Pen Testing Rules of Engagement: Regler och Mall
Group COO & CISO
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Rules of Engagement (RoE) är det dokument som avgör om en penetrationstest blir framgångsrik eller problematisk. Enligt SANS Institute, 2024, kan 45% av problem under penetrationstester spåras till otydliga eller ofullständiga regler för engagemang. Dokumentet skyddar både testare och uppdragsgivare.
Den här guiden ger er en komplett mall med förklaringar för varje avsnitt.
Sammanfattning - 45% av pen test-problem beror på otydliga regler (SANS, 2024) - RoE definierar scope, metoder, tidpunkter och kommunikationsvägar - Dokumentet är juridiskt bindande och skyddar båda parter - Nödstoppsprocedurer och eskaleringsvägar är obligatoriska komponenter
Vad är Rules of Engagement för pen test?
Enligt PTES (Penetration Testing Execution Standard), 2024, är Rules of Engagement det formella avtalet som reglerar penetrationstestningens ramar, tillåtna metoder och begränsningar. Det är det viktigaste dokumentet i hela testprocessen, utan det finns ingen juridisk grund att testa.
RoE fastställer vad som får testas, hur det får testas, när testning får ske och vad som händer vid problem. Det eliminerar gråzoner och förhindrar missförstånd som kan leda till driftstörningar eller juridiska problem.
Varför är RoE nödvändigt?
Utan RoE riskerar testare att oavsiktligt orsaka skada på system utanför scope. Organisationen riskerar att anklaga testaren för obehörig åtkomst. Enligt svensk lag är dataintrång brottsligt, och RoE är det dokument som särskiljer en auktoriserad test från ett olagligt intrång.
RoE skyddar även testaren. Om ett system går ner under testningen och RoE tillåter de använda metoderna, kan testaren inte hållas ansvarig.
Vem godkänner dokumentet?
RoE ska godkännas av en person med juridisk behörighet att auktorisera testning. Det är vanligtvis CISO, CTO eller en annan ledningsperson med mandat över IT-infrastrukturen. Säkerställ att rätt person signerar.
Vilka komponenter ingår i ett RoE-dokument?
Enligt NIST SP 800-115, 2024, bör ett RoE-dokument minst innehålla: scope, tidsram, tillåtna testmetoder, exkluderade system, kommunikationsplan, nödstoppsprocedurer och juridiska villkor. Varje komponent tjänar ett specifikt syfte.
Dokumentet bör vara tillräckligt detaljerat för att eliminera tolkningsutrymme, men inte så restriktivt att det hindrar testarna från att utföra sitt arbete effektivt. Det kräver balans och erfarenhet att formulera rätt.
Scopedefinition
Scopet listar alla system som ingår i testet: IP-adresser, domännamn, applikations-URL:er och nätverksintervall. Lika viktigt är att explicit exkludera system som inte får testas. Tredjepartssystem, produktionsdatabaser med kunddata eller system som tillhör andra organisationer ska vanligtvis exkluderas.
Var så specifik som möjligt. "Alla servrar i DMZ" är otillräckligt. Lista istället varje IP-adress och tjänst.
Tidsram och schema
Ange start- och slutdatum för testet. Specificera tillåtna testtider. Får testning ske under kontorstid, utanför kontorstid eller dygnet runt? Olika system kan ha olika tidsbegränsningar.
Enligt EC-Council, 2024, rekommenderas att kritiska produktionssystem testas utanför kontorstid för att minimera påverkan på användare.
Vill ni ha expertstöd med pen testing rules of engagement: regler och mall?
Våra molnarkitekter hjälper er med pen testing rules of engagement: regler och mall — från strategi till implementation. Boka ett kostnadsfritt 30-minuters rådgivningssamtal utan förpliktelse.
Hur definierar man tillåtna testmetoder?
Enligt OWASP Testing Guide, 2024, bör tillåtna testmetoder specificeras på tre nivåer: tillåtna verktyg, tillåtna tekniker och förbjudna aktiviteter. Det ger testarna tydliga ramar att arbeta inom.
Lista de verktyg som får användas: Nmap, Burp Suite, Metasploit och liknande. Specificera vilka tekniker som är tillåtna: portskanning, brute force, exploatering av kända sårbarheter. Och var tydlig med vad som är förbjudet.
Förbjudna aktiviteter
Denial-of-service-attacker mot produktionssystem är nästan alltid förbjudna. Destruktiv testning som raderar data, modifiering av produktionsdata och fysisk tillgång till serverrum kräver separat godkännande.
Social engineering kan vara känsligt. Om phishing-tester ingår, definiera exakt vilka metoder som är tillåtna. Får testarna ringa anställda? Skicka fysiska USB-minnen? Varje metod kräver explicit godkännande.
Eskalering av behörigheter
Får testarna försöka eskalera behörigheter efter initial åtkomst? Om ja, vilka gränser gäller? Vissa organisationer vill att testarna stannar vid initial åtkomst. Andra vill se hur långt de kan komma. Dokumentera förväntningarna tydligt.
Hur hanteras kommunikation under testet?
