Форум Сообщества Практиков Конкурентной разведки (СПКР)

Спасибо за детальное разъяснение.
[q=CI-KP]Я не совсем понял - Вы подключались к чужой сети без ведома и согласия ее владельца? Или тест - это типа аудита - когда владелец тестирует дыры в собственной защите?[/q]
Естественно такой заказ делает либо сам владелец либо, что чаще, СБ предприятия. И про законы осведомлен, просто интересно, используют ли современные КР такие методы и насколько успешно. Хотя, как написал Николаич это уже ПШ (но опять таки это вопрос как понимается КР в головах бизнесменов). Спасибо за разъяснение.

О, весело как :о)) dr_kennel при проведении пентестов, при подготовке аудита на соответствие стандарту PCI DSS используются приемы социотехник. Мало того, Рекомендуется использование социотехник. Которые, по моему скромному мнению, полностью попадают в определение КР. Так как проводятся исключительно на основе информации из открытых источников в актуальных на момент проведения теста точках коммуникаций (электронная почта, телефония, и т.д.) Физически инфильтрация в периметр обычно не разрешена, и в рамках PCI DSS не требуется. Ну конечно, если такое проникновение не указанно в договоре. Не указано в договоре явной ссылки на стандарт, такое требующий, значит Вы нарушили закон. Нет в договоре условия о проведени теста на попытку физического проникновения, Вы нарушили закон.
Но я не знаю ни одного стандарта, который содержит такое требование. За исключением военных.

[q=Loo]при подготовке аудита на соответствие стандарту PCI DSS[/q]
Вы путаете мокрое с холодным. Я не говорил ни слова о PCI DSS, к тому же:

"Требования стандарта PCI DSS распространяется на организации, обрабатывающие информацию о держателях платежных карт. Если организация хранит, обрабатывает или передает в течение года информацию хотя бы об одной карточной транзакции или владельце платежной карты, то она должна соответствовать требованиям стандарта PCI DSS. Примерами таких организаций являются торгово-сервисные предприятия (розничные магазины и службы электронной коммерции), а также поставщики услуг, связанных с обработкой, хранением и передачей карточной информации (процессинговые центры, платежные шлюзы, call-центры, хранилища носителей резервных копий данных, организации, участвующие в персонализации карт и т. п.)."

А есть еще такой стандасрт как ISO/IEC 27001. Вот на соответствие ему чаще всего и порводится тест на проникновение. В общемировой практике проведения пентестов это нормально. Посмотрите например сюда - www.vulnerabilityassessment.co.uk/Penetration%20Test.html

И к тому же - хозяин (бизнеса) - барин, .

dr_kennel маленький совет на будущее, не редактируйте после опубликования посты без ремарки "Отредактировано", это плохой стиль. После приведенной ссылки на один из миллиона пентестер-фреймворк мне не интересно уже, на самом деле, разговаривать. Я бы понял, если бы была ссылка на продукты Core Security, а вот это аж грустно.

Пост имею право редактировать - ибо не пообвыкся еще к форуму и есть привычка ctrl+enter зажимать))
А на Core Security свет клином не встал. Точно так же как и в стандарте не должно быть описания какими инструментами проводить аудит.

P.S. Ну по всему видно г-н Loo любит быть правым а не искать правду. В таком ключе диалог никуда не ведет.