Tunkeutumistestauksella tulisi olla selkeästi määritellyt tavoitteet ja laajuus. Tavoitteisiin voi kuulua esimerkiksi jatkuvuussuunnitelmien ja -valmiuksien testaaminen, tietoturvakontrollien arviointi tai tietoturvaheikkouksien tunnistaminen. Laajuus voidaan määritellä seuraavasti:

• - Tunnistetaan tietojärjestelmän kriittiset osat, jotka olisi priorisoitava testauksessa.
• - Tunnistetaan yksittäiset järjestelmät tai osat, jotka ovat niin elintärkeitä, että ne on jätettävä testauksen ulkopuolelle.

Elintärkeitä järjestelmiä tai komponentteja, jotka voidaan jättää testauksen ulkopuolelle, ovat esimerkiksi ne, jotka ovat välttämättömiä organisaation kriittisten palvelujen ylläpitämiseksi tai jotka eivät kestä tunkeutumistestin aiheuttamaa rasitusta.

Suunnitteluvaiheessa on tärkeää ottaa asianomaiset sidosryhmät mukaan etukäteen. Tämä tarkoittaa usein sitä, että ulkopuolisille järjestelmänvalvontatoimittajille on ilmoitettava asiasta ennen testausta, vaikka käyttäjille tai järjestelmänhallintahenkilöstölle ei välttämättä ole tarpeen ilmoittaa asiasta.

Tunkeutumistestaus olisi suoritettava säännöllisesti, vähintään vuosittain. Se olisi suoritettava sekä organisaation verkkoalueen ulkopuolelta että sen sisältä. Ulkopuolelta tapahtuva testaus simuloi ulkoista hyökkäystä (black box ja white box), kun taas sisäpuolelta tapahtuva testaus simuloi mahdollisia uhkia, jotka tulevat vaarantuneilta asiakkailta/palvelimilta tai haitallisilta sisäpiiriläisiltä (grey box).

Tunkeutumistestien tulokset on aina dokumentoitava.

Organisaation olisi määriteltävä tietojärjestelmien turvallisuusvaatimukset hankinnan, kehittämisen tai ulkoistamisen aikana. Näissä vaatimuksissa olisi määriteltävä tietoturvatestauksen ja -tarkastusten tarpeet. Näiden vaatimusten täyttämiseksi valitut turvatoimet on dokumentoitava.

The organization should regularly test and verify the effectiveness of implemented security controls and system configurations.

The testing should cover:

• general security measures
• the secure default configurations of systems

The results of these tests, including any identified deficiencies and corrective actions, should be documented to demonstrate that security measures are functioning as intended and that systems maintain their secure state.

Tunkeutumistestauksen jälkeen, organisaation tulee:

• Tarkistaa testin tulokset ja ymmärtää haavoittuvuudet, joita on voitu hyödyntää.
• Arvioida nykyiset tietoturvamittarit ja määrittää niiden tehokkuus tunkeutumistestissä käytettyjä tekniikoita vastaan.
• Muuttaa palomuurien, IDS/IPS-järjestelmien ja muiden turvamittareiden sääntökokonaisuuksia mahdollisten puutteiden korjaamiseksi.
• Parannetaan havaintotoimenpiteitä havaintojen perusteella.
• Toteutetaan tarvittaessa uusia valvontatoimia.
• Testataan uudelleen tunkeutumistestausohjelman mukaisesti.

Organisaation häiriönsietokykyvyn testausohjelmassa on varauduttu tarjoamaan kaikki tarvittava tukeva asiantuntijatyö valituille häiriönsietokykytestaustoimille. Tähän voi sisältyä esimerkiksi suorituskykytestausta, päästä päähän -testausta, tunkeutumistestausta tai lähdekoodin tarkistuksia.

Tähän liittyviin häiriönsietokyvyn testaustoimiin voi kuulua esimerkiksi haavoittuvuusskannauksia, muiden skannausohjelmistojen käyttöä, verkkoturvallisuuden arviointeja, fyysisen turvallisuuden tarkastuksia tai muunlaisia puuteanalyysejä.

Haavoittuvuuksien hallinnan prosessi testataan säännöllisesti organisaation määrittelemän aikavälin mukaan, jotta varmistetaan sen ajantasaisuus, toimivuus ja tehokkuus.

Organisaatio toteuttaa uhkatiedustelua analysoimalla ja hyödyntämällä kerättyä tietoa toimintaansa liittyvistä tietoturvauhkista ja niiltä suojautumisesta.

Kerätyn uhkatiedustelutiedon analysoinnissa ja hyödyntämisessä on huomioitava seuraavat asiat:

• analysoidaan, kuinka uhkatiedustelutieto liittyy omaan toimintaamme
• analysoidaan, kuinka relevanttia uhkatiedustelutieto on toiminnallemme
• viestitään ja jaetaan tietoa ymmärrettävässä muodossa relevanteille henkilöille
• hyödynnettään uhkatiedustelun löydöksiä teknisten suojausten, käytettyjen teknologioiden sekä tietoturvallisuuden testaustapojen riittävyyden analysointiin