SlideShare una empresa de Scribd logo

Sqa days2010 polazhenko_osstm

Descargar como PPTX, PDF
Alexei Lupan
Alexei Lupan
1 de 22
Сергей Полаженко Лаборатория тестирования Минск, Беларусь
 оценка уязвимости программного обеспечения к различным атакам (Википедия)
 Метод оценки защищённости компьютерной системы или сети путём эмулирования атак от имени подозрительного (нелигитимного) субъекта, часто называемого как Black Hat Hacker, or Cracker (Википедия)
 (от hack — разрубать) — чрезвычайно квалифицированный ИТ-специалист, человек, который понимает самые основы работы компьютерных систем. Это слово также часто употребляется для обозначения компьютерного взломщика, что в общем случае неверно.(Википедия)
 OSSTM - www.osstmm.org  OWASP - www.owasp.org
 Cobit  ISO/IEC 2700x  SANS  ISSAF  NIST  PCI DSS
 Pete Herzog  2001 год  Испания, Барселона  OSSTM(M)  Hacker Highschool  Accredited trainings
 Ожидается 3.0 версия cо дня на день  В декабре 2006 года вышла v. 2.2  В 2003 году вышла v. 2.0  Старт 2001 год
 Версия 3.0 анонсирована в 2007 году  В данный момент предлагается за деньги золотым и серебрянным подписчикам  Соответствие бесконечному множеству норм и стандартов
 Версия 2.0 (выпущена в феврале 2003) ссылается к GPL, но также содержит изречение на первой странице документа:  "Any information contained within this document may not be modified or sold without the express consent of the author."
 Версия 2.2 (выпущена в ноябре 2006) изречение на первой странице документа:  "Any information contained within this document may not be modified or sold without the express consent of ISECOM. OSSTMM for free dissemination under the Open Methodology License (OML) and CC Creative Commons 2.5 Attribution-NonCommercial-NoDerivs"
 "Open Methodology License": www.isecom.org/oml.shtml  CC Creative Commons 2.5 with NoDerivs and NonCommercial Никто не может:  выпускать новые версии OSSTMM (кроме ISECOM)  использовать OSSTMM для коммерческих нужд (продажа в качестве книги)  Создавать коммерческое ПО, основанное на OSSTM
 Обеспечить научную методологию для достаточной точной характеристики безопасности при помощи экзаменации и корреляции согласованным и надёжным способом  Стандартизация подхода к тестированию безопасности  To make security have sense
 Обеспечить руководства, следуя которым позволит аудитору выполнить сертифицированный OSSTMM аудит  Тест совершён полностью  Тест охватил все необходимые каналы  Тест не нарушает законных прав задействованных лиц  Результаты тесты измеримы  Результаты теста последовательны и повторяемы  Результаты теста содержат только факты, полученные непосредственно из теста
 безопасность информации (Information Security)  безопасность процесса (Process Security)  безопасность Интернет технологий (Internet Technology Security)  безопасность коммуникаций (Communications Security)  безопасность беспроводных сетей (Wireless Security)  физическая безопасность (Physical Security)
 Терминология  Описание методологии тестирования (модули, секции)  Описание примеров тестов по каждой секции  Пример документов для сбора информации и выдачи результатов
 Интересный пример открытого фреймворка по организации процесса тестирования безопасности информационных систем  Позволяет взглянуть на безопасность приложения значительно более широко  Дает готовые примеры тестов и артефакты тестирования  Не «готове решение»
 polazhenko@gmail.com  www.securitywiki.ru

Recomendados

очир абушинов
очир абушиновочир абушинов
очир абушиновAlexei Lupan
 
Sqadays 8-barancev
Sqadays 8-barancevSqadays 8-barancev
Sqadays 8-barancevAlexei Lupan
 
сергей андреев
сергей андреевсергей андреев
сергей андреевAlexei Lupan
 
Sqa8 urazov
Sqa8 urazovSqa8 urazov
Sqa8 urazovAlexei Lupan
 
Security zap and selenium
Security zap and seleniumSecurity zap and selenium
Security zap and seleniumAnton Shapin
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентестDmitry Evteev
 
Тестирование на проникновение
Тестирование на проникновениеТестирование на проникновение
Тестирование на проникновениеУчебный центр "Эшелон"
 
Penetration testing
Penetration testingPenetration testing
Penetration testingTraining center "Echelon"
 

