Безопасность языком цифр #9: откровения о пентестах

Услуги по тестированию на проникновение и анализу защищенности предлагают сегодня все кому не лень. Оно и понятно. Такие работы позволяют с минимальными временными и финансовыми затратами выявить существенные недостатки в реализации системы управления информационной безопасности. Поэтому услуги по тестированию на проникновения являются все более и более востребованными в настоящее время. Одним из ограничений анализа защищенности, и, тестирования на проникновение в частности, является то, что не существует четких критериев оценки качества предоставляемых услуг. Таким образом, Заказчику остается только уповать на методику Исполнителя и опыт участников, которые непосредственно проводят подобный анализ. name='more'> Я бы не поднял эту тему, не окажись у меня на руках отчет о проведенном пентесте одним из крупных и всеми любимых системных интеграторов. Назовем этого системного интегратора компанией X, а Заказчика услуг компанией Y. По иронии судьбы позитивная бригада пентестеров провела периметровый пентест в отношении области исследования компании Y, безопасность объектов которой была проанализирована с использованием методики тестирования на проникновение буквально за три недели до начала наших работ. Это позволило провести объективное сравнение качества предоставляемых услуг в этом направлении обоими компаниями исполнителями. Были получены следующие результаты: Кроме того, оценивая осведомленность сотрудников Заказчика в вопросах информационной безопасности, компания X сделала вывод, что осведомленность сотрудников компании Y является высокой. К другому мнению пришла позитивная компания, сделав вывод, что осведомленность сотрудников в вопросах информационной безопасности в компании Y является средней, акцентируя также внимания компании Y на недостатки в обеспечении безопасности рабочих станций конечных пользователей. Отсюда делаем выводы, самостоятельно :-)