Cynnal gweithgareddau profi diogelwch gwybodaeth
Trosolwg
Y weithgaredd o asesu system i weld a oes gwendidau diogelwch yw profi diogelwch gwybodaeth. Mae profi diogelwch rhwydwaith neu seilwaith yn cynnwys asesu dyfeisiau rhwydwaith, gweinyddwyr, a gwasanaethau seilwaith rhwydwaith eraill fel Gwasanaeth Enw Parth (DNS) i weld a oes gwendidau diogelwch. Yn gyffredinol, mae profi diogelwch rhaglenni yn cyfeirio at brofi rhaglenni meddalwedd arferol neu fasnachol i weld a oes gwendidau diogelwch. Mae profi diogelwch rhaglenni ar y we yn canolbwyntio'n benodol ar raglenni sydd ar gwe, ac mae profi diogelwch rhaglenni symudol yn canolbwyntio ar brofi rhaglenni symudol.
Defnyddir rhai mathau cyffredin o brofion diogelwch. Fel arfer, mae asesiad o wendidau yn cynnwys sganio am faterion diogelwch. Defnyddir cyfuniad o gyfarpar awtomataidd a thechnegau asesu â llaw i gadarnhau a oes gwendid, ond heb fanteisio ar y gwendid hwn mewn gwirionedd.
Mae profion treiddio yn nodi gwendidau ac yn manteisio arnynt. Y nod yw efelychu ymosodwr go iawn a all dorri i mewn i system a dwyn neu addasu data neu effeithio ar argaeledd systemau. Mae profion amser cynnal yn cynnwys asesu'r system ar gyfer materion diogelwch o safbwynt defnyddiwr terfynol. Mae adolygu cod yn golygu asesu rhaglen drwy adolygu ei god ffynhonnell. Mae peidio ag adolygu cod yn gadael system yn agored i fwy o risg o fygythiadau mewnol maleisus.
Mae'r safon hon yn cwmpasu'r cymwyseddau sydd eu hangen i gynnal profion diogelwch er mwyn helpu i benderfynu ar lefel cadernid system wybodaeth i wrthsefyll bygythiadau a gwendidau diogelwch gwybodaeth. Mae'n cynnwys dewis a chymhwyso dulliau profi, gan gynnwys profion treiddio.
Meini prawf perfformiad
Mae'n rhaid eich bod chi'n gallu:
- cwmpasu a chynllunio’r dull profi diogelwch gwybodaeth, i dargedu’r bygythiadau a’r gwendidau mwyaf arwyddocaol mewn modd rhagweithiol
- defnyddio ystod o ddulliau, cyfarpar a thechnegau priodol i gynnal profion diogelwch gwybodaeth er mwyn nodi gwendidau ar draws systemau gwybodaeth lluosog
- cynnal profion diogelwch gwybodaeth, o dan amodau rheoledig, i asesu cydymffurfiaeth â safonau mewnol a/neu allanol perthnasol
- dylunio a rhoi cynlluniau ar waith ar gyfer profi rhwydweithiau a systemau gwybodaeth sy'n seiliedig ar raglenni yn unol â safonau sefydliadol
- dehongli gofynion sicrwydd gwybodaeth i gynhyrchu'r meini prawf ar gyfer profion diogelwch gwybodaeth
- dylunio a datblygu profion cywir i sicrhau bod gofynion sicrwydd gwybodaeth yn cael eu profi yn erbyn safonau mewnol a/neu allanol perthnasol
- cynllunio a chynnal profion treiddio yn seiliedig ar ymosodiadau i fanteisio ar wendidau a nodi materion diogelwch penodol
- adolygu canlyniadau profion diogelwch gwybodaeth mewn modd beirniadol, gan flaenoriaethu deilliannau ac argymell camau gweithredu
- cyfleu canlyniadau profion diogelwch gwybodaeth i ystod o gynulleidfaoedd gan gyfiawnhau unrhyw argymhellion ar faterion diogelwch a diffyg cydymffurfio, a dangos tystiolaeth ohonynt
Gwybodaeth a Dealltwriaeth
You need to know and understand:
- y bygythiadau penodol a allai fod yn arbennig o bwysig i unrhyw system wybodaeth benodol
- sut i gwmpasu a chynllunio dull profi diogelwch gwybodaeth gan ddilyn gweithdrefnau safonol
- y gwahaniaethau rhwng profion gwendidau a phrofion treiddio
- sut i ddatblygu a chymhwyso profion diogelwch gwybodaeth ar gyfer rhwydweithiau a rhaglenni
- sut i gynnal profion gwendidau
- sut i gynnal profion treiddio
- yr ystod o gyfarpar a thechnegau y gellir eu defnyddio ar gyfer profion diogelwch gwybodaeth, gan gynnwys profi gwendidau a threiddio a sut i'w cymhwyso
- deddfwriaeth berthnasol y DU a'i heffaith ar brofion diogelwch gwybodaeth
- sut i ddehongli canlyniadau profion diogelwch gwybodaeth
- pwysigrwydd sicrhau bod profion diogelwch gwybodaeth yn cael eu cynllunio i sicrhau bod pob agwedd ar systemau gwybodaeth yn cael eu profi ar draws yr egwyddorion craidd gan gynnwys: cyfrinachedd, uniondeb, argaeledd, awdurdodi, dilysu ac anymwrthod
- effaith bosibl y gwendidau a nodwyd ar unrhyw system wybodaeth ac ar y sefydliad
- ble i ddod o hyd i'r wybodaeth ddiweddaraf am wendidau neu gamfanteisio, a dylunio profion i'w nodi