Recomendados

очир абушинов
очир абушиновочир абушинов
очир абушиновAlexei Lupan
 
Sqadays 8-barancev
Sqadays 8-barancevSqadays 8-barancev
Sqadays 8-barancevAlexei Lupan
 
сергей андреев
сергей андреевсергей андреев
сергей андреевAlexei Lupan
 
Sqa8 urazov
Sqa8 urazovSqa8 urazov
Sqa8 urazovAlexei Lupan
 
Security zap and selenium
Security zap and seleniumSecurity zap and selenium
Security zap and seleniumAnton Shapin
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентестDmitry Evteev
 
Тестирование на проникновение
Тестирование на проникновениеТестирование на проникновение
Тестирование на проникновениеУчебный центр "Эшелон"
 
Penetration testing
Penetration testingPenetration testing
Penetration testingTraining center "Echelon"
 
About Testers
About TestersAbout Testers
About Testersantsh
 
Fuzzing: ключевая концепция обеспечения безопасности проекта
Fuzzing: ключевая концепция обеспечения безопасности проектаFuzzing: ключевая концепция обеспечения безопасности проекта
Fuzzing: ключевая концепция обеспечения безопасности проектаMedia Gorod
 
Fuzzing Qa A.Komlev
Fuzzing Qa A.KomlevFuzzing Qa A.Komlev
Fuzzing Qa A.Komlevguest4e4c91
 
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬPositive Hack Days
 
Выбор и тестирование Ngfw. Опыт Rambler
Выбор и тестирование Ngfw. Опыт RamblerВыбор и тестирование Ngfw. Опыт Rambler
Выбор и тестирование Ngfw. Опыт RamblerKonstantin Sverdlov
 
Developer Evidences (Infosecurity Russia 2013)
Developer Evidences (Infosecurity Russia 2013)Developer Evidences (Infosecurity Russia 2013)
Developer Evidences (Infosecurity Russia 2013)Alexander Barabanov
 
Профилактика дефектов
Профилактика дефектовПрофилактика дефектов
Профилактика дефектовSQALab
 
КЕЙС №1 от «Лаборатории Касперского». «Разработка антивирусного программного ...
КЕЙС №1 от «Лаборатории Касперского». «Разработка антивирусного программного ...КЕЙС №1 от «Лаборатории Касперского». «Разработка антивирусного программного ...
КЕЙС №1 от «Лаборатории Касперского». «Разработка антивирусного программного ...TCenter500
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОPositive Development User Group
 
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)Teymur Kheirkhabarov
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Alexey Kachalin
 
Алгоритмы пентестов. BaltCTF 2012
Алгоритмы пентестов. BaltCTF 2012Алгоритмы пентестов. BaltCTF 2012
Алгоритмы пентестов. BaltCTF 2012beched
 
Unit Testing
Unit TestingUnit Testing
Unit TestingDima Denisenko
 
Мастер Тест План / Тестовая Стратегия: Что это? Зачем? Как его создать?-От А ...
Мастер Тест План / Тестовая Стратегия: Что это? Зачем? Как его создать?-От А ...Мастер Тест План / Тестовая Стратегия: Что это? Зачем? Как его создать?-От А ...
Мастер Тест План / Тестовая Стратегия: Что это? Зачем? Как его создать?-От А ...SQALab
 
Андрей Уразов - Методы раннего обнаружения ошибок
Андрей Уразов - Методы раннего обнаружения ошибокАндрей Уразов - Методы раннего обнаружения ошибок
Андрей Уразов - Методы раннего обнаружения ошибокSQALab
 
Anti-Malware. Илья Шабанов. "Как правильно выбрать антивирус?"
Anti-Malware. Илья Шабанов. "Как правильно выбрать антивирус?"Anti-Malware. Илья Шабанов. "Как правильно выбрать антивирус?"
Anti-Malware. Илья Шабанов. "Как правильно выбрать антивирус?"Expolink
 
Что общего у CTF и тестов на проникновение?
Что общего у CTF и тестов на проникновение?Что общего у CTF и тестов на проникновение?
Что общего у CTF и тестов на проникновение?beched
 
Александр Александров -- Надёжный тест-дизайн (мастер-класс)
Александр Александров -- Надёжный тест-дизайн (мастер-класс)Александр Александров -- Надёжный тест-дизайн (мастер-класс)
Александр Александров -- Надёжный тест-дизайн (мастер-класс)sqadays8
 
Sqa.days.2010.beskov.system.analyst.and.test.engineers.interaction
Sqa.days.2010.beskov.system.analyst.and.test.engineers.interactionSqa.days.2010.beskov.system.analyst.and.test.engineers.interaction
Sqa.days.2010.beskov.system.analyst.and.test.engineers.interactionAlexei Lupan
 
