Merhaba Umit Bey, Pentest faaliyeti yapmadigimiz icin rahatlikla asagidaki aciklamayi yazabilirim :) :
Bu konuda ideali degil de en azindan Ankara genelinde pratikte olani adim adim paylasayim sizinle: 1. Pentest yapan 4-5 firma bulunur. Bu firmalarda nda(gizlilik sozlesmesi) imzalanir. 2. Firmalar tek tek toplantiya cagirilarak ihtiyaclar anlatilir ve ornek sartname hazirlamalari istenir. 3. Firmalarin paylastigi sartnameler birlestirilerek ortak bir sartname taslagi hazirlanir. 4. Hazirlanan taslak firmalarin hepsinin gorusune sunulur ve itiraz, ek, cikarma vs varsa degerlendirilir. 5. Ihaleye cikilir. Yukarida bahsettigim sureci seffaf isleten kurumlar, dogru firmalari da bulmuslarsa hic de fena sonuclara ulasmiyor. Ozellikle ihale surecine girecekseniz zaten birkac firma olmasi gerekecek ve zaten hepsiyle haberlesmek durumunda kalacaksiniz. En basindan pratik dusunup yukaridaki yoldan gitmek size zaman kazandiracaktir. Pentest sartnamelerinde asagi yukari bulunmasi iyi olur diyebilecegim noktalar: 1- nelerin test edilecegi 2- testin nelerden ibaret olacagi, otomatik-manuel nasil efor harcanacagi 3- hizmetin ciktilarinda, raporlarinda hangi bilgilerin olmasi gerektigi 4- testi yapacak kisilerin kurumunuzda bulunup bulunmayacaklari, harcanacak adam/gun 5- testi yapacak kisilerin sertifikalarim ozgecmisleri ve bu konudaki tecrubeleri 6- test hizmetini sunacak firmanin bu konudaki tecrubeleri 7- hizmet sonrasinda tespit edilen aciklarin giderilmesi hususunda ek danismanlik istenip istenmedigi 8- kontrol testlerinin yapilip yapilmayacagi Umarim yardimci olabilmisimdir. Saygilarimla, Aysun Tuncer 2013/5/4 Ümit ÖZDEMİR <[email protected]> > Merhaba; > > Pentest yapan firmalar da ve/veya kişiler de ne gibi özellikler > arıyorsunuz? Daha doğrusu bir şartname örneği var mı ya da sizce bunun > standardı nasıl olmalı ya da standardı olmalı mı? > > Görüş ve önerileriniz için şimdiden teşekkür ederim. > > -- > Ümit ÖZDEMİR > > > > >
