Zgodnie z rozporządzeniem w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego w systemie TI, w którym przetwarzane są informacje niejawne, przeprowadza się testy bezpieczeństwa.
Testy, zgodnie z definicją, sprawdzają poprawność i skuteczność funkcjonowania zabezpieczeń w systemie teleinformatycznym. Zabezpieczenia są to środki o charakterze fizycznym, technicznym lub organizacyjnym zmniejszające ryzyko. Wynika z tego, że testowaniu podlegają zarówno zabezpieczenia typowo informatyczne, ale także zabezpieczenia fizyczne i inne.
Testom mogą podlegać na przykład:
- skuteczność blokowania konta po kilkukrotnym błędnym wpisaniu hasła,
- działanie systemu alarmowego,
- próba wejścia do pomieszczenia zabezpieczonego elektronicznym systemem kontroli dostępu przy użyciu karty nie posiadającej nadanych odpowiednich uprawnień,
- odtworzenie nagrań wideo z zapisów archiwalnych.
Testy bezpieczeństwa przeprowadza się na etapie wdrażania, a następnie na etapie eksploatacji. Testy przeprowadza się okresowo, najczęściej raz w roku. Testy można także wykonywać przy wprowadzaniu zmian w systemie.
Jak to wygląda w praktyce? Na początku należy przygotować plan testów, który będzie służył do ich prowadzenia. Testy można podzielić na różne obszary, np. zabezpieczenia techniczne, organizacyjne itd. Następnie w kolejnych punktach wskazujemy co jest testowane, w jaki sposób, oczekiwany rezultat oraz rezultat otrzymany. Dodatkowo czy stwierdzono nieprawidłowość. Z testów sporządza się protokół. Testy bezpieczeństwa przeprowadza administrator systemu wspólnie z inspektorem bezpieczeństwa teleinformatycznego.