Тема очень важная и полезная по работе. (хоть и неинтресная ) Наверно углубить и расширить это тему в интересах самих компаний продающих услуги безопасности. С нетерпением жду продолжения. А так же ссылку на используемые материалы
Serpent пишет: Интересно, как определить квалификацию тестера?
А ты что с улицы человека берешь, чтобы его квалификацию проверять? Заключай договор c известной компанией, предлагающей подобные услуги. Их в России по пальцам можно пересчитать. Не сочтите за рекламу, но лучше Positive Technologies в Росии пентесты никто не выполняет.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
Идея написания статьи на эту тему конечно очень хороша. Но помимо интересного названия хотелось бы увидеть полезное содержимое... Надеюсь что дальнейшие статьи будут более информативны. Иначе складывается ощущение что автор решил заработать деньги на названии и общих известных принципах, не вдаваясь в суть проблемы.
Сорри, что не был указан автор, это моя ошибка. Автор указан.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
2Pig Killer: Я всегда интересуюсь, как может подтвердить квалификацию человек/компания, которая берётся выполнять работу. Боюсь, ссылки "Ну, в инете все так думают" или "хакеры говорят, круче проверялы нет" мне будет недостаточно для вложения нормальных средств.
Serpent пишет: 2Pig Killer: Я всегда интересуюсь, как может подтвердить квалификацию человек/компания, которая берётся выполнять работу. Боюсь, ссылки "Ну, в инете все так думают" или "хакеры говорят, круче проверялы нет" мне будет недостаточно для вложения нормальных средств.
Согласен. Positive скоро выложит пример отчета, по нему можно будет оценить их квалификацию.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
Serpent пишет: 2Pig Killer: Я всегда интересуюсь, как может подтвердить квалификацию человек/компания, которая берётся выполнять работу. Боюсь, ссылки "Ну, в инете все так думают" или "хакеры говорят, круче проверялы нет" мне будет недостаточно для вложения нормальных средств.
Подтверждение компании - рекоммендации от других компаний, чем известней компания, тем лучше. Подтверждение человека, вопрос более скользкий, но обычно резюме и referense letters. Если в компании уже есть АйТи спец, то проводится тест или интервью(или тест и интервью).
Для меня интересней другое, если руководство не испытывает доверия к АйТи Спецу, то возникает гораздо больше проблем, чем выделение и обоснование бюджета.
Про формулу, бюджет на защиту закрытой коммерческой информации на год я расчитывал в диапазоне от 0.1 до 1% от валового дохода компании. Однако выделение средств на ту или иную работу аргументировались отдельно. И все-равно интересно узнать более детальную форму.