bc
Аудит раз в год. Пентесты иногда надо делать дополнительные при больших изменениях
Пентесты надо полюбому делать вне зависимости от.
Size: a a a
2019 December 17
bc
Если не юзаете WAF, то пентест после каждого релиза, как компенсационная мера.
NR
Пентесты надо полюбому делать вне зависимости от.
Я говорю про дополнительные - при больших изменениях
bc
Индус мне усирался доказывал, что новая система в скоупе - это катастрофа и отзыв сертификата
NR
Индус мне усирался доказывал, что новая система в скоупе - это катастрофа и отзыв сертификата
Или квалификация слабая или разводил на доп.аудит/конслатинг
bc
Конечно он жаждал бабла, только вот ткнуть этого нехорошего человека в Стандарт, дабы устыдить и пресечь его подлые намерения невозможно. В стандарте ничего про это не написано.
bc
И поскольку в репорте они описывают скоуп, то с формальной точки зрения, его мнение тоже вроде как недалеко от истины. В скоупе новая система не описана, а значит подтвердить комплаенс невозможно
bc
Сертификатом без ROCа можно печку топить
NR
Вот такой вот нехороший человек...
IA
Конечно он жаждал бабла, только вот ткнуть этого нехорошего человека в Стандарт, дабы устыдить и пресечь его подлые намерения невозможно. В стандарте ничего про это не написано.
Если быть максимально задротом, то стандарты пишут более абстрактными и это норма
IA
Ты пишешь гайдлайны на уровень ниже, где ссылаешься на стандарт
IA
Но бумаг надо написать много, да
bc
А потом твоим стандартом хуевертят, как с ISO.
bc
Формально все пиздато, но под капотом ждет много удивительных открытий
IA
А потом твоим стандартом хуевертят, как с ISO.
Что есть, то есть
bc
Стандарты просто надо апдейтить постоянно, а не раз в три года
bc
Индустрия вон каждый день меняется
bc
вчера монолит, сегодня микросервисы. Стандарты только только отдупляют, что есть среды виртаулизации. Про контейнеры они наверное еще через лет пять напишут.