Комментарии 30
Отличное структурирование, хоть на стену вешай
Внутренней безопасности и оргмерам надо уделять не меньше внимания.
Часто вместо пентеста проще дать денег уборщице, чтоб что-то на флешку скинула.
Или чуток побольше админу, добыть клиентскую базу целиком.
Ибо несертифицированные СЗИ бывают дырявы, как дуршлаг.
Недавно лично столкнулся: habrahabr.ru/post/343722
Часто вместо пентеста проще дать денег уборщице, чтоб что-то на флешку скинула.
Или чуток побольше админу, добыть клиентскую базу целиком.
Ибо несертифицированные СЗИ бывают дырявы, как дуршлаг.
Недавно лично столкнулся: habrahabr.ru/post/343722
Что если не секрет подразумевается под внутренней безопасностью?) И причём тут СЗИ?
Защита от внутренних нарушителей, находящихся внутри периметра. Нелояльных сотрудников, в том числе админов, гостей.
Собсно СЗИ для этого и применяют в комплексе с орг. мерами.
В АСВН, не соединенных с открытыми сетями, пентест не очень актуален, а вот загремевший с 4 курса студент уже может попытаться дел натворить.
Собсно СЗИ для этого и применяют в комплексе с орг. мерами.
В АСВН, не соединенных с открытыми сетями, пентест не очень актуален, а вот загремевший с 4 курса студент уже может попытаться дел натворить.
Справедливости ради, наличие сертификата у СЗИ тоже не гарантирует его непоколебимость, ибо у вышеупомянутого DeviceLock тоже есть сертифицированные версии, состав которых от не сертифицированных ничем не отличается, ага.
Нет у него ничего сертифицированного.
В комментах к статье осуждалось.
И в мою контору они пытались сунуться в МО пролезть, были посланы.
В этой жиже бултыхаюсь 20 лет, так что мало-мало понимать.
В комментах к статье осуждалось.
И в мою контору они пытались сунуться в МО пролезть, были посланы.
В этой жиже бултыхаюсь 20 лет, так что мало-мало понимать.
хорошо, что сразу видно иксперда. www.devicelock.com/ru/certified.html
Здесь не будут называться имена, ни на кого не будут показывать пальцем.
А почему нет? Я действительно не понимаю.
Будет ли признан успешным тест на проникновение на склад, к примеру, если при входе показать охраннику договор на проведение тестирования с подписью директора? При условии, конечно, что он после этого пропустит незнакомца внутрь.
Скорее всего да, но тут существует много различных факторов, которые обговариваются до начала работ. Если мы говорим про проникновение на периметр склада, то договор для охранника можно подделать. Верить на одну подпись директора не совсем есть гуд.
Типичная ситуация: обязан ли рядовой в карауле пропускать полковника?
А генерала?
А генерала?
НЛО прилетело и опубликовало эту надпись здесь
Только на отдел АСУ устав караульной службы не распространяется.
Напрашивается вопрос: что делать в случае смерти начальника караула, помощника начальника караула и своего разводящего?
В уставе имеются в виду не конкретные люди а «должности».
вспоминается
Собственно, вопрос был про разрешение таких коллизий, т.к. часовой может не знать об изменениях, вызванных вышеназванными потерями.
анекдот
Часовой на посту. Подходит майор.
— Фамилия?
— Рядовой Петров!
— Сколько человек в роте?
— Семьдесят!
— А в батальоне?
— Двести пятьдесят!
— А ты чего военную тайну рассказываешь? Вдруг я шпион?
Выстрел. Солдат:
— Ты посмотри, какая сволочь!
— Фамилия?
— Рядовой Петров!
— Сколько человек в роте?
— Семьдесят!
— А в батальоне?
— Двести пятьдесят!
— А ты чего военную тайну рассказываешь? Вдруг я шпион?
Выстрел. Солдат:
— Ты посмотри, какая сволочь!
Собственно, вопрос был про разрешение таких коллизий, т.к. часовой может не знать об изменениях, вызванных вышеназванными потерями.
Ну, если бы точным, то не «должности», а «обязанности». Начальник караула, его помощник и разводящий — это не должности. Это обязанности, которые могут возлагаться на определенных должностных лиц.
В случае гибели начальника караула, его помощника и разводящего или физической невозможности для них выполнять свои обязанности снятие или смена часового производится дежурным по воинской части в присутствии своего командира роты или батальона.УГКС
На мой взгляд сканирование на уязвимости можно рассматривать как часть аудита безопасности. Например, у нас есть описанный процесс обновлений или парольных политик. При аудите соблюдения процессов применяется и автоматизированное сканирование.
Пентест, это имитация со стороны потенциального нарушителя. Причём в чистом виде, задача начинается с чёрного ящика. Вот название компании, проводите разведку и ломайте.
Задача пентеста в том числе проверить реакцию и эффективность службы ИБ. Поэтому пентесты лучше заказывать вышестоящему ТОП-куратору ИБ, в тайне от основных ИТ и ИБ служб.
Пентест, это имитация со стороны потенциального нарушителя. Причём в чистом виде, задача начинается с чёрного ящика. Вот название компании, проводите разведку и ломайте.
Задача пентеста в том числе проверить реакцию и эффективность службы ИБ. Поэтому пентесты лучше заказывать вышестоящему ТОП-куратору ИБ, в тайне от основных ИТ и ИБ служб.
На «Меньшевике» примерно это сейчас и происходит.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
«Взломайте нас, чтобы было красиво»