В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

secinfosec

2144 membersпожаловаться на группу
2020 August 20

$

$t3v3;0) in secinfosec
Роман Мылицын
Ну смотрю ГОСТ:

"Тесты проникновения предназначены для того, чтобы оценщик мог сделать заключение о восприимчивости объекта оценки находящегося в своей среде функционирования...".

Как я понимаю, должна быть среда функционирования, то есть, какая то инфраструктура
Сильно размытое определение, под которое тестирование антивируса тоже подпадёт
источник
08:53пожаловаться#1

РМ

Роман Мылицын... in secinfosec
A
Не ко мне вопрос, в эшелон и гнии птзи + исп.
Среда функционирования

Совокупность организационных, информационных программных и технических средств ЭВМ при сохранении ими работоспособного состояния

ГОСТ 28195-89 Оценка качества программных средств. Общие положения
источник
08:53пожаловаться#2

A

A in secinfosec
Роман Мылицын
Среда функционирования

Совокупность организационных, информационных программных и технических средств ЭВМ при сохранении ими работоспособного состояния

ГОСТ 28195-89 Оценка качества программных средств. Общие положения
Всё верно. Компьютер + ос - среда функционирования для исследуемого компонента.
источник
08:55пожаловаться#3

РМ

Роман Мылицын... in secinfosec
A
Всё верно. Компьютер + ос - среда функционирования для исследуемого компонента.
Совокупность, в том числе организационных , информационных и т. д. То есть, как минимум, какая то настройка нужна
источник
08:56пожаловаться#4

A

A in secinfosec
Роман Мылицын
Совокупность, в том числе организационных , информационных и т. д. То есть, как минимум, какая то настройка нужна
Ну ставится астра, настраиваются её сзи и потом они пентестятся. Логика требований доверия, которым соответствует астра, именно такая.
источник
08:57пожаловаться#5

$

$t3v3;0) in secinfosec
Роман Мылицын
Совокупность, в том числе организационных , информационных и т. д. То есть, как минимум, какая то настройка нужна
Ага.
Дефолтные настройки - это тоже «настройка»
источник
08:57пожаловаться#6

АС

Андрей Слободчиков... in secinfosec
A
Ну ставится астра, настраиваются её сзи и потом они пентестятся. Логика требований доверия, которым соответствует астра, именно такая.
Это не тоже самое при тестировании на проникновение ИТ структуры
источник
08:59пожаловаться#7

РМ

Роман Мылицын... in secinfosec
A
Ну ставится астра, настраиваются её сзи и потом они пентестятся. Логика требований доверия, которым соответствует астра, именно такая.
Имхо, это натяжка.
источник
08:59пожаловаться#8

$

$t3v3;0) in secinfosec
Роман Мылицын
Имхо, это натяжка.
Это то как расписано в госте, который ты цитируешь)
источник
08:59пожаловаться#9

АС

Андрей Слободчиков... in secinfosec
Когда ставится Астра, проверяются руками заявленные функции безопасности. То есть если есть разграничение доступа, то проверяется как это работает и какие ошибки выдаёт
источник
09:00пожаловаться#10

АС

Андрей Слободчиков... in secinfosec
Плюс динамические тесты, фазинг тесты, статистические и т.д. В испытательной лаборатории
источник
09:00пожаловаться#11

РМ

Роман Мылицын... in secinfosec
Андрей Слободчиков
Когда ставится Астра, проверяются руками заявленные функции безопасности. То есть если есть разграничение доступа, то проверяется как это работает и какие ошибки выдаёт
Мне кажется, что пентест больше актуален для работающей и настроенной инфраструктуры в рамках аудита безопасности заказчика
источник
09:00пожаловаться#12

АС

Андрей Слободчиков... in secinfosec
Роман Мылицын
Мне кажется, что пентест больше актуален для работающей и настроенной инфраструктуры в рамках аудита безопасности заказчика
Так и есть.
источник
09:01пожаловаться#13

РМ

Роман Мылицын... in secinfosec
А проверка соответствия заявленных функций безопасности конкретного программного продукта - это уже какое другое исследование.  По крайней мере, я бы термины разделял
источник
09:01пожаловаться#14

A

A in secinfosec
Роман Мылицын
Имхо, это натяжка.
Нет, это реальность работы лабораторий.
источник
09:02пожаловаться#15

РМ

Роман Мылицын... in secinfosec
A
Нет, это реальность работы лабораторий.
То, что они это делают, не спорю. Но пентест ли это
источник
09:04пожаловаться#16

𝟟

𝟟𝕫𝕚𝕡 in secinfosec
Snakey Art
CCNA R&S => CCNA Security. И твоего чела хватит еще надолго
Cyber ops ещё впридачу
источник
09:05пожаловаться#17

SA

Snakey Art in secinfosec
пен == проникновение. Так что тест ПО на безопасность навряд ли можно назвать пентестом. Но вообще-то это все спор о терминах)
источник
09:06пожаловаться#18

РМ

Роман Мылицын... in secinfosec
Роман Мылицын
То, что они это делают, не спорю. Но пентест ли это
Если это пентест, то отлично, заказчик может смело брать продукт и больше не проводит пентест у себя, ведь он уже проведен
источник
09:06пожаловаться#19

SA

Snakey Art in secinfosec
𝟟𝕫𝕚𝕡
Cyber ops ещё впридачу
Кстати, вот расскажи мне дураку, чем отличаются Сесуриту от Суберопс
источник
09:07пожаловаться#20