"Аудит или pentest?"

В ЭТОЙ СТАТЬЕ я хотел бы поговорить о том, каким должен быть аудит информационной безопасности, и, самое главное, должны ли в аудите быть элементы пентеста. ДЛЯ НАЧАЛА ДАВАЙТЕ ОПРЕДЕЛИМСЯ В ПОНЯТИЯХ: под аудитом будем понимать обследование, а под пентестом (penetration testing) – тестированиена проникновение.

Пентесты популярны именно в физической безопасности. Можно привести простую аналогию: попытка проникнуть ночью на территорию объекта через забор, где слегка обвисла «егоза» – это пентест, а прохождение мимо этого участка в составе комиссии и проведение замеров на предмет того, отвечает ли высота забора и «егозы», например, требованиям по безопасности к объектам ТЭК – это будет яркий пример аудита (обследования). Как аудит, так и пентест можно выполнять на всю организацию, на ее отдельные подразделения или системы. Аудит может проверять какой-то отдельный критерий, соответствие какого-либо стандарта или законодательного акта. Аудит не покажет вам наглядно, как можно использовать недостатки или уязвимости периметра безопасности, пентест же, в свою очередь, лишь точечно укажет на места, но не раскроет со- ответствие требованиям комплексно, с оценкой рисков.