|
Форум Сообщества Практиков Конкурентной разведки (СПКР)Конкурентная разведка, Бизнес-разведка, Корпоративная разведка,
|
 |
Форум Сообщества Практиков Конкурентной разведки (СПКР) » Общие вопросы конкурентной разведки » Нарушение закона |
 |
| <<Назад Вперед>> | Страницы: 1 2 3 * 4 | Печать |
| Loo
Модератор форума
Всего сообщений: 186 Рейтинг пользователя: 5 Ссылка Дата регистрации на форуме: 18 июня 2009 |
О, весело как :о)) dr_kennel при проведении пентестов, при подготовке аудита на соответствие стандарту PCI DSS используются приемы социотехник. Мало того, Рекомендуется использование социотехник. Которые, по моему скромному мнению, полностью попадают в определение КР. Так как проводятся исключительно на основе информации из открытых источников в актуальных на момент проведения теста точках коммуникаций (электронная почта, телефония, и т.д.) Физически инфильтрация в периметр обычно не разрешена, и в рамках PCI DSS не требуется. Ну конечно, если такое проникновение не указанно в договоре. Не указано в договоре явной ссылки на стандарт, такое требующий, значит Вы нарушили закон. Нет в договоре условия о проведени теста на попытку физического проникновения, Вы нарушили закон. Но я не знаю ни одного стандарта, который содержит такое требование. За исключением военных. |
| hound |
А некоторые мои коллеги говорят. что лучше подходит статья по ОПГ (номер не помню, сорри). Не один же Вы... |
| dr_kennel |
Профиль | Игнорировать
NEW! Сообщение отправлено: 7 июля 2009 23:22 Сообщение отредактировано: 7 июля 2009 23:30
[q=Loo]при подготовке аудита на соответствие стандарту PCI DSS[/q] Вы путаете мокрое с холодным. Я не говорил ни слова о PCI DSS, к тому же: "Требования стандарта PCI DSS распространяется на организации, обрабатывающие информацию о держателях платежных карт. Если организация хранит, обрабатывает или передает в течение года информацию хотя бы об одной карточной транзакции или владельце платежной карты, то она должна соответствовать требованиям стандарта PCI DSS. Примерами таких организаций являются торгово-сервисные предприятия (розничные магазины и службы электронной коммерции), а также поставщики услуг, связанных с обработкой, хранением и передачей карточной информации (процессинговые центры, платежные шлюзы, call-центры, хранилища носителей резервных копий данных, организации, участвующие в персонализации карт и т. п.)." А есть еще такой стандасрт как ISO/IEC 27001. Вот на соответствие ему чаще всего и порводится тест на проникновение. В общемировой практике проведения пентестов это нормально. Посмотрите например сюда - www.vulnerabilityassessment.co.uk/Penetration%20Test.html И к тому же - хозяин (бизнеса) - барин, .  |
| Loo
Модератор форума
Всего сообщений: 186 Рейтинг пользователя: 5 Ссылка Дата регистрации на форуме: 18 июня 2009 |
О! Экстаз вообще :о)) А не будет ли Вам сложно, еще раз перечитать сообщение, и указать те моменты, где я "подозревал" Вас в проведении PCI DSS ? А не просто упомянул его в качестве одного из примеров? Мне как бы мало интересно на самом деле, так что вполне пойму, если Вы не обратите внимание на мой вопрос, корректный Вы наш. А вот осветить подробней, где же, пускай не в семействе ISO/IEC 27001, пускай даже в BSS, есть требования или рекомендации по использованию вот этой "социальной инженерии", как Вы выразились. Чувствую какой-то пробел громадный в подготовке, очень грустно это :о))) Хотя признаться честно, не участвовал ни разу в аудит СУИБ поставленного по ISO/IEC 27001. |
| Loo
Модератор форума
Всего сообщений: 186 Рейтинг пользователя: 5 Ссылка Дата регистрации на форуме: 18 июня 2009 |
dr_kennel маленький совет на будущее, не редактируйте после опубликования посты без ремарки "Отредактировано", это плохой стиль. После приведенной ссылки на один из миллиона пентестер-фреймворк мне не интересно уже, на самом деле, разговаривать. Я бы понял, если бы была ссылка на продукты Core Security, а вот это аж грустно. |