Мастер-класс на конференции SQA Days 2010 в Питере
Мастер-класс на конференции SQA Days 2010 в ПитереМастер-класс на конференции SQA Days 2010 в Питере
Мастер-класс на конференции SQA Days 2010 в ПитереSlava Pankratov
 
ирина карачунская что ждет тестировщика итог-Fin
ирина карачунская что ждет тестировщика итог-Finирина карачунская что ждет тестировщика итог-Fin
ирина карачунская что ждет тестировщика итог-FinAlexei Lupan
 
павел мильков знания и умения тестировщиков
павел мильков знания и умения тестировщиковпавел мильков знания и умения тестировщиков
павел мильков знания и умения тестировщиковAlexei Lupan
 

Más contenido relacionado

La actualidad más candente

About Testers
About TestersAbout Testers
About Testersantsh
 
Fuzzing: ключевая концепция обеспечения безопасности проекта
Fuzzing: ключевая концепция обеспечения безопасности проектаFuzzing: ключевая концепция обеспечения безопасности проекта
Fuzzing: ключевая концепция обеспечения безопасности проектаMedia Gorod
 
Fuzzing Qa A.Komlev
Fuzzing Qa A.KomlevFuzzing Qa A.Komlev
Fuzzing Qa A.Komlevguest4e4c91
 
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬPositive Hack Days
 
Выбор и тестирование Ngfw. Опыт Rambler
Выбор и тестирование Ngfw. Опыт RamblerВыбор и тестирование Ngfw. Опыт Rambler
Выбор и тестирование Ngfw. Опыт RamblerKonstantin Sverdlov
 
Developer Evidences (Infosecurity Russia 2013)
Developer Evidences (Infosecurity Russia 2013)Developer Evidences (Infosecurity Russia 2013)
Developer Evidences (Infosecurity Russia 2013)Alexander Barabanov
 
Профилактика дефектов
Профилактика дефектовПрофилактика дефектов
Профилактика дефектовSQALab
 
КЕЙС №1 от «Лаборатории Касперского». «Разработка антивирусного программного ...
КЕЙС №1 от «Лаборатории Касперского». «Разработка антивирусного программного ...КЕЙС №1 от «Лаборатории Касперского». «Разработка антивирусного программного ...
КЕЙС №1 от «Лаборатории Касперского». «Разработка антивирусного программного ...TCenter500
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОPositive Development User Group
 
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)Teymur Kheirkhabarov
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Alexey Kachalin
 
Алгоритмы пентестов. BaltCTF 2012
Алгоритмы пентестов. BaltCTF 2012Алгоритмы пентестов. BaltCTF 2012
Алгоритмы пентестов. BaltCTF 2012beched
 
Мастер Тест План / Тестовая Стратегия: Что это? Зачем? Как его создать?-От А ...
Мастер Тест План / Тестовая Стратегия: Что это? Зачем? Как его создать?-От А ...Мастер Тест План / Тестовая Стратегия: Что это? Зачем? Как его создать?-От А ...
Мастер Тест План / Тестовая Стратегия: Что это? Зачем? Как его создать?-От А ...SQALab
 
Андрей Уразов - Методы раннего обнаружения ошибок
Андрей Уразов - Методы раннего обнаружения ошибокАндрей Уразов - Методы раннего обнаружения ошибок
Андрей Уразов - Методы раннего обнаружения ошибокSQALab
 
Anti-Malware. Илья Шабанов. "Как правильно выбрать антивирус?"
Anti-Malware. Илья Шабанов. "Как правильно выбрать антивирус?"Anti-Malware. Илья Шабанов. "Как правильно выбрать антивирус?"
Anti-Malware. Илья Шабанов. "Как правильно выбрать антивирус?"Expolink
 
Что общего у CTF и тестов на проникновение?
Что общего у CTF и тестов на проникновение?Что общего у CTF и тестов на проникновение?
Что общего у CTF и тестов на проникновение?beched
 
Александр Александров -- Надёжный тест-дизайн (мастер-класс)
Александр Александров -- Надёжный тест-дизайн (мастер-класс)Александр Александров -- Надёжный тест-дизайн (мастер-класс)
Александр Александров -- Надёжный тест-дизайн (мастер-класс)sqadays8
 

La actualidad más candente (18)

