Po tom, čo sme si určili, čo chceme penetračným testovaním dosiahnuť, je ešte potrebné určiť si rozsah penetračného testovania. Taktiež nesmieme zabudnúť na časové obdobie, v ktorom sa bude testovanie vykonávať. V rozsahu je potrebné si určiť, ktoré systémy sa budú testovať, ale ešte dôležitejšie je určiť, ktoré systémy sa testovať nebudú. Pretože medzi penetračným testovaním a počítačovou kriminalitou je veľmi tenká čiara, je potrebné si určiť rozsah a pravidlá testovania ešte pred jeho začatím. Je dôležité presne si určiť čo bude počas testovania povolené a čo nie. Minimálne si treba ujasniť odpovede na nasledovné otázky:
Budú povolené útoky typu denial of dervice?
Ktoré systémy budú testované a ktoré nie?
Kedy sa začína obdobie testovania a kedy končí?
Sú povolené útoky získaním fyzického prístupu?
Aký prístup do systému má osoba vykonávajúca penetračné testovanie?
Budú sa testovať reálne alebo testovacie servery?
|
|
|