а че ФСТЭК уже в пентесте сечет? или только бабки за сертификаты требуются?

Это само собой! Просто, вроде обещали с лета обязательно иметь сертификат от ФСТЭК для пентеста и как-то упустил момент чем это закончилось. Поэтому интересовался. Получается ничем, обычное письмо :(

Ничем не кончилось, попиздели и разошлись.

а че ФСТЭК уже в пентесте сечет? или только бабки за сертификаты требуются?

Канеш у них есть упоминание про пентест в нормативных документах

Да и по докам обязали компании некоторые проходить пентест вроде. Читал в какой то бумажке

Часть инфы здесь https://www.securitylab.ru/blog/personal/sborisov/339536.php

Ну бумажка (разрешение) на занятия от ФСТЭК не нудна пока что

Ну бумажка (разрешение) на занятия от ФСТЭК не нудна пока что

Нет, ну с другой стороны, если пентест организации с перс. данными, то по идее уже нужна (роскомнадзор?)

Если ты выполняешь пентест, одного договора мало. Ты должен быть сертифицированным специалистом и это я не о пентестит и других сертификатах. Так как есть в законе маленькая статья на работу с данными(если интересно поищу и скажу точный номер) и если ты не имеешь необходимых документов, все твои действия, даже с договором являются незаконными

Если ты выполняешь пентест, одного договора мало. Ты должен быть сертифицированным специалистом и это я не о пентестит и других сертификатах. Так как есть в законе маленькая статья на работу с данными(если интересно поищу и скажу точный номер) и если ты не имеешь необходимых документов, все твои действия, даже с договором являются незаконными

Есть перечень этих документов? Какие сертификаты нужны?

Нет, ну с другой стороны, если пентест организации с перс. данными, то по идее уже нужна (роскомнадзор?)

Хороший вопрос!

Если ты выполняешь пентест, одного договора мало. Ты должен быть сертифицированным специалистом и это я не о пентестит и других сертификатах. Так как есть в законе маленькая статья на работу с данными(если интересно поищу и скажу точный номер) и если ты не имеешь необходимых документов, все твои действия, даже с договором являются незаконными

Имхо это только при работе с госорганами надо, частная компания сама может решать кому и какие услуги она заказывает

Потом эта компания может и в суд подать на тебя

Потом эта компания может и в суд подать на тебя

При грамотно составленном договоре врядли

Приведу пример с эникейщиком который приходил и компы настраивал. Ходил ставил винду антивирусы , а потом чето его долго просили ее активировать, после чего сказали либо штраф в несколько миллионов либо присаживайся

И как бы это пятно на репутации, как бы это не было наивно

Приведу пример с эникейщиком который приходил и компы настраивал. Ходил ставил винду антивирусы , а потом чето его долго просили ее активировать, после чего сказали либо штраф в несколько миллионов либо присаживайся

Мне кажется данный пример некорректен, но понятен

Я веду к тому, что без должной Юр подготовке не стоит

Вы правы, я просто абсурдность показать хочу

Мне кажется данный пример некорректен, но понятен

Я веду к тому, что без должной Юр подготовке не стоит

Так и я о том же, грамотно составленный договор который четко прописывает обьем пентеста и есть та юр. подготовка

Ну правильно - грамотно составленный договор нужен. Для работы с госсруктурами там отдельный геммор

блядь. столкнулся с проблемой лицензирования MySQL

коммерческий продукт и использовать мускул нельзя

Ребята, есть желающие провести техноквартирник в эти выходные и спаять какую-нибудь дичь?

Ребята, есть желающие провести техноквартирник в эти выходные и спаять какую-нибудь дичь?

ленту карт для банкомата

Ребята, есть желающие провести техноквартирник в эти выходные и спаять какую-нибудь дичь?

У нас есть паяльная станция!

У нас есть паяльная станция!

Круто! Надо место, где собраться

Всмысле? Я думал мы у тебя собираемся

У меня темно и сидячих мест мало

У меня темно и сидячих мест мало

Могу занести небольшую, но яркую лампу. Да и нас врятли будет много

Ребят, а какой профит от аудита одной страницы без аудита ссылок на ней, например? Ну, если это действительно страница, а не жирный метод API.

