?

Log in

No account? Create an account
О взаимосвязи пентеста и аудита - Журнал Восставшей Машины [entries|archive|friends|userinfo]
ArkanoiD

[ userinfo | livejournal userinfo ]
[ archive | journal archive ]

О взаимосвязи пентеста и аудита [Sep. 13th, 2010|03:13 pm]
ArkanoiD
[Tags|, , ]
[Current Location |Dvartzy Kur Miaf]
[music |Молодые капитаны поведут наш корован]

http://toxa.livejournal.com/487821.html

под этим текстом я готов подписаться. Хорошо раскрыта причина, по которой я категорически не приемлю то, что называет пентестом типовой заказчик с незрелыми IT и ИБ ("голливудский" сценарий)
linkReply

Comments:
(Deleted comment)
[User Picture]From: arkanoid
2010-09-13 11:48 am (UTC)
Вот ты слоупок :-))
(Reply) (Parent) (Thread)
[User Picture]From: humpty_dumpty
2010-09-13 11:56 am (UTC)
Ато. Увы оно всё какраз в основном чтобы бюджеты пилить. :)
(Reply) (Parent) (Thread)
(Deleted comment)
[User Picture]From: humpty_dumpty
2010-09-13 12:02 pm (UTC)
Да вот только не дай бох понадобится реальная защита данных объясняй потом что она к этому не имеет никакого отношения и зачем тогда деньги потратили. :)
(Reply) (Parent) (Thread)
(Deleted comment)
[User Picture]From: e1am0
2010-09-13 12:13 pm (UTC)
драйвер разворачивания направления иб назовёшь сходу?
(Reply) (Thread)
From: bowhill
2010-09-13 12:32 pm (UTC)
Да, но только аудит -- это не опросник, а проверка соответствий требованиям.
(Reply) (Thread)
[User Picture]From: ingvar
2010-09-13 05:53 pm (UTC)
Имхо, пентест - весь весьма узко-специализированная и представляет из себя небольшую опциональную часть аудита. Область, покрываемая процессами ИБ, значительно шире конкретных технических решений.
Уточняя, можно сказать, что пентесты - это для кусков, где деньги/репутацию/ком тайну можно потерять наиболее непосредственно, не отходя от кассы. При всей важности этих кусков и не преумаляя её, область ИБ сравнительно велика.
(Reply) (Thread)
From: (Anonymous)
2010-09-13 07:07 pm (UTC)
Добавлю к высказыванию INGVAR только одно: область ИБ это перехлест области безопасности (всей - экономической. физической, объектовой, информационной и проч) и области ИТ, а значит и инструментарий (в том числе и аудиты, пентесты. закладки, сниферы и проч) очень разнообразен. Кстати о стандартах, 27 серия это далеко не все, желательно (применительно к ИТ) использовать ISO15408. Итого - любая безопасность это комплекс мер и счастье будет тогда, когда каждый будет заниматься своим делом ))
(Reply) (Parent) (Thread)
[User Picture]From: deka
2010-09-14 07:25 pm (UTC)
Пентест -- этакая странная штука.

Если принять трёхэтапную модель организации БП (любого, не обязательно ИБ), которую описывает toxa, то есть а) исследование и создание проекта/ТЗ, б) реализация и внедрение, в) поддержка, то для "исполнителя" с точки зрения достижения результата пентест очевидно является одним из инструментов (не всегда удобным, кстати) именно на третьем этапе -- то есть когда количественные показатели теста уже установлены на этапе "а" и отполированы на этапе "б". С точки зрения CIO это так. Причём с обеих сторон -- и "заказчика", и "исполнителя".

По жизни же частенько ситуация бывает иной -- решение не всегда принимает только CIO, более того -- очень часто его голос даже не будет решающим. А тут начинает играть старый принцип -- "покажите, за что мы платим". То есть если для хорошо информированного CIO не надо объяснять внутренности всей этой "уличной магии", когда ты "исполнителю" вопрос, а тот в ответ через полгода решение и смету на 9-10 нулей, не считая центов. А вот для какого-нить executive из отдела финпланирования надо демонстрировать работу -- а то "что они там делали, полгода дурака валяли и хотят за это мильён". И вот тут умный CTO исполнителя выпускает на арену молодых и рьяных мальчиков, которые "пентестят" с первого до последнего дня. Именно чтобы продемонстрировать перед executive-ами пот и кровь работы за много нулей. Одним словом -- ИБД. Это дополнительная небольшая затрата, которая может принести несколько дополнительных мильёнов выручки. И, как побочный результат, иногда ускорить уточнение ТЗ/проекта и отполировать внедрение.

ИМХО, разумеется.
(Reply) (Parent) (Thread)