Перехват сеанса

Тест на проникновение: совет pci ssc встал на пути халтуры

позиции Совета

Тест на проникновение: Совет PCI SSC встал на пути халтуры


Как было отмечено в прошлой заметке о серьезном ужесточении позиции Совета PCI в отношении качества проводимого аудита: Совет будет выборочно проверять Отчеты о Соответствии, а также сопоставлять представленную в них информацию с собранными в ходе аудита свидетельствами с целью поиска критичных нарушений, за которые последует лишение компании-аудитора статуса QSA, а также пересмотр результатов проведенных ею аудитов, вплоть до отзыва выданных ею Сертификатов Соответствия.
Для заказчика это означает, что не стоит считать, что если приглашать всегда одного и того же QSA, то таким образом можно всегда скрывать те или иные несоответствия (если предположить, что QSA пошел на сговор с клиентом, и закрыл глаза на сознательное нарушение требований стандарта или, что еще скорее, он просто не обладает достаточной квалификацией).
В частности, применительно к пентестам следует ОСОБО обратить внимание на следующие ставшие теперь крайне критичными нарушения:
заведомо ложная трактовка аудитором требований стандарта;
обозначение в Отчете о Соответствии невыполненного требования как выполненного.
Это означает, что теперь заказчикам стоит обратить самое пристальное внимание на порочную практику, когда для псевдо удешевления стоимости проекта вместо квалифицированных пентестеров они пользуются услугами непрофессионалов, в том числе, к сожалению, иногда по недоразумению, обладающих даже статусом QSA.
Подобные «пентестеры», прикрываясь своим статусом как щитом, идут на откровенное нарушение приведенных выше принципов, ЗАВЕДОМО выдавая за пентест обычный отчет сканера, являющийся всего лишь автоматизированной проверкой (необходимость которой описана в другом требовании стандарта)!
Теперь такая, ставшая, к сожалению, в последнее время у многих заказчиков достаточно типовой, порочная практика проведения дешевого (только для формального соблюдения требования стандарта), но неквалифицированного пентеста (по сути, автоматизированного сканирования) становится КРАЙНЕ накладной не только для QSA (который потеряет статус), но и, что самое главное, для заказчика - он немного сэкономит, но потеряет и Сертификат Соответствия, и репутацию.
Заказчикам следует обратить пристальное внимание на качество и стоимость пентеста. проверка на sql уязвимость В данном случае или качественно, или дешево - третьего здесь не дано.

Похожие статьи Pentest

  • Комплексный тест на проникновение

    Моделирование реальных действий взломщика на информационную систему с целью поиска уязвимостей , попыток обхода средств защиты , компрометации системы и...

  • Тесты на проникновение

    Тестирование на проникновение - попытка взлома информационного ресурса компании, направленная на получение оценки уровня безопасности исследуемого...

  • Комплексный тест на проникновение

    О дним из распространенных методов проведения аудита информационной безопасности является тестирование на проникновение ( Penetration test ), которое...

  • Методика тестирования на проникновение

    Ежедневно в Интернет злоумышленниками осуществляются сотни - тысячи взломов веб-сайтов, серверов приложений и баз данных. безопасность серверов баз...

  • Тестирование на проникновение (пентестинг)

    Услуга РНТ по проверке уровня защищенности корпоративной и ИТ-инфраструктуры методом тестирования на возможность проникновения ( пентестинг )...