четверг, 19 ноября 2009 г.

Юридические аспекты консалтинга в области ИБ

Опубликовал презентацию доклада «Всех аудиторов «посодют»?! Юридические аспекты консалтинга в области ИБ»:

http://www.ptsecurity.ru/news_page.asp?id=75

Обратная связь приветствуется.

8 комментариев:

Shaman007 комментирует...

Коротко и по делу. Теперь я все понял :-)

Pento комментирует...

О, посмотрим :)
Лучше бы конечно статью...

itgirl комментирует...

Понравилось. Особенно

"Обходить опасные места
•Не работать с данными"


:)

Анонимный комментирует...

помнится еще совсем недавно евтеев с пеной у рта утверждал, что доступ к данным - прямая необходимость петеста )))
http://devteev.blogspot.com/2009/10/blog-post.html

Сергей Гордейчик комментирует...

>евтеев с пеной у рта утверждал

И он абсолютно прав. Более того, когда речь идет о конфиденциальной информации и даже гос.тайне, все достаточно прозрачно. В случае же с банковской тайной и персональными данными все несколько муторно. Опять таки - как искать незашированные PAN? :)

Если уважаемый аноним прочитает презентацию, то он поймет, что смайлик после "не работать с данными" означает скорее сарказм, и относится к тому, что работать с данными можно, формально не работая с ними.

То, что Диму немного занесло в указываемом сообщении, вполне понятно. Он ведь подходил с позиций здравого смысла, а он не всегда совпадает с буквой закона. (смайлег)

Dmitry Evteev комментирует...

Видимо анонимус не внимательно читал опубликованный мною пост на тему законности действий при проведении тестирований на проникновение. Приведу выдержку из поста:
"При проведении тестирования на проникновение действия пентестера направлены в сторону эксплуатации максимально возможного количествам уязвимостей и при этом возможно наступление события, при котором пентестер неосознанно (случайно, непреднамеренно) получит доступ к информации разного уровня конфиденциальности. С другой стороны, получение НСД к конкретной информации может быть одной из задач проведения тестирования на проникновение (кроме случая с банковской тайной)."
То есть, такая задача может присутствовать, а может и не присутствовать (желание Заказчика). Нюанс возникает при проведении тестирования на проникновение по PCI DSS. Тут действия пентестера направлены на то, чтобы после тестирования, ИС была приведена в соответствие с требованиями стандарта по защите пластиковых карт. При проведении подобных работ, одна из задач пентестера - это убедиться, что у него нет возможности получить доступ к данным держателей карт.

Уважаемый анонимус способен привести пример, где я "с пеной у рта утверждал, что доступ к данным - прямая необходимость петеста"?

Анонимный комментирует...

"одна из задач пентестера - это убедиться, что у него нет возможности получить доступ к данным держателей карт."

Cапожник должен латать сапоги.
А пси пентестами должен заниматься тот, кто в этом хотя бы чутка понимает ;).
Учите матчасть, эксперты :)

Dmitry Evteev комментирует...

то есть, конкретизировать нечем?

ЗЫ: Хоть бы имя/компанию назвали, где работают мега крутые пентестеры по писиай...