El Marco de Evaluación de Seguridad de Sistemas de Información es una metodología estructurada de análisis de seguridad en varios dominios y detalles específicos de test o pruebas para cada uno de estos. Su objetivo es proporcionar procedimientos muy detallados para el testing de sistemas de información que reflejan situaciones reales.
ISSAF es utilizado en su mayoría para cumplir con los requisitos de evaluación de las organizaciones y puede utilizarse además como referencia para nuevas implementaciones relacionadas con la seguridad de la información.
ISSAF está organizado según unos criterios de evaluación bien definidos, cada uno de estos ha sido revisado por expertos en la matería entre estos expertos podemos encontrarnos a Balwant Rathore, Mark Brunner, Piero Brunati, Arturo Busleiman (Buanzo), Hernán Marcelo Racciatti, Andrés Riancho, entre otros.
Los criterios de evaluación incluyen los siguientes:
- Una descripción de los criterios de evaluación
- Finalidades y objetivos
- Los prerrequisitos para la realización de las evaluaciones
- Los procesos para las evaluaciones
- Presentación de resultados
- Contramedidas recomendadas
- Referencias a documentos externos
ISSAF propone cinco fases para la realización de un completo Test de Penetración:
- Fase I – Planeación
- Fase II – Evaluación
- Fase III – Tratamiento
- Fase IV – Acreditación
- Fase V – Mantenimiento
Cada una de estas fases involucra muchos procesos, entre muchos de ellos los siguientes:
Recolección de Información, Identificación de Recursos, Riesgos Inherentes, Regulaciones Legales, Políticas de Seguridad, Evaluaciones, Mapeo de Red, Identificación de Vulnerabilidades, Penetración, Obteniendo Acceso, Escalada de Privilegios, Mantenimiento del Acceso, Cubrimiento de Huellas y Reportes.