About Testers
About TestersAbout Testers
About Testers
 
Fuzzing: ключевая концепция обеспечения безопасности проекта
Fuzzing: ключевая концепция обеспечения безопасности проектаFuzzing: ключевая концепция обеспечения безопасности проекта
Fuzzing: ключевая концепция обеспечения безопасности проекта
 
Fuzzing Qa A.Komlev
Fuzzing Qa A.KomlevFuzzing Qa A.Komlev
Fuzzing Qa A.Komlev
 
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
 
Выбор и тестирование Ngfw. Опыт Rambler
Выбор и тестирование Ngfw. Опыт RamblerВыбор и тестирование Ngfw. Опыт Rambler
Выбор и тестирование Ngfw. Опыт Rambler
 
Developer Evidences (Infosecurity Russia 2013)
Developer Evidences (Infosecurity Russia 2013)Developer Evidences (Infosecurity Russia 2013)
Developer Evidences (Infosecurity Russia 2013)
 
Профилактика дефектов
Профилактика дефектовПрофилактика дефектов
Профилактика дефектов
 
КЕЙС №1 от «Лаборатории Касперского». «Разработка антивирусного программного ...
КЕЙС №1 от «Лаборатории Касперского». «Разработка антивирусного программного ...КЕЙС №1 от «Лаборатории Касперского». «Разработка антивирусного программного ...
КЕЙС №1 от «Лаборатории Касперского». «Разработка антивирусного программного ...
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПО
 
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015
 
Алгоритмы пентестов. BaltCTF 2012
Алгоритмы пентестов. BaltCTF 2012Алгоритмы пентестов. BaltCTF 2012
Алгоритмы пентестов. BaltCTF 2012
 
Unit Testing
Unit TestingUnit Testing
Unit Testing
 
Мастер Тест План / Тестовая Стратегия: Что это? Зачем? Как его создать?-От А ...
Мастер Тест План / Тестовая Стратегия: Что это? Зачем? Как его создать?-От А ...Мастер Тест План / Тестовая Стратегия: Что это? Зачем? Как его создать?-От А ...
Мастер Тест План / Тестовая Стратегия: Что это? Зачем? Как его создать?-От А ...
 
Андрей Уразов - Методы раннего обнаружения ошибок
Андрей Уразов - Методы раннего обнаружения ошибокАндрей Уразов - Методы раннего обнаружения ошибок
Андрей Уразов - Методы раннего обнаружения ошибок
 
Anti-Malware. Илья Шабанов. "Как правильно выбрать антивирус?"
Anti-Malware. Илья Шабанов. "Как правильно выбрать антивирус?"Anti-Malware. Илья Шабанов. "Как правильно выбрать антивирус?"
Anti-Malware. Илья Шабанов. "Как правильно выбрать антивирус?"
 
Что общего у CTF и тестов на проникновение?
Что общего у CTF и тестов на проникновение?Что общего у CTF и тестов на проникновение?
Что общего у CTF и тестов на проникновение?
 
Александр Александров -- Надёжный тест-дизайн (мастер-класс)
Александр Александров -- Надёжный тест-дизайн (мастер-класс)Александр Александров -- Надёжный тест-дизайн (мастер-класс)
Александр Александров -- Надёжный тест-дизайн (мастер-класс)
 

Destacado

Sqa.days.2010.beskov.system.analyst.and.test.engineers.interaction
Sqa.days.2010.beskov.system.analyst.and.test.engineers.interactionSqa.days.2010.beskov.system.analyst.and.test.engineers.interaction
Sqa.days.2010.beskov.system.analyst.and.test.engineers.interactionAlexei Lupan
 
Мастер-класс на конференции SQA Days 2010 в Питере
Мастер-класс на конференции SQA Days 2010 в ПитереМастер-класс на конференции SQA Days 2010 в Питере
Мастер-класс на конференции SQA Days 2010 в ПитереSlava Pankratov
 
ирина карачунская что ждет тестировщика итог-Fin
ирина карачунская что ждет тестировщика итог-Finирина карачунская что ждет тестировщика итог-Fin
ирина карачунская что ждет тестировщика итог-FinAlexei Lupan
 
павел мильков знания и умения тестировщиков
павел мильков знания и умения тестировщиковпавел мильков знания и умения тестировщиков
павел мильков знания и умения тестировщиковAlexei Lupan
 
Мелочь пузатая или Объем тест кейса против его содержательности
Мелочь пузатая или Объем тест кейса против его содержательностиМелочь пузатая или Объем тест кейса против его содержательности
Мелочь пузатая или Объем тест кейса против его содержательностиAlexei Lupan
 
