3. Faza planiranja

Faza planiranja prva je faza penetracijskog ispitivanja sustava. U ovoj fazi penetracijski ispitivači s naručiteljem penetracijskog ispitivanja dogovaraju sve potrebne stvari vezane uz penetracijsko ispitivanje sustava.

U ovoj fazi dogovara se cilj penetracijskog ispitivanja. Potpisuju se dokumenti kao što su dopuštenja IT menadžmenta za izvođenje penetracijskog ispitivanja, ostali dokumenti i ugovori kao što je npr. ugovor o neotkrivanju (NDA – Non Disclosure Agreement). [7] Penetracijski tim u ovoj fazi priprema preciznu i jasnu strategiju izvođenja penetracijskog ispitivanja sustava. Postojeća sigurnosna politika, industrijski standardi i najbolja praksa su neke od informacija koje se koriste kao bi se definirao opseg penetracijskog ispitivanja. Ova faza obuhvaća sve aktivnosti koje je potrebno provesti prije početka izvođenja penetracijskog ispitivanja na ciljanom sustavu.

Postoje različiti faktori koje je potrebno uzeti u razmatranje kako bi se pravilno izvelo penetracijsko ispitivanje sustava. Za razliku od stvarnog napadača, penetracijski ispitivač ima mnoga ograničenja dok izvodi penetracijsko ispitivanje ciljanog sustava. Zbog toga je potrebno odgovarajuće planiranje kako bi se uspješno izvelo penetracijsko ispitivanje.

Neka od ograničenja su:

• vrijeme i
• zakonska (pravna) ograničenja. [7]

Postoje i mnoga druga ograničenja koja organizacija može nametnuti penetracijskom ispitivaču. Neka od tih ograničenja su ograničenja zbog mogućeg pada sustava, moguće curenje povjerljivih informacija, negativan udar penetracijskog ispitivanja na posao organizacije i sl. Svi ti faktori moraju se uzeti u obzir tijekom ove faze, kako bi se napravio što je moguće bolji plan izvođenja penetracijskog ispitivanja i da bi penetracijsko ispitivanje bilo optimalno izvedeno.