Sqa days2010 polazhenko_osstm
Download as PPTX, PDF1 like650 views
Документ описывает методологии и стандарты оценки уязвимости программного обеспечения и информационных систем, включая OSSTMM и связанные ресурсы, такие как OWASP и NIST. Он также рассматривает интеграцию различных норм и стандартов, включая лицензии на свободное распространение и ограничения на коммерческое использование. В дополнение, документ выделяет основные аспекты тестирования безопасности, подчеркивая важность систематического и повторяемого подхода.
Sqa days2010 polazhenko_osstm
- 1. Сергей Полаженко Лаборатория тестирования Минск, Беларусь
- 2. оценка уязвимости программного обеспечения к различным атакам (Википедия)
- 3. Метод оценки защищённости компьютерной системы или сети путём эмулирования атак от имени подозрительного (нелигитимного) субъекта, часто называемого как Black Hat Hacker, or Cracker (Википедия)
- 4. (от hack — разрубать) — чрезвычайно квалифицированный ИТ-специалист, человек, который понимает самые основы работы компьютерных систем. Это слово также часто употребляется для обозначения компьютерного взломщика, что в общем случае неверно.(Википедия)
- 5. OSSTM - www.osstmm.org OWASP - www.owasp.org
- 6. Cobit ISO/IEC 2700x SANS ISSAF NIST PCI DSS
- 7. Pete Herzog 2001 год Испания, Барселона OSSTM(M) Hacker Highschool Accredited trainings
- 8. Ожидается 3.0 версия cо дня на день В декабре 2006 года вышла v. 2.2 В 2003 году вышла v. 2.0 Старт 2001 год
- 9. Версия 3.0 анонсирована в 2007 году В данный момент предлагается за деньги золотым и серебрянным подписчикам Соответствие бесконечному множеству норм и стандартов
- 10. Версия 2.0 (выпущена в феврале 2003) ссылается к GPL, но также содержит изречение на первой странице документа: "Any information contained within this document may not be modified or sold without the express consent of the author."
- 11. Версия 2.2 (выпущена в ноябре 2006) изречение на первой странице документа: "Any information contained within this document may not be modified or sold without the express consent of ISECOM. OSSTMM for free dissemination under the Open Methodology License (OML) and CC Creative Commons 2.5 Attribution-NonCommercial-NoDerivs"
- 12. "Open Methodology License": www.isecom.org/oml.shtml CC Creative Commons 2.5 with NoDerivs and NonCommercial Никто не может: выпускать новые версии OSSTMM (кроме ISECOM) использовать OSSTMM для коммерческих нужд (продажа в качестве книги) Создавать коммерческое ПО, основанное на OSSTM
- 14. Обеспечить научную методологию для достаточной точной характеристики безопасности при помощи экзаменации и корреляции согласованным и надёжным способом Стандартизация подхода к тестированию безопасности To make security have sense
- 15. Обеспечить руководства, следуя которым позволит аудитору выполнить сертифицированный OSSTMM аудит Тест совершён полностью Тест охватил все необходимые каналы Тест не нарушает законных прав задействованных лиц Результаты тесты измеримы Результаты теста последовательны и повторяемы Результаты теста содержат только факты, полученные непосредственно из теста
- 17. безопасность информации (Information Security) безопасность процесса (Process Security) безопасность Интернет технологий (Internet Technology Security) безопасность коммуникаций (Communications Security) безопасность беспроводных сетей (Wireless Security) физическая безопасность (Physical Security)
- 20. Терминология Описание методологии тестирования (модули, секции) Описание примеров тестов по каждой секции Пример документов для сбора информации и выдачи результатов
- 21. Интересный пример открытого фреймворка по организации процесса тестирования безопасности информационных систем Позволяет взглянуть на безопасность приложения значительно более широко Дает готовые примеры тестов и артефакты тестирования Не «готове решение»