Ребят, а какой профит от аудита одной страницы без аудита ссылок на ней, например? Ну, если это действительно страница, а не жирный метод API.

"аудит ссылок" имеется в виду что не нужно гугловый cdn смотреть))

Или не страница с кучей входных параметров

"аудит ссылок" имеется в виду что не нужно гугловый cdn смотреть))

Ааа

Приведу пример с эникейщиком который приходил и компы настраивал. Ходил ставил винду антивирусы , а потом чето его долго просили ее активировать, после чего сказали либо штраф в несколько миллионов либо присаживайся

Я знаю людей, которые на собеседовании сразу говорят, что не притронутся к нелицензионному по

Или не страница с кучей входных параметров

бывает и такое

бывает и такое

Ну просто страница сама в себя редко посылает входные параметры, обычно на какую-то другую.

Ну просто страница сама в себя редко посылает входные параметры, обычно на какую-то другую.

в данном случае это был лендинг у компании-партнера

письмо это бумажка чтобы жопу прикрыть, scope и все осталное уже в других местах обозначается обычно

письмо это бумажка чтобы жопу прикрыть, scope и все осталное уже в других местах обозначается обычно

Аа, спасибо

Кто может (помочь) поставить 104/202 и 103/202? приёмщик прилетает, поставить можно прямо в офисе.

Есть перечень этих документов? Какие сертификаты нужны?

Лицензия ФСТЭКа нужна если ты проводишь работы вне защищенного периметра, и там есть персуха. Там должна быть лицензия, сотрудники с корочками о прохождении 512 часов, сертифицированное ПО и одобренная во ФСТЭКе методика (формальная)

Т.е для себя - свои-же вещи (или своих партнеров, при наличии письма от них) можно ковырять сколько угодно.

Лицензия ФСТЭКа нужна если ты проводишь работы вне защищенного периметра, и там есть персуха. Там должна быть лицензия, сотрудники с корочками о прохождении 512 часов, сертифицированное ПО и одобренная во ФСТЭКе методика (формальная)

А в каком документе есть такое требование?

https://fstec.ru/litsenzionnaya-deyatelnost/tekhnicheskaya-zashchita-informatsii/75-postanovleniya/225-postanovlenie-pravitelstva-rossijskoj-federatsii-ot-3-fevralya-2012-g-n-79

б) услуги по контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации; в) услуги по мониторингу информационной безопасности средств и систем информатизации;

и далее по списку

ПОСТАНОВЛЕНИЕ от 3 февраля 2012 г. N 79

Кстати это и имел ввиду, спасибо за ссылку, освежить знания самое то

Вне защищенного периметр я не так понял. :) вопросов нет

DC7831 0x08 В эти выходные (17-18 февраля) будет проходить встреча @defcon_nn в Нижнем Новгороде. Первый день будет посвящён воркшопам, второй - докладам. Для всех желающих будет возможность послушать и посмотреть прямую трансляцию на нашем канале на youtube. https://www.youtube.com/DEFCONNN http://defcon-nn.ru

Ребята, есть желающие провести техноквартирник в эти выходные и спаять какую-нибудь дичь?

Звучит годно

Лицензия ФСТЭКа нужна если ты проводишь работы вне защищенного периметра, и там есть персуха. Там должна быть лицензия, сотрудники с корочками о прохождении 512 часов, сертифицированное ПО и одобренная во ФСТЭКе методика (формальная)

Что за курс 512 часов?

Профессиональная переподготовка по направлению иб

Что за курс 512 часов?

уже ответили)

Там их несколько вариаций 500+. Видел 502, 512, 506.

Профессиональная переподготовка по направлению иб

Это общее название одного курса? Там нет конкретики, направления?

Это общее название одного курса? Там нет конкретики, направления?

направление - защита информации

Звучит годно

Только надо площадь найти поприличнее. Может, тот же припой на крайняк

Там их несколько вариаций 500+. Видел 502, 512, 506.

510 минимум по какому-то из требований

насколько я помню

Это общее название одного курса? Там нет конкретики, направления?

