Лента
Форум
Файлы
О стандартах PCI
О проекте
Форумы|Пользователи|Поиск|Войти|Регистрация
Ответить
Подписаться   Версия для печати
Сканирования и тесты на проникновение: Тест на проникновение
bbbbbit

bbbbbit
На форуме с:
20.05.2009
27.05.2009|15:04 Личное сообщение Инфо Ответить
Добрый день,

Подскажите пожалуйста, что конкретно должно входить в данный тест?
Социальная инженерия должна входить в него обязательно?
Елисеев Игорь, QSA
Информзащита

На форуме с:
10.09.2009
27.05.2009|17:36 Личное сообщение Инфо Ответить
Ответ на Ваш вопрос можно найти на сайте в официальном документе PCI Security Standard Counsil - Information Supplement: Requirement 11.3 Penetration Testing

Привожу ссылку на этот документ:
https://www.pcisecuritystandards.org/security_standards/pci_dss_supporting_docs.shtml
Вот что написано в этом документе в разделе "Components":
Consider including all of these penetration-testing techniques (as well as others) in the methodology, such as social engineering and the exploitation of exposed vulnerabilities, access controls on key systems and files, web-facing applications, custom applications, and wireless connections.

То есть использование методов социальной инженерии необходимо как один из компонентов теста на проникновение.
bbbbbit

bbbbbit
На форуме с:
20.05.2009
29.05.2009|07:56 Личное сообщение Инфо Ответить
Спасибо за ответ
Елисеев Игорь, QSA
Информзащита

На форуме с:
10.09.2009
29.05.2009|17:38 Личное сообщение Инфо Ответить
Хочу уточнить мой предыдущий пост по вопросу обязательности использования тех или иных методов, включая социальную инженерию:

Постулат 1. При определении методологии, которая будет использоваться в рамках пен-теста, надо анализировать необходимость и ценность применения каждой и перечисленной выше технологии пен-тестов (в том числе и социальную инженерию).

Постулат 2: Существует вероятность того, что применение какого-либо из методов в какой-то конкретной ситуации может не иметь смысла . Например, не имеет смысла пытаться реализовывать атаки на внутренние ресурсы через рассылки по внешней почте пользователям, если сеть организации и сеть доступа в интернет физически разделены (воздушная прослойка) и то, что это действительно так, уже однозначно подтверждено.

Отсюда следует Постулат3: Если в отчете о проведенном пен-тесте нет информации о результатах применения социальной инженерии и нет обоснования почему эта технология не использовалась, это еще не означает, что аудитор тут же ставит несоответствие. Это означает только, что он задает вопрос, ПОЧЕМУ этот метод не использовался и исходя из полученной аргументации, принимает решение о допустимости его исключения и значимости результатов пен-теста.
Ответить
Подписаться   Версия для печати
Сейчас на форуме человек: 1 (пользователей: 0, гостей: 1) | Форумов: 7, Тем: 34, Сообщений: 129, Участников: 124 | Рекорд посещаемости на 18.02.2010: всего человек: 547 (пользователей: 0, гостей: 547)