| hound |
Приятно мне читать то, что я вообще не понимаю. Ну не 159-я, конечно. но чел явно мыслит в этом направлении. Просто мелко. |
| dr_kennel |
Пост имею право редактировать - ибо не пообвыкся еще к форуму и есть привычка ctrl+enter зажимать)) А на Core Security свет клином не встал. Точно так же как и в стандарте не должно быть описания какими инструментами проводить аудит. P.S. Ну по всему видно г-н Loo любит быть правым а не искать правду. В таком ключе диалог никуда не ведет. |
| Искендер
Администратор
Всего сообщений: 5925 Рейтинг пользователя: 43 Ссылка Дата регистрации на форуме: 7 июня 2009 |
Профиль | Игнорировать
NEW! Сообщение отправлено: 8 июля 2009 7:01 Сообщение отредактировано: 8 июля 2009 7:03 dr_kennel написал: это уже ПШ (но опять таки это вопрос как понимается КР в головах бизнесменов). В голове бизнесмена это может пониматься хоть как. Даже, как невинный розыгрыш конкурента. Это ж не его, если что, возьмут за филей, когда тот будет незаконно инфу сливать. Бизнесмен, ясно дело, не лох печальный - письменных договоров на незаконную добычу информации с исполнителем не станет заключать. И на очной ставке ничего не подтвердит. Так что, вариант "старший приказал!" тут никак не пройдет, а потому: "...признал виновным в совершении преступления, предусмотренного статьей 272 Уголовного кодекса Российской Федерации и приговорил..." |
| Vinni
Администратор
Всего сообщений: 2136 Рейтинг пользователя: 22 Ссылка Дата регистрации на форуме: 5 июня 2009 |
CI-KP написал: Если это заказ владельца и он правильно юридически оформлен, то я не вижу проблемы Вот именно. Почитайте внимательно методики по пентестингу - везде настоятельно рекомендуют взять письменное разрешение заказчика на проведение тех или иных действий. Плюс, либо в рамках договора либо отдельным документом заказчик должен заключить с вами соглашение о неразглашении своей конфиденциальной информации. |
| Тихонов |
[q=МВЛ] Согласен, что приведенный пример не совсем удачен. Наезд и разведка вещи не совместимые. Ведь не только вы выяснили "любопытного", но и вас срисовала, и на этом разведка закончилась. Расшифровка всегда считалась расшифровкой, как бы ее не пытались преподнести руководителю. Может иногда стоит немного потерпеть и любопытный сам нарвется на неприятность или "поделится" другой информацией, когда начнет думать что выполнил работу и имеет полное право расслабиться. В итоге совесть чиста, закон не нарушен и главное сон крепкий. [/q] Собственно, взгляды с раных концов ковровой дорожки сильно отличаются. Если бы все было так, тов. Р.Зорге в частности благополучно на пенсии ловил бы рыбку до глубокой старости. Чего там? Сиди в Японии, да получай инфу. Скрытно. Однако бывают разные расклады. В т.ч. и такие. когда цена вопроса больше чем жизнь конкретного человека. Или когда время на решение не позволяет развивать процесс "как положено". Приведенный пример имел как раз такую специфику - времени на принятие решения было около двух часов. Наверное можно теоретизировать и далее и говорить, что если бы и тако бы все делалось правильно, такой срочности не возникло бы. Может и так. Однако она возникла. И принятое решение было самым мягким из обсуждаемых. Был риск, что результат получиться не тот. Если бы оппоненты работали тщательно. Но получилось все ОК. Установили личность - собственно ее установили сотрудники ГАИ. Вслед за этим выяснилась прямая связь с некими товарищами. Все. Стало ясно, как действовать. |
| <<Назад Вперед>> | Страницы: 1 2 3 * 4 | Печать |
Форум Сообщества Практиков Конкурентной разведки (СПКР) » Общие вопросы конкурентной разведки » Нарушение закона |
|
| Самые активные 20 тем |
|