Vulnerability assessment and penetration testing are the key activities of information security risk management and cyber defense and intelligence done by military organizations. These activities are significant not only in the context of performing military operations, but also in the International Humanitarian Law (IHL) and law enforcement contexts. The application of information technologies in the military and civilian environments increases complexity in the field of risk management. Besides information security, military organizations have the task to undertake necessary activities in the fields of cyber operations, both for defense and offense purposes. They depend on technologically based knowledge and skills and are implemented by specific organizations within military systems. The goal of vulnerability assessment is to discover and determine the nature of vulnerabilities, without considering how they may be used for offense, while penetration testing uses exploits for breaching into systems and thus estimates the type and degree of risk these vulnerabilities represent to the system. However, even if they represent two different activities, with different end goals but the same field of interest, they are complimentary and inter-dependent. Since their common feature is development of knowledge and skills based on the same technologies, they are equally important both for risk management, military operations in cyberspace and their use for defense and intelligence activities as well as for IHL. / Оценка уязвимости и тестирование на взломявляются ключевой деятельностью управления информационной безопасностью и рисками киберобороны, а также разведки, проводимой военными организациями. Эти мероприятия имеют важное значение не только в контексте выполнения военных операций, но и в международном гуманитарном праве (МГП) и правоохранительных контекстах. Применение информационных технологий в военных и гражданских условиях увеличивает сложность в области управления рисками. Помимо информационной безопасности, военные организации должны проводить необходимые мероприятия в области киберопераций, как для защиты, так для нападения целей. Они зависят от технологических знаний и навыков и реализуются конкретными подразделениями в рамках военных систем. Цель оценки уязвимости заключается воткрытии характера уязвимости, не анализируя, как они могут быть использованы приатаках. В то время как тестирование на проникновение использует эксплойт-вторженияво время атаки на системуи таким образом производит классификациютипа и степенириска уязвимости для системы. Тем не менее, хотя они и представляют собой два различных вида деятельности с разнымицелями, их взаимодействие неразделимо, так как они взаимосвязаны и дополняют друг друга. Общей чертой данных мероприятий является развитие знаний и навыков, основанных на тех же технологиях, и они одинаково важны как для управления рисками в военных операциях в киберпространстве, так и в области обороны, разведки и международного гуманитарного права. / Procena ranjivosti i testiranje otpornosti na upade u sistem su ključne aktivnosti upravljanja rizikom u informacionoj bezbednosti, sajber odbrani i obaveštajnom radu vojnih organizacija. Ove aktivnosti su značajne u kontekstu izvođenja vojnih operacija, ali i u kontekstu Međunarodnog humanitarnog prava (IHL) i sprovođenja zakona. Primena informacionih tehnologija u vojnom i civilnom okruženju povećava kompleksnost u oblasti upravljanja rizikom. Pored informacione bezbednosti, vojne organizacije imaju zadatak da preduzmu neophodne aktivnosti u oblasti sajber operacija, za svrhe odbrane i napada. Oni zavise od znanja i veština zasnovanih na tehnologiji i implementiraju ih specifične organizacije u okviru vojnih sistema. Procena ranjivosti za cilj ima otkrivanje prirode ranjivosti, bez razmatranja kako se one mogu koristiti za napad, dok testiranje otpornosti na upade u sistem koristi eksploite za upade u sisteme i tako procenjuje vrstu i stepen rizika koji ove ranjivosti predstavljaju za sistem. Međutim, čak i ako predstavljaju dve različite aktivnosti, sa različitim krajnjim ciljevima, oni su komplementarni i međuzavisni. Pošto je njihova zajednička odlika razvoj znanja i veština zasnovanih na istim tehnologijama, oni su od podjednake važnosti za upravljanje rizikom, vojne operacije u sajber prostoru i njihovu upotrebu za odbrambene i obaveštajne aktivnosti, kao i međunarodno humanitarno pravo.