28 мая, четверг 00:08
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Пен Тесты. Кто как выкручивается?

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • #31
    Сообщение от kirill_1985 Посмотреть сообщение


    В 382-П нет ссылок на методику по части пентеста и анализа (а к примеру в абзаце про ОУД 4 - есть), поэтому использовать ГОСТ 15408 не обязательно.
    В 382-П упоминаются два анализа уязвимостей: приложений и инфраструктуры. Второй действительно делается в рамках пентеста и на него действительно нет методик. Первый делается в рамках оценки доверия, и на него методики есть.

    ​​​​​​В вашем сообщении могло показаться, что вы говорите об одном и том же анализе, поэтому я уточнил.

    Комментарий


    • #32
      Коллеги, добрый день.

      Ситуация.
      Провели пен-тест ДБО для юриков (покупное), пен-тестер нашёл ряд уязвимостей.
      Вендор согласен устранять уязвимости, но часть из них хочет устранять за счёт банка, а нам это не нравится.

      Как вы считаете, этично ли будет поделиться результатами пен-теста с сообществом, чтобы совместно давить на вендора?

      Комментарий


      • #33
        Сообщение от ost Посмотреть сообщение
        .....Как вы считаете, этично ли будет поделиться результатами пен-теста с сообществом, чтобы совместно давить на вендора?
        Если договором не запрещено, вполне. Тем более, это общепринятая практика.
        Вендора уведомили, дальше, по истечение, некоторого срока, информация об уязвимостях делается публичной.
        Весь вопрос в сроке. если он не оговорен вендором, то почему бы и не ограничиться собственной точкой зрения на этот счет.
        Можно еще с ЦБшниками обсудить этот вопрос.

        Комментарий


        • #34
          Сообщение от saches Посмотреть сообщение
          информация об уязвимостях делается публичной.
          Вот этого не надо. Одно дело с другим банком поделиться, другое дело опубликовать для всех и ослабить свою защиту и клиентов.

          Сообщение от saches Посмотреть сообщение
          Можно еще с ЦБшниками обсудить этот вопрос.
          Да им по барабану наши коммерческие трудности.

          Комментарий


          • #35
            Сообщение от ost Посмотреть сообщение
            Вот этого не надо. .
            Я ж про общепринятую практику писал, а не про ваш случай)))

            Комментарий


            • #36
              Сообщение от ost Посмотреть сообщение
              Провели пен-тест ДБО для юриков (покупное), пен-тестер нашёл ряд уязвимостей.
              Ситуация сложнее чем Вам кажется! Видится мне, что с большой вероятности:
              - код - исходники Вам не принадлежат;
              - доступ к исходникам Вам Выдали по NDA;
              - вы от Вендора приобрели лишь ПО (лицензию);
              - провели какие-то тесты, с помощью какой-то конторы (не важно с лицензиями она , уважаемая на рынке), по какой-то методики или без не согласованной ни с кем и требуется бесплатно, что-то от вендора сделать?

              Вас скорее всего засудят на круглую сумму за нарушение условий NDA и договора...

              Теперь представьте ситуацию - я клиент Сбанка, чиь данные ушли в сеть и меня стали мучать телефонные террористы и я прошу банк компенсировать мой ущерб и причиненный вред - куда меня пошлет банк? Остается мне плакаться в сети и идти в суд с надеждой отсудить 20-50тр морального ущерба в течении 3-6 месяцев слушаний.

              Что делать Вам:
              - договариваться с Вендором на оплату ч/час;
              - посмотреться договор на поддержку, в рамках которой должны быть предусмотрены доработки и исправление критичных уязвимостей - если Вы нормально согласовали договор и вендор адекватный.

              Комментарий


              • #37
                Сообщение от ost Посмотреть сообщение
                Вот этого не надо. Одно дело с другим банком поделиться, другое дело опубликовать для всех и ослабить свою защиту и клиентов.
                Согласен + интерес от ЦБ будет к такому банку.
                + может создать не благоприятную ситуацию для отрасли в целом, если банк большой и паника у клиентов начнется этого банка и других банков где представлен вендор.
                Юристы не пропустят такую публикацию, т.к. банк с уязвимостями и не может найти деньги на их закрытии - антиреклама себя, а не вендора по факту выйдет ради экономии 200-800тр.