Enligt ISACA, 2024, bör kommunikationsplanen definiera minst fyra kontaktpersoner: teknisk kontakt hos kunden, projektledare hos kunden, teknisk lead hos testleverantören och nödkontakt med befogenhet att stoppa testet. Redundans i kontaktvägar är avgörande.
Definiera kommunikationskanaler. E-post för dagliga uppdateringar. Telefon för akuta ärenden. Krypterade kanaler för känsliga fynd. Undvik att skicka sårbarhetsinformation via okrypterade kanaler.
Rapportering av kritiska fynd
Om en kritisk sårbarhet upptäcks under testet, exempelvis en som aktivt exploateras av en verklig angripare, hur snabbt ska kunden informeras? Definiera tidsramar: kritiska fynd inom 2 timmar, allvarliga inom 24 timmar.
Kräv att testaren tillhandahåller tillräcklig information för att kunden ska kunna bedöma och åtgärda fyndet omedelbart. En knapphändig notis hjälper inte vid ett aktivt intrång.
Statusuppdateringar
Dagliga statusrapporter håller projektet på spår. De behöver inte vara omfattande. En kort sammanfattning av genomförda aktiviteter, preliminära fynd och planerade nästa steg räcker. Det skapar transparens och förtroende.
Hur utformar man nödstoppsprocedurer?
Enligt CREST, 2024, ska nödstoppsprocedurer kunna aktiveras inom minuter. Om testet orsakar oväntade driftstörningar måste det gå att avbryta omedelbart. Proceduren bör vara testad innan det riktiga testet börjar.
Definiera vem som har mandat att begära nödstopp. Det ska vara minst två personer för att säkerställa tillgänglighet dygnet runt. Ange kontaktinformation inklusive mobilnummer och alternativa kanaler.
Process vid nödstopp
Vid nödstopp slutar all testaktivitet omedelbart. Testaren bekräftar att aktiviteten har upphört. Parterna genomför sedan en gemensam utvärdering av vad som hände och beslutar om testet kan återupptas.
Dokumentera alla nödstopp. Orsaken, tidpunkten, vidtagna åtgärder och beslutet om återupptagen testning ska loggas. Det ger värdefull information för framtida tester.
Incidenthantering
Om testet avslöjar en pågående kompromittering av en angripare, inte testteamet, ska testet pausas och incidenthanteringsprocessen aktiveras. Testteamets fynd kan vara ovärderliga för incidentutredningen.
Hur ser en RoE-mall ut i praktiken?
Enligt SANS, 2024, bör mallen vara tillräckligt flexibel för att anpassas till olika testtyper och organisationer. Följande struktur täcker de flesta behov och kan användas som utgångspunkt.
Mallen inkluderar: projektinformation, scopedefinition, tidsram, testmetodik, tillåtna och förbjudna aktiviteter, kommunikationsplan, nödstoppsprocedurer, datahantering, juridiska villkor och signaturer.
Mallens huvudsektioner
Sektion 1 identifierar parterna och projektet. Sektion 2 definierar scope med specifika system och exkluderingar. Sektion 3 fastställer tidsram och schema. Sektion 4 listar testmetoder och verktyg. Sektion 5 hanterar kommunikation. Sektion 6 täcker nödstopp.
Sektion 7 reglerar hur testdata och fynd hanteras. Känslig information ska krypteras och raderas efter avtalad period. Sektion 8 innehåller juridiska villkor och signaturer.
Anpassning för er organisation
Ingen mall passar alla. Anpassa baserat på er bransch, storlek och riskprofil. Finansiella institutioner behöver striktare regler kring datahantering. Hälso- och sjukvården kräver extra hänsyn till patientdata. Offentlig sektor har specifika upphandlingskrav.
Vanliga frågor om Rules of Engagement
Kan RoE ändras under pågående test?
Ja, men ändringar måste godkännas skriftligt av båda parter innan de träder i kraft. Enligt PTES, 2024, bör alla ändringar dokumenteras som tillägg till det ursprungliga dokumentet. Muntliga överenskommelser räcker inte.
Vem ansvarar om testet orsakar skada?
Ansvarsfrågan regleras i RoE och det tillhörande tjänsteavtalet. Enligt CREST, 2024, bör testleverantören ha ansvarsförsäkring. Om testaren agerar inom godkända ramar bär leverantören normalt inget skadeståndsansvar. Agerar testaren utanför scope blir ansvarsbilden en annan.
Behövs juridisk granskning av RoE?
Ja, för organisationer med känslig verksamhet rekommenderas juridisk granskning. Enligt ISACA, 2024, bör RoE granskas av juridisk rådgivare som förstår både IT-rätt och den aktuella branschen. Det kostar lite extra men skyddar mot dyra missförstånd.
Sammanfattning: RoE som fundament för säker testning
Rules of Engagement är fundamentet för professionell penetrationstestning. Ett välskrivet RoE skyddar er organisation, ger testarna tydliga ramar och maximerar testets värde.
Investera tid i dokumentet. Involvera teknisk personal, verksamhetsansvariga och juridisk rådgivning. Testa nödstoppsprocedurerna innan det riktiga testet börjar.
Med rätt regler på plats kan penetrationstestet genomföras effektivt, säkert och med fullt förtroende från alla inblandade parter.
Relaterade artiklar
Om författaren
Group COO & CISO at Opsio
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.