QA Fest 2014. Алексей Лупан. Не тест-кейсы красят тестировщика, а...
QA Fest 2014. Алексей Лупан. Не тест-кейсы красят тестировщика, а...QA Fest 2014. Алексей Лупан. Не тест-кейсы красят тестировщика, а...
QA Fest 2014. Алексей Лупан. Не тест-кейсы красят тестировщика, а...QAFest
 
Как узнать, что вы хорошо работаете
Как узнать, что вы хорошо работаетеКак узнать, что вы хорошо работаете
Как узнать, что вы хорошо работаетеAlexei Barantsev
 

Destacado (7)

Sqa.days.2010.beskov.system.analyst.and.test.engineers.interaction
Sqa.days.2010.beskov.system.analyst.and.test.engineers.interactionSqa.days.2010.beskov.system.analyst.and.test.engineers.interaction
Sqa.days.2010.beskov.system.analyst.and.test.engineers.interaction
 
Мастер-класс на конференции SQA Days 2010 в Питере
Мастер-класс на конференции SQA Days 2010 в ПитереМастер-класс на конференции SQA Days 2010 в Питере
Мастер-класс на конференции SQA Days 2010 в Питере
 
ирина карачунская что ждет тестировщика итог-Fin
ирина карачунская что ждет тестировщика итог-Finирина карачунская что ждет тестировщика итог-Fin
ирина карачунская что ждет тестировщика итог-Fin
 
павел мильков знания и умения тестировщиков
павел мильков знания и умения тестировщиковпавел мильков знания и умения тестировщиков
павел мильков знания и умения тестировщиков
 
Мелочь пузатая или Объем тест кейса против его содержательности
Мелочь пузатая или Объем тест кейса против его содержательностиМелочь пузатая или Объем тест кейса против его содержательности
Мелочь пузатая или Объем тест кейса против его содержательности
 
QA Fest 2014. Алексей Лупан. Не тест-кейсы красят тестировщика, а...
QA Fest 2014. Алексей Лупан. Не тест-кейсы красят тестировщика, а...QA Fest 2014. Алексей Лупан. Не тест-кейсы красят тестировщика, а...
QA Fest 2014. Алексей Лупан. Не тест-кейсы красят тестировщика, а...
 
Как узнать, что вы хорошо работаете
Как узнать, что вы хорошо работаетеКак узнать, что вы хорошо работаете
Как узнать, что вы хорошо работаете
 

Similar a Sqa days2010 polazhenko_osstm

Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!Dmitry Evteev
 
разработка безопасного кода
разработка безопасного кодаразработка безопасного кода
разработка безопасного кодаAndrey Somsikov
 
Upd pci compliance
Upd pci compliance Upd pci compliance
Upd pci compliance BAKOTECH
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметраCisco Russia
 
Fuzzing Qa A.Komlev
Fuzzing Qa A.KomlevFuzzing Qa A.Komlev
Fuzzing Qa A.Komlevguest4e4c91
 
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)Dmitry Evteev
 
Сканер-ВС: швейцарский нож администратора безопасности
Сканер-ВС: швейцарский нож администратора безопасностиСканер-ВС: швейцарский нож администратора безопасности
Сканер-ВС: швейцарский нож администратора безопасностиУчебный центр "Эшелон"
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметраCisco Russia
 
Занятие № 10. Учетные записи пользователей. Обслуживание дисков. Настройка па...
Занятие № 10. Учетные записи пользователей. Обслуживание дисков. Настройка па...Занятие № 10. Учетные записи пользователей. Обслуживание дисков. Настройка па...
Занятие № 10. Учетные записи пользователей. Обслуживание дисков. Настройка па...Aibek9
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииAleksey Lukatskiy
 
Построение защищенного Интернет-периметра
Построение защищенного Интернет-периметраПостроение защищенного Интернет-периметра
Построение защищенного Интернет-периметраCisco Russia
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-системAlexey Kachalin
 
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииБорьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииAleksey Lukatskiy
 
Соответствие решений Cisco требованиям письма Банка России 49-Т
Соответствие решений Cisco требованиям письма Банка России 49-ТСоответствие решений Cisco требованиям письма Банка России 49-Т
Соответствие решений Cisco требованиям письма Банка России 49-ТCisco Russia
 
Будущее для безопасности интернета вещей и встраиваемых систем: Kaspersky Ope...
Будущее для безопасности интернета вещей и встраиваемых систем: Kaspersky Ope...Будущее для безопасности интернета вещей и встраиваемых систем: Kaspersky Ope...
Будущее для безопасности интернета вещей и встраиваемых систем: Kaspersky Ope...Лаборатория Касперского
 
Создание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполненииСоздание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполненииВячеслав Аксёнов
 
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"Expolink
 

Similar a Sqa days2010 polazhenko_osstm (20)

Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!
 