Это общее наименование типа обучения. Если у тебя есть вышка, то обучившись 500 часов ты получаешь квалификацию в другом направлении

Типа аналог второй вышки

510 минимум по какому-то из требований

Не видел такого. Эти курсы все сертифицированы ФСБ

ERROR: S client not available

500 значит

Вот вот)

Только надо площадь найти поприличнее. Может, тот же припой на крайняк

Если будет больше 5, то места маловато. А так очень даже

radio не работает. @reku_rei

Я знаю людей, которые на собеседовании сразу говорят, что не притронутся к нелицензионному по

Звучит как легкая наркомания. В чем мотив?

Я знаю людей, которые на собеседовании сразу говорят, что не притронутся к нелицензионному по

+1

Звучит как легкая наркомания. В чем мотив?

Мотив - нежелание нести ответственность за нарушение законодательства.

Мотив - нежелание нести ответственность за нарушение законодательства.

Ну вот тут да с определенного ракурса я могу человека понять.

Мотив - нежелание нести ответственность за нарушение законодательства.

Конечно! По 146 и 273 милое дело попасть

Либо под письменный приказ начальства, которое конечно же его не подпишет

Потому что в случае проблем начальник скажет, что сотрудник ставил контрафакт по своей инициативе

Для рабочих целей нахер нахер ) и тут я поддерживаю инициативных товарищей сразу объясняющих свою позицию. )

Но с дургой стороны....я так и не смог купить WinRar

Потому что в случае проблем начальник скажет, что сотрудник ставил контрафакт по своей инициативе

Особенно, если на штат компов >1ПК

Но с дургой стороны....я так и не смог купить WinRar

Почему не 7z?

Но с дургой стороны....я так и не смог купить WinRar

Контора должна покупать

Да я коллеги про другую сторону медали, когда ты отказываешься принципиально даже для себя использовать нелецензионное.

Да я коллеги про другую сторону медали, когда ты отказываешься принципиально даже для себя использовать нелецензионное.

тут всё просто, если твои железки будут проходить по какому-нить делу, найденные на них нелецензионное ПО и средства взлома и тп добавят мороки твоим адвокатам

Алиса говорила, что крипто контейнер спасает

угу...что оптимизма в принципе не добавляет....

Алиса говорила, что крипто контейнер спасает

- Алло, это сержант Петров! Наши работники пытаются открыть ваш криптоконтейнер, не могли бы вы сообщить от него пароль?

- Алло, это сержант Петров! Наши работники пытаются открыть ваш криптоконтейнер, не могли бы вы сообщить от него пароль?

Забыл/потерял

Алиса говорила, что крипто контейнер спасает

Не проще подобное свое по удаленке юзать?

Алиса говорила, что крипто контейнер спасает

Термит спасет лучше

Забыл/потерял

- Несите паяльник, сейчас будем восстанавливать память

Не проще подобное свое по удаленке юзать?

Там вопрос был по факту, если изъяли, а там крипто контейнер, то ничего сделать не смогут

Или вм с снэпшотом, "для теста по"

Только вот вам как разрабам не хочется поддержать коллег? Им ведь тоже есть надо… Просто помнится как несколько лет назад все баловались пиратскими играми а сейчас только шлак пошёл с ежемесечной подпиской либо игры сосущие на донат… Так и софтом может в любой момент случиться…

Там вопрос был по факту, если изъяли, а там крипто контейнер, то ничего сделать не смогут

Другой контекст, ок. Тогда "там" помогут вспомнить;) а для изначального вопроса лиценции по для личного на рабочем месте - удаленка или вм

Только вот вам как разрабам не хочется поддержать коллег? Им ведь тоже есть надо… Просто помнится как несколько лет назад все баловались пиратскими играми а сейчас только шлак пошёл с ежемесечной подпиской либо игры сосущие на донат… Так и софтом может в любой момент случиться…

Годноте и задонатить можно. А платить за каждый чих или для посмотреть и выбрать, если тестовой нормальной нет - нафиг кота в мешке

- Несите паяльник, сейчас будем восстанавливать память

И его потерял, я нынче такой рассеянный...