Прежде чем разрешить кому-либо тестировать конфиденциальные данные, компании обычно принимают меры в отношении доступности, конфиденциальности и целостности данных. Для того, чтобы это соглашение имело место, соблюдение законодательства является необходимой деятельностью для организации.
Наиболее важные правовые нормы, которые необходимо соблюдать при создании и поддержании систем безопасности и авторизации, представлены ниже в контексте для использования при реализации тестов на проникновение.
Каковы правовые вопросы?
Ниже приведены некоторые проблемы, которые могут возникнуть между тестером и его клиентом.
-
Тестер неизвестен своему клиенту — поэтому на каком основании ему должен быть предоставлен доступ к конфиденциальным данным
-
Кто возьмет на себя гарантию безопасности потерянных данных?
-
Клиент может обвинить тестера в потере данных или конфиденциальности
Тестер неизвестен своему клиенту — поэтому на каком основании ему должен быть предоставлен доступ к конфиденциальным данным
Кто возьмет на себя гарантию безопасности потерянных данных?
Клиент может обвинить тестера в потере данных или конфиденциальности
Тестирование на проникновение может повлиять на производительность системы и может вызвать проблемы с конфиденциальностью и целостностью; следовательно, это очень важно, даже при внутреннем тестировании на проникновение, которое проводится внутренним персоналом для получения письменного разрешения. Должно быть письменное соглашение между тестировщиком и компанией / организацией / частным лицом, чтобы уточнить все вопросы, касающиеся безопасности данных, раскрытия и т. Д., Прежде чем начинать тестирование.
Заявление о намерениях должно быть составлено и должным образом подписано обеими сторонами до начала любых испытаний. Следует четко указать, что объем работы и что вы можете, а можете и не выполнять при выполнении тестов на уязвимости.
Для тестировщика важно знать, кому принадлежит бизнес или системы, над которыми запрашивается работа, и инфраструктуру между системами тестирования и их целями, на которые может потенциально повлиять ручное тестирование. Идея состоит в том, чтобы убедиться;
-
тестер имеет письменное разрешение с четко определенными параметрами.
-
у компании есть данные ее тестера ручки и гарантия, что он не будет пропускать какие-либо конфиденциальные данные.
тестер имеет письменное разрешение с четко определенными параметрами.
у компании есть данные ее тестера ручки и гарантия, что он не будет пропускать какие-либо конфиденциальные данные.
Юридическое соглашение выгодно для обеих сторон. Помните, что правила меняются от страны к стране, поэтому будьте в курсе законов вашей страны. Подпишите договор только после рассмотрения соответствующих законов.