разработка безопасного кода
разработка безопасного кодаразработка безопасного кода
разработка безопасного кода
 
Upd pci compliance
Upd pci compliance Upd pci compliance
Upd pci compliance
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
 
IBM Proventia IPS
IBM Proventia IPSIBM Proventia IPS
IBM Proventia IPS
 
Fuzzing Qa A.Komlev
Fuzzing Qa A.KomlevFuzzing Qa A.Komlev
Fuzzing Qa A.Komlev
 
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)
 
Сканер-ВС: швейцарский нож администратора безопасности
Сканер-ВС: швейцарский нож администратора безопасностиСканер-ВС: швейцарский нож администратора безопасности
Сканер-ВС: швейцарский нож администратора безопасности
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
 
Занятие № 10. Учетные записи пользователей. Обслуживание дисков. Настройка па...
Занятие № 10. Учетные записи пользователей. Обслуживание дисков. Настройка па...Занятие № 10. Учетные записи пользователей. Обслуживание дисков. Настройка па...
Занятие № 10. Учетные записи пользователей. Обслуживание дисков. Настройка па...
 
Secure development
Secure developmentSecure development
Secure development
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информации
 
Построение защищенного Интернет-периметра
Построение защищенного Интернет-периметраПостроение защищенного Интернет-периметра
Построение защищенного Интернет-периметра
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-систем
 
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииБорьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
 
Соответствие решений Cisco требованиям письма Банка России 49-Т
Соответствие решений Cisco требованиям письма Банка России 49-ТСоответствие решений Cisco требованиям письма Банка России 49-Т
Соответствие решений Cisco требованиям письма Банка России 49-Т
 
152 ready
152 ready152 ready
152 ready
 
Будущее для безопасности интернета вещей и встраиваемых систем: Kaspersky Ope...
Будущее для безопасности интернета вещей и встраиваемых систем: Kaspersky Ope...Будущее для безопасности интернета вещей и встраиваемых систем: Kaspersky Ope...
Будущее для безопасности интернета вещей и встраиваемых систем: Kaspersky Ope...
 
Создание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполненииСоздание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполнении
 
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
 

Más de Alexei Lupan

Когда требования никакие (Dump 2015)
Когда требования никакие (Dump 2015)Когда требования никакие (Dump 2015)
Когда требования никакие (Dump 2015)Alexei Lupan
 
Алексей Лупан - Да перестаньте уже автоматизировать
Алексей Лупан - Да перестаньте уже автоматизироватьАлексей Лупан - Да перестаньте уже автоматизировать
Алексей Лупан - Да перестаньте уже автоматизироватьAlexei Lupan
 
(Seleniumcamp) Selenium IDE как артефакт пикника на обочине
(Seleniumcamp) Selenium IDE как артефакт пикника на обочине(Seleniumcamp) Selenium IDE как артефакт пикника на обочине
(Seleniumcamp) Selenium IDE как артефакт пикника на обочинеAlexei Lupan
 
Serious+performance+testing
Serious+performance+testingSerious+performance+testing
Serious+performance+testingAlexei Lupan
 
Oleynikov sqa days 8_deck
Oleynikov sqa days 8_deckOleynikov sqa days 8_deck
Oleynikov sqa days 8_deckAlexei Lupan
 
ковалев нестандатное нт
ковалев нестандатное нтковалев нестандатное нт
ковалев нестандатное нтAlexei Lupan
 
Sqadays 2010 burmistrov_fomin_20101120(2)
Sqadays 2010 burmistrov_fomin_20101120(2)Sqadays 2010 burmistrov_fomin_20101120(2)
Sqadays 2010 burmistrov_fomin_20101120(2)Alexei Lupan
 
Ui testing how intel does this
Ui testing how intel does thisUi testing how intel does this
Ui testing how intel does thisAlexei Lupan
 
сергей андреев
сергей андреевсергей андреев
сергей андреевAlexei Lupan
 
павел мильков знания и умения тестировщиков
павел мильков знания и умения тестировщиковпавел мильков знания и умения тестировщиков
павел мильков знания и умения тестировщиковAlexei Lupan
 
