VM
Вопрос: как заставить ГосСОПКУ проводить пентест по моему плану (время, характеристики, объекты)? Думаю никак. Поэтому я сам планирую свои пентесты, а ГосСОПОчные - внеплановые будут.
Size: a a a
2019 April 01
К(
Вопрос: как заставить ГосСОПКУ проводить пентест по моему плану (время, характеристики, объекты)? Думаю никак. Поэтому я сам планирую свои пентесты, а ГосСОПОчные - внеплановые будут.
тут наверное надо ставить вопрос спецам из сопки, но вангую что будет зависеть не от наших желаний, а от критичности объектов и возможно при появлении актуальных угроз как то так
DK
1) да
2) а варинт по выделению айпи с которых будут идти тесты?
3) тут не могу ответить ибо не залезал в голову к заказчику
временно не сообщать согласен глупо прозвучало, каюсь
2) а варинт по выделению айпи с которых будут идти тесты?
3) тут не могу ответить ибо не залезал в голову к заказчику
временно не сообщать согласен глупо прозвучало, каюсь
Так они обычно и проводятся с выделенных IP. А сообщать в ГосСОПКА требуется не об атаках, а об инцидентах. Если в ходе теста на проникновение не случился инцидент, сообщать не о чем. Случился - субъект обязан о нем сообщить.
Поэтому достаточно предупредить центр ГосСОПКА, что в это время вот с этих IP будет проводиться внешний пентест. Дальше они уже сами разберутся
Поэтому достаточно предупредить центр ГосСОПКА, что в это время вот с этих IP будет проводиться внешний пентест. Дальше они уже сами разберутся
M
Обычную путаницу с сопкой и госсопкой вижу я
VM
тут наверное надо ставить вопрос спецам из сопки, но вангую что будет зависеть не от наших желаний, а от критичности объектов и возможно при появлении актуальных угроз как то так
Я к чему. Пентест от ГосСОПКА лучше воспринимать как доп, а не как замену пентестам, проводимым по собственной инициативе.
К(
Я к чему. Пентест от ГосСОПКА лучше воспринимать как доп, а не как замену пентестам, проводимым по собственной инициативе.
кстати да, пентест от госсопки может быть не такой глубокий
DK
Вопрос: как заставить ГосСОПКУ проводить пентест по моему плану (время, характеристики, объекты)? Думаю никак. Поэтому я сам планирую свои пентесты, а ГосСОПОчные - внеплановые будут.
Это смотря кто для тебя ГосСОПКА :)
Если субъекта обслуживает коммерческий центр, то "за ваши деньги - любой каприз".
С ведомственным чуть сложнее. Да, может субъект и захочет проводить пентесты чаще, чем способен такой центр, тогда придется привлекать стороннего исполнителя. Но на практике в госах инициируют пентесты и создают центры ГосСОПКА одни и те же люди :)
Если субъекта обслуживает коммерческий центр, то "за ваши деньги - любой каприз".
С ведомственным чуть сложнее. Да, может субъект и захочет проводить пентесты чаще, чем способен такой центр, тогда придется привлекать стороннего исполнителя. Но на практике в госах инициируют пентесты и создают центры ГосСОПКА одни и те же люди :)
VM
Это смотря кто для тебя ГосСОПКА :)
Если субъекта обслуживает коммерческий центр, то "за ваши деньги - любой каприз".
С ведомственным чуть сложнее. Да, может субъект и захочет проводить пентесты чаще, чем способен такой центр, тогда придется привлекать стороннего исполнителя. Но на практике в госах инициируют пентесты и создают центры ГосСОПКА одни и те же люди :)
Если субъекта обслуживает коммерческий центр, то "за ваши деньги - любой каприз".
С ведомственным чуть сложнее. Да, может субъект и захочет проводить пентесты чаще, чем способен такой центр, тогда придется привлекать стороннего исполнителя. Но на практике в госах инициируют пентесты и создают центры ГосСОПКА одни и те же люди :)
Хм. В таком случае нужны юристы, чтобы усилить позищию субъекта КИИ в договорах на обслуживание в рамках управления поставщиками (цепочками поставок), командной работы, и измеримости аутсорсного пентеста
К(
Хм. В таком случае нужны юристы, чтобы усилить позищию субъекта КИИ в договорах на обслуживание в рамках управления поставщиками (цепочками поставок), командной работы, и измеримости аутсорсного пентеста
и желательно наверное чтобы юристы разбирались хоть немного про ойти?
VM
и желательно наверное чтобы юристы разбирались хоть немного про ойти?
Очень хорошее определение в wiki в статье IT law. В первом абзаце. Если юрист сможет объяснить о чём там, то это такой подойдёт для задачи написания договора с Центром ГосСОПКА
DK
кстати да, пентест от госсопки может быть не такой глубокий
Пентест "от госсопки" и пентест "от кутюр" делают одни и те же исполнители (большинство центров сами такой компетенции не имеют, они ее аутсорсят). Но!
