Мэдээллийн нууцлал (Confidentiality) Мэдээллийн бүрэн бүтэн байдал (Integrity) Хүртээмж (Availability) Нэвтрэх эрхийн удирдлага Сүлжээний хамгаалалт Бодлого, журмын баримт бичиг Эрсдэлийн үнэлгээ ба дотоод аудит Гадны халдлага ба эмзэг байдал

Пентест буюу халдлагын тест хийсэн үү?

Пентест (penetration testing) гэдэг нь мэдээллийн систем, сүлжээ, вэб аппликейшн болон бусад дэд бүтцийн хамгаалалтыг шалгах зорилгоор зориудаар халдах туршилт хийх үйл явц юм. Үүнийг мэргэжлийн аюулгүй байдлын шинжээчид гүйцэтгэдэг бөгөөд халдлагын сувгуудыг олж, эмзэг байдлыг илрүүлдэг.

Яагаад чухал вэ?
  1. Системд нууцлаг эмзэг байдал байгаа эсэхийг эрт илрүүлнэ.
  2. Жинхэнэ халдлагад өртөхөөс өмнө сул талуудыг засах боломжтой.
  3. Аюулгүй байдлын бодлогын үр нөлөөг үнэлэхэд тусална.
  4. Гуравдагч талын аудитын нэг хэсэг болж, итгэлцлийг нэмэгдүүлдэг.
  5. Стандартад (ISO 27001, PCI-DSS гэх мэт) нийцэхэд чухал шалгуур болдог.
Шалгах зүйлс
  • Сүүлийн 12 сарын дотор пентест хийсэн эсэх?
  • Гадаад болон дотоод халдлагын сувгуудыг хамарсан эсэх (external/internal).
  • Хэн гүйцэтгэсэн (байгууллагын дотоод баг уу, эсвэл гадны компани юу)?
  • Илэрсэн эмзэг байдал, түүний нөлөөлөл, засварласан эсэх талаарх тайлан байна уу?
  • Шалгалтын үеийн зөвшөөрөл, гэрээ, тайлангууд хадгалагдаж байгаа эсэх.
Жишээ
  • 2025 оны 4-р сард гадаад аудитын баг вэб портал болон VPN-д пентест хийсэн.
  • OWASP Top 10-ийн дагуу эмзэг байдал шалгасан: XSS, SQL Injection, CSRF гэх мэт.
  • 3 эмзэг байдал илэрсэн бөгөөд бүгдийг 2 долоо хоногийн дотор засварласан.
  • Дүгнэлтийн тайлан, зураглалууд, засвар хийсэн бүртгэлүүд хадгалагдаж буй.
  • Гүйцэтгэгч: “SecureTest LLC” компанийн сертификаттай баг.