Saturday, December 22, 2012

Аудиты соответствия и тесты на проникновение снова

Снова думал о аудитах соответствия и пентестах, что-то раньше писал.
Пришел к выводу, что для эффективности моего подхода к безопасности проверять мне надо две вещи: 

  1. что мое окружение (мои информационные системы, мои админы, мои пользователи) делает все в соответствии с тем, что я считаю безопасно,
  2. то, что я считаю безопасно действительно безопасно с учетом современности.

Первое проверяется аудитом соответствия, второе - пентестом.
Первым прогарантирую, что мои контроли работают эффективно(effectively & efficiently), вторым - что мои контроли адекватны реальности.
Первое надо делать почаще (думаю, где-нибудь раз в квартал), второе - можно пореже (раз в 2-3 года - нормально).

No comments: