Как стать автором
Обновить

Комментарии 30

Отличное структурирование, хоть на стену вешай
Внутренней безопасности и оргмерам надо уделять не меньше внимания.
Часто вместо пентеста проще дать денег уборщице, чтоб что-то на флешку скинула.
Или чуток побольше админу, добыть клиентскую базу целиком.
Ибо несертифицированные СЗИ бывают дырявы, как дуршлаг.
Недавно лично столкнулся: habrahabr.ru/post/343722

Что если не секрет подразумевается под внутренней безопасностью?) И причём тут СЗИ?

Защита от внутренних нарушителей, находящихся внутри периметра. Нелояльных сотрудников, в том числе админов, гостей.
Собсно СЗИ для этого и применяют в комплексе с орг. мерами.
В АСВН, не соединенных с открытыми сетями, пентест не очень актуален, а вот загремевший с 4 курса студент уже может попытаться дел натворить.

В рамках некоторых работ таких сотрудников тоже проверяют. Другими словами проверяются не только технологии но и люди.

Как отличить таких от не таких?
Методика есть?

Вопрос был про проверки внутренней защиты, а не про сотрудников
Справедливости ради, наличие сертификата у СЗИ тоже не гарантирует его непоколебимость, ибо у вышеупомянутого DeviceLock тоже есть сертифицированные версии, состав которых от не сертифицированных ничем не отличается, ага.
Нет у него ничего сертифицированного.
В комментах к статье осуждалось.
И в мою контору они пытались сунуться в МО пролезть, были посланы.
В этой жиже бултыхаюсь 20 лет, так что мало-мало понимать.
О том и речь, что нет ничего.
Вы текст по ссылке прочитали?
Чота вспомнилось, что исправленную версию Вашей поделки не тестировал.
Поставил на закачку.
Проверил.
Это клиника.
За год две дырки не смогли закрыть.
Не стыдно?
Здесь не будут называться имена, ни на кого не будут показывать пальцем.

А почему нет? Я действительно не понимаю.

Цель статьи обсудить проблему, а не тыкать в коллег по сфере.

Напоминает ремонтников, скрывающих схемки плат от телевизоров, чтоб конкурентов не плодить. :)
Чтобы не отпентестили в подворотне
Будет ли признан успешным тест на проникновение на склад, к примеру, если при входе показать охраннику договор на проведение тестирования с подписью директора? При условии, конечно, что он после этого пропустит незнакомца внутрь.

Скорее всего да, но тут существует много различных факторов, которые обговариваются до начала работ. Если мы говорим про проникновение на периметр склада, то договор для охранника можно подделать. Верить на одну подпись директора не совсем есть гуд.

Типичная ситуация: обязан ли рядовой в карауле пропускать полковника?
А генерала?
НЛО прилетело и опубликовало эту надпись здесь
Только на отдел АСУ устав караульной службы не распространяется.
НЛО прилетело и опубликовало эту надпись здесь
Напрашивается вопрос: что делать в случае смерти начальника караула, помощника начальника караула и своего разводящего?
В уставе имеются в виду не конкретные люди а «должности».
вспоминается
анекдот
Часовой на посту. Подходит майор.
— Фамилия?
— Рядовой Петров!
— Сколько человек в роте?
— Семьдесят!
— А в батальоне?
— Двести пятьдесят!
— А ты чего военную тайну рассказываешь? Вдруг я шпион?
Выстрел. Солдат:
— Ты посмотри, какая сволочь!

Собственно, вопрос был про разрешение таких коллизий, т.к. часовой может не знать об изменениях, вызванных вышеназванными потерями.
Ну, если бы точным, то не «должности», а «обязанности». Начальник караула, его помощник и разводящий — это не должности. Это обязанности, которые могут возлагаться на определенных должностных лиц.
В случае гибели начальника караула, его помощника и разводящего или физической невозможности для них выполнять свои обязанности снятие или смена часового производится дежурным по воинской части в присутствии своего командира роты или батальона.
УГКС
На мой взгляд сканирование на уязвимости можно рассматривать как часть аудита безопасности. Например, у нас есть описанный процесс обновлений или парольных политик. При аудите соблюдения процессов применяется и автоматизированное сканирование.

Пентест, это имитация со стороны потенциального нарушителя. Причём в чистом виде, задача начинается с чёрного ящика. Вот название компании, проводите разведку и ломайте.
Задача пентеста в том числе проверить реакцию и эффективность службы ИБ. Поэтому пентесты лучше заказывать вышестоящему ТОП-куратору ИБ, в тайне от основных ИТ и ИБ служб.
НЛО прилетело и опубликовало эту надпись здесь
На «Меньшевике» примерно это сейчас и происходит.
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории