким-то финансовым и/или репутационным рискам). Нелишне будет упомянуть про возможное административное и, не дай Бог, уголовное наказание, если они предусмотрены законодательством. И краткое описание предлагаемых решений – возможные организационные меры, реализация которых ориентировочно займёт столько-то человеко-часов силами специалистов компании, или стоимость и срок выполнения аутсорс-услуг; необходимые технические меры укрупненно (без приведения спецификаций – она будет дана в другом блоке: 1 этап – цель, суть, эффект, срок, стоимость. Минимум узкоспециализированной терминологии! Не нужно приводить перечень уязвимостей с использованием данных базы общеизвестных уязвимостей ИБ (CVE). Руководитель мыслит по-другому, у него мало времени. Надо об этом помнить. Только самая суть, без лирики и воды.
Блок для специалиста – это основная часть отчёта. В нем необходимо максимально подробно указывать все детали и нюансы проведенных работ: подробное описание выбранной методики, перечень актуальных уязвимостей с CVE, ранжированный по критичности, применяемые инструменты, описание и ход реализации сценариев. Крайне приветствуются скриншоты, которые демонстрируют произведенные шаги и факты достижения целей. Ряд заказчиков, с которыми мы работали, перед началом проведения пентестов даже просили вести видео-фиксацию действий специалистов. Далее, блок для специалиста должен содержать детальные рекомендации по устранению найденных недостатков (предлагаемые организационные и технические меры) и т.д. Важно, чтобы описанные меры были разделены на этапы, чтобы специалисту было проще подготовить собственный внутренний план мероприятий по повышению уровня защищенности. Так как отчёт содержит технические детали процесса устранения обнаруженных уязвимостей, то он так же должен содержать и спецификацию – перечень технических средств ЗИ, рекомендуемых Исполнителем ко внедрению. Имея подобную информацию на руках, ИБ-специалист сможет оценить стоимость требуемых мероприятий и запустить процедуры по согласованию бюджета.
Наша компания всегда открыта для своих клиентов и готова направить обезличенный пример отчета. Нам интересно получить Ваше мнение, а чего Вам не хватило в нашем отчёте, а какой блок особенно понравился. Оставить заявку на получение отчета можно здесь.
Кроме того, мы готовы помочь Вам аргументировать потребность услуги пентеста перед руководством, а так же, по Вашему запросу, проведем сравнительный анализ предыдущих отчетов по ранее проведенным пентестам, укажем его достоинства и недостатки и сделаем хорошую скидку на реализацию повторной услуги.
Вам так же могут понравиться другие наши статьи о пентесте. Добро пожаловать!
форма запроса отчёта о пентесте
наши контакты
© 2021 All rights reserved.