Penetrationstests - rechtliche Fragen
Bevor Unternehmen vertrauliche Daten testen können, ergreifen Unternehmen normalerweise Maßnahmen hinsichtlich Verfügbarkeit, Vertraulichkeit und Integrität von Daten. Damit diese Vereinbarung zustande kommt, ist die Einhaltung von Gesetzen eine notwendige Aktivität für eine Organisation.
Die wichtigsten gesetzlichen Bestimmungen, die bei der Einrichtung und Wartung von Sicherheits- und Autorisierungssystemen zu beachten sind, werden im Folgenden im Zusammenhang mit der Durchführung von Penetrationstests dargestellt.
Was sind die rechtlichen Fragen?
Im Folgenden sind einige der Probleme aufgeführt, die zwischen einem Tester und seinem Kunden auftreten können:
Der Tester ist seinem Kunden unbekannt. Aus welchem Grund sollte er Zugriff auf vertrauliche Daten erhalten
Wer übernimmt die Sicherheitsgarantie für die verlorenen Daten?
Der Kunde kann den Tester für den Verlust von Daten oder die Vertraulichkeit verantwortlich machen
Penetrationstests können die Systemleistung beeinträchtigen und zu Vertraulichkeits- und Integritätsproblemen führen. Daher ist dies auch bei internen Penetrationstests sehr wichtig, die von internen Mitarbeitern durchgeführt werden, um eine schriftliche Genehmigung zu erhalten. Es sollte eine schriftliche Vereinbarung zwischen einem Tester und dem Unternehmen / der Organisation / Person bestehen, um alle Punkte in Bezug auf Datensicherheit, Offenlegung usw. zu klären, bevor mit dem Testen begonnen wird.
EIN statement of intentsollte vor jeder Testarbeit von beiden Parteien erstellt und ordnungsgemäß unterzeichnet werden. Es sollte klar umrissen werden, dass der Umfang des Jobs und das, was Sie möglicherweise tun und nicht tun, während Sie Schwachstellentests durchführen.
Für den Tester ist es wichtig zu wissen, wem das Unternehmen oder die Systeme gehören, an denen gearbeitet werden soll, sowie die Infrastruktur zwischen den Testsystemen und ihren Zielen, die möglicherweise von Pen-Tests betroffen sind. Die Idee ist, sicherzustellen;
the tester hat die schriftliche Genehmigung mit klar definierten Parametern.
the company hat die Details seines Pen-Testers und die Zusicherung, dass er keine vertraulichen Daten verlieren würde.
Eine rechtliche Vereinbarung ist für beide Parteien von Vorteil. Denken Sie daran, dass sich die Vorschriften von Land zu Land ändern. Halten Sie sich daher mit den Gesetzen Ihres jeweiligen Landes auf dem Laufenden. Unterzeichnen Sie eine Vereinbarung erst unter Berücksichtigung der jeweiligen Gesetze.