евгения фирсова нерелизное тестирование
евгения фирсова нерелизное тестированиеевгения фирсова нерелизное тестирование
евгения фирсова нерелизное тестированиеAlexei Lupan
 
андрей дмитриев взгляд со стороны разработчика
андрей дмитриев взгляд со стороны разработчикаандрей дмитриев взгляд со стороны разработчика
андрей дмитриев взгляд со стороны разработчикаAlexei Lupan
 
New девять правил семпая, или как стать успешным наставником
New девять правил семпая, или как стать успешным наставникомNew девять правил семпая, или как стать успешным наставником
New девять правил семпая, или как стать успешным наставникомAlexei Lupan
 
Наталья Руколь - Sqamaps
Наталья Руколь - SqamapsНаталья Руколь - Sqamaps
Наталья Руколь - SqamapsAlexei Lupan
 
размышления об аутсорсинге Sqa days 2010
размышления об аутсорсинге Sqa days 2010размышления об аутсорсинге Sqa days 2010
размышления об аутсорсинге Sqa days 2010Alexei Lupan
 
Sq adays 2010_balashenko
Sq adays 2010_balashenkoSq adays 2010_balashenko
Sq adays 2010_balashenkoAlexei Lupan
 
Sqadays2010 nalyutin
Sqadays2010 nalyutinSqadays2010 nalyutin
Sqadays2010 nalyutinAlexei Lupan
 
[Sqa days]risk driven testing
[Sqa days]risk driven testing[Sqa days]risk driven testing
[Sqa days]risk driven testingAlexei Lupan
 
Андрей Кузьмичев - яндекс в городе
Андрей Кузьмичев - яндекс в городе Андрей Кузьмичев - яндекс в городе
Андрей Кузьмичев - яндекс в городеAlexei Lupan
 
Evelina Tananaeva
Evelina Tananaeva Evelina Tananaeva
Evelina TananaevaAlexei Lupan
 

Más de Alexei Lupan (20)

Когда требования никакие (Dump 2015)
Когда требования никакие (Dump 2015)Когда требования никакие (Dump 2015)
Когда требования никакие (Dump 2015)
 
Алексей Лупан - Да перестаньте уже автоматизировать
Алексей Лупан - Да перестаньте уже автоматизироватьАлексей Лупан - Да перестаньте уже автоматизировать
Алексей Лупан - Да перестаньте уже автоматизировать
 
(Seleniumcamp) Selenium IDE как артефакт пикника на обочине
(Seleniumcamp) Selenium IDE как артефакт пикника на обочине(Seleniumcamp) Selenium IDE как артефакт пикника на обочине
(Seleniumcamp) Selenium IDE как артефакт пикника на обочине
 
Serious+performance+testing
Serious+performance+testingSerious+performance+testing
Serious+performance+testing
 
Oleynikov sqa days 8_deck
Oleynikov sqa days 8_deckOleynikov sqa days 8_deck
Oleynikov sqa days 8_deck
 
ковалев нестандатное нт
ковалев нестандатное нтковалев нестандатное нт
ковалев нестандатное нт
 
Sqadays 2010 burmistrov_fomin_20101120(2)
Sqadays 2010 burmistrov_fomin_20101120(2)Sqadays 2010 burmistrov_fomin_20101120(2)
Sqadays 2010 burmistrov_fomin_20101120(2)
 
Ui testing how intel does this
Ui testing how intel does thisUi testing how intel does this
Ui testing how intel does this
 
сергей андреев
сергей андреевсергей андреев
сергей андреев
 
павел мильков знания и умения тестировщиков
павел мильков знания и умения тестировщиковпавел мильков знания и умения тестировщиков
павел мильков знания и умения тестировщиков
 
евгения фирсова нерелизное тестирование
евгения фирсова нерелизное тестированиеевгения фирсова нерелизное тестирование
евгения фирсова нерелизное тестирование
 
андрей дмитриев взгляд со стороны разработчика
андрей дмитриев взгляд со стороны разработчикаандрей дмитриев взгляд со стороны разработчика
андрей дмитриев взгляд со стороны разработчика
 
New девять правил семпая, или как стать успешным наставником
New девять правил семпая, или как стать успешным наставникомNew девять правил семпая, или как стать успешным наставником
New девять правил семпая, или как стать успешным наставником
 
Наталья Руколь - Sqamaps
Наталья Руколь - SqamapsНаталья Руколь - Sqamaps
Наталья Руколь - Sqamaps
 