В рамках ГосСОПКА проведение пентестов контролирует НКЦКИ. Формы контроля сейчас обсуждаются, от выборочной проверки отчетов до выборочного непосредственного надзора НКЦКИ за ходом работы. Так что рисков тут поменьше.
Но в целом действительно может понадобиться сторонний исполнитель, и тогда достаточно предупредить центр о проведении работы
В рамках ГосСОПКА проведение пентестов контролирует НКЦКИ. Формы контроля сейчас обсуждаются, от выборочной проверки отчетов до выборочного непосредственного надзора НКЦКИ за ходом работы. Так что рисков тут поменьше.
Но в целом действительно может понадобиться сторонний исполнитель, и тогда достаточно предупредить центр о проведении работы
К(
Очень хорошее определение в wiki в статье IT law. В первом абзаце. Если юрист сможет объяснить о чём там, то это такой подойдёт для задачи написания договора с Центром ГосСОПКА
спасибо возьму на вооружение
AL
Всем доброе утро! вопрос: скажем заказчик подключен к центру мониторинга и далее к сопке и у него проводятся тесты на проникновение и прочие, то эээ можно в центре мониторинга договорится что за определенное время не отправлять алерты в сопку или вообще как это должно происходить?
Просят западнее уведомить по срокам и характеру
M
Пентест "от госсопки" и пентест "от кутюр" делают одни и те же исполнители (большинство центров сами такой компетенции не имеют, они ее аутсорсят). Но!
В рамках ГосСОПКА проведение пентестов контролирует НКЦКИ. Формы контроля сейчас обсуждаются, от выборочной проверки отчетов до выборочного непосредственного надзора НКЦКИ за ходом работы. Так что рисков тут поменьше.
Но в целом действительно может понадобиться сторонний исполнитель, и тогда достаточно предупредить центр о проведении работы
В рамках ГосСОПКА проведение пентестов контролирует НКЦКИ. Формы контроля сейчас обсуждаются, от выборочной проверки отчетов до выборочного непосредственного надзора НКЦКИ за ходом работы. Так что рисков тут поменьше.
Но в целом действительно может понадобиться сторонний исполнитель, и тогда достаточно предупредить центр о проведении работы
А где почитать про контроль пентестов со стороны НКЦКИ?🤔
К(
я задал такой же вопрос руководителю одного из центров мониторинга и получил такой ответ: "Я пока не видел соглашения с НКЦКИ, но там должно быть прописано взаимодействие между ЦМ, НКЦКИ и организацией. Т.к. ЦМ и организация уведомят НКЦКИ о своем взаимодействии, то НКЦКИ проведет проверку защищенности обязательно. А вот предупредит ли, это вопрос)))) Но доложить мы (ЦМ) все равно должны будем."я
А
⚠️ Часть дискуссии перенесена в общий чат @ruCyberSecurity_chat
С
Здравствуйте, уважаемые знатоки! Подскажите пожалуйста, какой окончательный (пока) вариант изменений ПП-127? Текст отправленный на антикоррупционную экспертизу или текст, доработанный по итогам обсуждений? Вопрос возник потому, что на экспертизу ушёл текст с 6 месяцами на категорирование и отсутствием 21 пункта.
AK
Здравствуйте, уважаемые знатоки! Подскажите пожалуйста, какой окончательный (пока) вариант изменений ПП-127? Текст отправленный на антикоррупционную экспертизу или текст, доработанный по итогам обсуждений? Вопрос возник потому, что на экспертизу ушёл текст с 6 месяцами на категорирование и отсутствием 21 пункта.
Лучше дожидаться окончательной официальной публикации. Тогда и гадать не надо будет.
С
Алексей, а Вы тоже обратили внимание на отсутствие 21 пункта и сокращение времени на категорирование до полугода? Я просто не совсем понял, по итогам обсуждений были внесены изменения, а на экспертизу направили документ несколько иного содержания.
AK
Алексей, а Вы тоже обратили внимание на отсутствие 21 пункта и сокращение времени на категорирование до полугода? Я просто не совсем понял, по итогам обсуждений были внесены изменения, а на экспертизу направили документ несколько иного содержания.
Нет, не обращал. После доработки по итогам обсуждения не следил за проектом: https://rucybersecurity.ru/t/proekt-postanovleniya-pravitelstva-rf-o-vnesenii-izmenenij-v-postanovlenie-pravitelstva-rf-127-ot-08-02-2018/572 Прямо сейчас Портал ошибку выдаёт при попытке пройти по ссылке. Починят - можно будет посмотреть, что там поменялось, если любопытно. Но, вообще, лучше проекты так пристально не изучать - вдруг отложится в памяти что-то, что в итоге не примут, будет неуютно =)
