Требования к тестированию на проникновения описаны в ГОСТ:

5.4.1 Меры по разработке безопасного программного обеспечения, подлежащие реализации

При выполнении квалификационного тестирования ПО разработчик ПО должен реализовать следующие меры:

- функциональное тестирование программы;

- тестирование на проникновение;

- динамический анализ кода программы;

- фаззинг-тестирование программы.

При сертификации на УД, как я выше писал, этот ГОСТ не всегда должен применяться (если быть точным, то не всегда есть требование к использованию данного ГОСТ)

И в методике?

О какой методике речь?

В случае астры они заявляли, что процесс по нему построили.

В соответствии с которой должны выявляться уязвимости при сертификации по доверию.

В требованиях к УД, насколько я помню, написано достаточно размыто:
Должны проводиться тестирования и испытания по выявлению уязвимостей и НДВ

Да, но есть утверждённая фстэк методика.

Лаборатория создает среду функционирования. Как то там ее настраивает. Это мини-инфраструктура. И именно ее тестируют на проникновение

Гост не лаборатория должна выполнять, а разработчик.

Ок. Что в ней написано ?

Она дсп же. Тут не особо удачная идея её цитировать.

Да все свои :)))

Не все :)

Перечитаю сегодня её.

Ну короче да, там есть тестирование на проникновение.
Но опять же тестирование на проникновение ПО не равно тестированию на проникновение ИТ структуры.
И даже если в ИТ структуре будет стоять ПО прошедшее сертификацию, это не значит, что тестирование на проникновение ИТ не надо проводить.

Всем привет. Подскажите инструменты формирования списка угроз на базе CAPEC к конкретной АС. Есть ли тулзы съедающие параметры системы и выдающие потенциальный список угроз?

Нет, pen. - это сокращение от penetration )

Ops это текучка

Мозгами. Ботай принципы проектирования безопасных приложений

Звучит как нетворк сисурити