размышления об аутсорсинге Sqa days 2010
размышления об аутсорсинге Sqa days 2010размышления об аутсорсинге Sqa days 2010
размышления об аутсорсинге Sqa days 2010
 
Sq adays 2010_balashenko
Sq adays 2010_balashenkoSq adays 2010_balashenko
Sq adays 2010_balashenko
 
Sqadays2010 nalyutin
Sqadays2010 nalyutinSqadays2010 nalyutin
Sqadays2010 nalyutin
 
[Sqa days]risk driven testing
[Sqa days]risk driven testing[Sqa days]risk driven testing
[Sqa days]risk driven testing
 
Андрей Кузьмичев - яндекс в городе
Андрей Кузьмичев - яндекс в городе Андрей Кузьмичев - яндекс в городе
Андрей Кузьмичев - яндекс в городе
 
Evelina Tananaeva
Evelina Tananaeva Evelina Tananaeva
Evelina Tananaeva
 

Sqa days2010 polazhenko_osstm

  • 2.  оценка уязвимости программного обеспечения к различным атакам (Википедия)
  • 3.  Метод оценки защищённости компьютерной системы или сети путём эмулирования атак от имени подозрительного (нелигитимного) субъекта, часто называемого как Black Hat Hacker, or Cracker (Википедия)
  • 4.  (от hack — разрубать) — чрезвычайно квалифицированный ИТ-специалист, человек, который понимает самые основы работы компьютерных систем. Это слово также часто употребляется для обозначения компьютерного взломщика, что в общем случае неверно.(Википедия)
  • 5.  OSSTM - www.osstmm.org  OWASP - www.owasp.org
  • 6.  Cobit  ISO/IEC 2700x  SANS  ISSAF  NIST  PCI DSS
  • 7.  Pete Herzog  2001 год  Испания, Барселона  OSSTM(M)  Hacker Highschool  Accredited trainings
  • 8.  Ожидается 3.0 версия cо дня на день  В декабре 2006 года вышла v. 2.2  В 2003 году вышла v. 2.0  Старт 2001 год
  • 9.  Версия 3.0 анонсирована в 2007 году  В данный момент предлагается за деньги золотым и серебрянным подписчикам  Соответствие бесконечному множеству норм и стандартов
  • 10.  Версия 2.0 (выпущена в феврале 2003) ссылается к GPL, но также содержит изречение на первой странице документа:  "Any information contained within this document may not be modified or sold without the express consent of the author."
  • 11.  Версия 2.2 (выпущена в ноябре 2006) изречение на первой странице документа:  "Any information contained within this document may not be modified or sold without the express consent of ISECOM. OSSTMM for free dissemination under the Open Methodology License (OML) and CC Creative Commons 2.5 Attribution-NonCommercial-NoDerivs"
  • 12.  "Open Methodology License": www.isecom.org/oml.shtml  CC Creative Commons 2.5 with NoDerivs and NonCommercial Никто не может:  выпускать новые версии OSSTMM (кроме ISECOM)  использовать OSSTMM для коммерческих нужд (продажа в качестве книги)  Создавать коммерческое ПО, основанное на OSSTM
  • 13.
  • 14.  Обеспечить научную методологию для достаточной точной характеристики безопасности при помощи экзаменации и корреляции согласованным и надёжным способом  Стандартизация подхода к тестированию безопасности  To make security have sense
  • 15.  Обеспечить руководства, следуя которым позволит аудитору выполнить сертифицированный OSSTMM аудит  Тест совершён полностью  Тест охватил все необходимые каналы  Тест не нарушает законных прав задействованных лиц  Результаты тесты измеримы  Результаты теста последовательны и повторяемы  Результаты теста содержат только факты, полученные непосредственно из теста
  • 16.
  • 17.  безопасность информации (Information Security)  безопасность процесса (Process Security)  безопасность Интернет технологий (Internet Technology Security)  безопасность коммуникаций (Communications Security)  безопасность беспроводных сетей (Wireless Security)  физическая безопасность (Physical Security)
  • 18.
  • 19.
  • 20.  Терминология  Описание методологии тестирования (модули, секции)  Описание примеров тестов по каждой секции  Пример документов для сбора информации и выдачи результатов
  • 21.  Интересный пример открытого фреймворка по организации процесса тестирования безопасности информационных систем  Позволяет взглянуть на безопасность приложения значительно более широко  Дает готовые примеры тестов и артефакты тестирования  Не «готове решение»