О взаимосвязи пентеста и аудита

[arkenoi]

http://toxa.livejournal.com/487821.html

под этим текстом я готов подписаться. Хорошо раскрыта причина, по которой я категорически не приемлю то, что называет пентестом типовой заказчик с незрелыми IT и ИБ ("голливудский" сценарий)

Comments

[disserman.livejournal.com]

хорошая, годная статья. в вашей области оказывается тоже есть всякие ISO и умные слова. я думал вам на ходу импровизивровать приходитя чтоб бюджет выбить, ан нет - всё уже украдено до нас.

[arkanoid.livejournal.com]

Вот ты слоупок :-))

[humpty-dumpty.livejournal.com]

Ато. Увы оно всё какраз в основном чтобы бюджеты пилить. :)

[disserman.livejournal.com]

ну так это прекрасно когда есть инструкции. вот мол ISO, вот правила аудита, дайте денег. а не бе-ме, не хватает насяльника

[humpty-dumpty.livejournal.com]

Да вот только не дай бох понадобится реальная защита данных объясняй потом что она к этому не имеет никакого отношения и зачем тогда деньги потратили. :)

[disserman.livejournal.com]

могу предложить варианты

- защита уже устарела! нужна модернизация
- мы потратили мало денег, враг оказался сильней
- это всё потому что вы загружаете персонал не своими делами. дайте нам квартал на профилактику!

ну и универсальный.

- таковы реалии, так работает IT

[e1am0.livejournal.com]

драйвер разворачивания направления иб назовёшь сходу?

[bowhill.livejournal.com]

Да, но только аудит -- это не опросник, а проверка соответствий требованиям.

[ingvar.livejournal.com]

Имхо, пентест - весь весьма узко-специализированная и представляет из себя небольшую опциональную часть аудита. Область, покрываемая процессами ИБ, значительно шире конкретных технических решений.
Уточняя, можно сказать, что пентесты - это для кусков, где деньги/репутацию/ком тайну можно потерять наиболее непосредственно, не отходя от кассы. При всей важности этих кусков и не преумаляя её, область ИБ сравнительно велика.

[(Anonymous)]

Добавлю к высказыванию INGVAR только одно: область ИБ это перехлест области безопасности (всей - экономической. физической, объектовой, информационной и проч) и области ИТ, а значит и инструментарий (в том числе и аудиты, пентесты. закладки, сниферы и проч) очень разнообразен. Кстати о стандартах, 27 серия это далеко не все, желательно (применительно к ИТ) использовать ISO15408. Итого - любая безопасность это комплекс мер и счастье будет тогда, когда каждый будет заниматься своим делом ))

[deka.livejournal.com]

Пентест -- этакая странная штука.

Если принять трёхэтапную модель организации БП (любого, не обязательно ИБ), которую описывает toxa, то есть а) исследование и создание проекта/ТЗ, б) реализация и внедрение, в) поддержка, то для "исполнителя" с точки зрения достижения результата пентест очевидно является одним из инструментов (не всегда удобным, кстати) именно на третьем этапе -- то есть когда количественные показатели теста уже установлены на этапе "а" и отполированы на этапе "б". С точки зрения CIO это так. Причём с обеих сторон -- и "заказчика", и "исполнителя".

По жизни же частенько ситуация бывает иной -- решение не всегда принимает только CIO, более того -- очень часто его голос даже не будет решающим. А тут начинает играть старый принцип -- "покажите, за что мы платим". То есть если для хорошо информированного CIO не надо объяснять внутренности всей этой "уличной магии", когда ты "исполнителю" вопрос, а тот в ответ через полгода решение и смету на 9-10 нулей, не считая центов. А вот для какого-нить executive из отдела финпланирования надо демонстрировать работу -- а то "что они там делали, полгода дурака валяли и хотят за это мильён". И вот тут умный CTO исполнителя выпускает на арену молодых и рьяных мальчиков, которые "пентестят" с первого до последнего дня. Именно чтобы продемонстрировать перед executive-ами пот и кровь работы за много нулей. Одним словом -- ИБД. Это дополнительная небольшая затрата, которая может принести несколько дополнительных мильёнов выручки. И, как побочный результат, иногда ускорить уточнение ТЗ/проекта и отполировать внедрение.

ИМХО, разумеется.