ペネトレーションテスト-法的問題
企業は通常、機密データのテストを許可する前に、データの可用性、機密性、および整合性に関する対策を講じます。この契約を締結するためには、法令遵守が組織にとって必要な活動です。
セキュリティおよび承認システムを確立および維持する際に遵守する必要のある最も重要な法的規制を、侵入テストの実装に使用するためのコンテキストとして以下に示します。
法的な問題は何ですか?
以下は、テスターとそのクライアントの間で発生する可能性のある問題の一部です。
テスターはクライアントに知られていないため、どのような理由で機密データへのアクセスを許可する必要があります。
失われたデータのセキュリティを誰が保証しますか?
クライアントは、データの損失またはテスターの機密性を非難する可能性があります
ペネトレーションテストはシステムパフォーマンスに影響を与える可能性があり、機密性と整合性の問題を引き起こす可能性があります。したがって、これは、書面による許可を得るために内部スタッフによって実行される内部侵入テストでも非常に重要です。テストを開始する前に、データのセキュリティ、開示などに関するすべてのポイントを明確にするために、テスターと会社/組織/個人との間で書面による合意が必要です。
A statement of intentテスト作業の前に、両当事者が作成し、正式に署名する必要があります。脆弱性テストの実行中に、ジョブの範囲と実行する場合と実行しない場合があることを明確に説明する必要があります。
テスターにとっては、作業が要求されているビジネスまたはシステムの所有者、およびペネトレーションテストの影響を受ける可能性のあるテストシステムとそのターゲット間のインフラストラクチャを知ることが重要です。アイデアは確認することです。
the tester 明確に定義されたパラメータを使用して、書面で許可を得ています。
the company ペンテスターの詳細と、機密データを漏らさないという保証があります。
法的な合意は、両方の当事者にとって有益です。規制は国ごとに異なるため、それぞれの国の法律に遅れないようにしてください。それぞれの法律を検討した後にのみ、契約に署名してください。