                Комментарий


                • #38
                  Сообщение от ost Посмотреть сообщение
                  Коллеги, добрый день.
                  Как вы считаете, этично ли будет поделиться результатами пен-теста с сообществом, чтобы совместно давить на вендора?
                  Полученные вами результаты могут не воспроизвестись в другом банке из-за различия подходов, настроек, организации работы.
                  В отношении вендора нужно очень внимательно перечитать ваш с ним договор. Есть ли там положение о бесплатных доработках для соответствия изменению в законодательстве.

                  Комментарий


                  • #39
                    Сообщение от olgeir Посмотреть сообщение
                    Есть ли там положение о бесплатных доработках для соответствия изменению в законодательстве.
                    Исправление уязвимостей к ним не относятся и должны быть прописаны отдельно.
                    И как правило такие фразы вендора не подписывают, а ограничиваются отдельными законами связанные с функционалам конкретного ПО.

                    Комментарий


                    • #40
                      Сообщение от Cpx Посмотреть сообщение
                      ...Что делать Вам:
                      - договариваться с Вендором на оплату ч/час;.....
                      Просто отличная рекомендация. Вендор выпускает дырявое ПО, а потом с каждого клиента снимает бабло за латание дыр.
                      Вы вообще думаете, что вы предлагаете?


                      Комментарий


                      • #41
                        Сообщение от saches Посмотреть сообщение
                        Вендор выпускает дырявое ПО, а потом
                        Кстати, у вендора идет анализ софта на отсутствие уязвимостей по ОУД 4.
                        Посмотрим, какой будет результат....

                        Комментарий


                        • #42
                          Сообщение от ost Посмотреть сообщение
                          Кстати, у вендора идет анализ софта на отсутствие уязвимостей по ОУД 4.
                          Посмотрим, какой будет результат....
                          На самом деле, по ОУД4+, но разработчики профиля, об этом скромно умалчивают...
                          И, кстати, если еще нет финальной версии утвержденного профиля защиты, что и как они там проверяют? По его проекту?
                          И известно, кто проверку проводит? Может имеет смысл им "кАпнуть"?
                          Исходя из подхода вендора к оплате клиентами найденных уязвимостей , не вижу каких либо моральных обязательств...

                          Комментарий


                          • #43
                            Сообщение от saches Посмотреть сообщение
                            Вы вообще думаете, что вы предлагаете?
                            Предлагаю ровно то, что исходя из условий были описаны. Вам исправить нужно или бодаться с ЦБ?
                            п.с. иной раз Вы такие наивные… Как будто банки людей не обдирают и обманывают, а как вендор обдирает - то табу! Это свободный бизнес - не нравиться меняйте вендора, кто запрещает?))


                            Комментарий


                            • #44
                              Сообщение от Cpx Посмотреть сообщение
                              .... Как будто банки людей не обдирают и обманывают, а как вендор обдирает - то табу! Это свободный бизнес - не нравиться меняйте вендора, кто запрещает?))
                              А вы сравните, уровень контроля над банками и над интеграторами.
                              И у клиента всегда есть возможность, написать телегу в ЦБ и прокуратуру.
                              И в шею таких вендоров....

                              Комментарий


                              • #45
                                Сообщение от saches Посмотреть сообщение
                                И у клиента всегда есть возможность, написать телегу в ЦБ и прокуратуру
                                это просто замечательно, что в 2020 году у клиента появляются права, хотябы пожаловаться и создать проблемы не добросовестным банкам. А то как обманывать пенсионеров вы первые, а как отвечать или что-то платить вендору - последние.
                                Также как и в гос структуры, без жалоб они не умеют работать.
                                Это хоть немного будет развиваться культуру клиент-ориентированного подхода

                                Комментарий


                                • #46
                                  Сообщение от Cpx Посмотреть сообщение
                                  это просто замечательно, что в 2020 году у клиента появляются права, хотябы пожаловаться и создать проблемы не добросовестным банкам....
                                  Эта точка зрения еще раз подтверждает, насколько вы далеки от понимания того, что реально происходит в банках (и не только), на протяжении, наверное, уже 10-15 лет, когда от клиентов приходят несколько однотипных жалоб..)))
                                  Возможно, за исключением сбера..... и еще нескольких "гос"-банков...



                                  Комментарий

                                  Обработка...
                                  X