침투 테스트-법적 문제
누군가가 민감한 데이터를 테스트하도록 허용하기 전에 회사는 일반적으로 데이터의 가용성, 기밀성 및 무결성에 관한 조치를 취합니다. 이 계약이 체결 되려면 법적 준수가 조직에 필요한 활동입니다.
보안 및 권한 부여 시스템을 구축하고 유지 관리 할 때 준수해야하는 가장 중요한 법적 규정은 침투 테스트 구현에 사용하는 맥락에서 아래에 나와 있습니다.
법적 문제는 무엇입니까?
다음은 테스터와 클라이언트간에 발생할 수있는 몇 가지 문제입니다.
테스터는 클라이언트에게 알려지지 않았습니다. 따라서 어떤 이유로 민감한 데이터에 대한 액세스 권한을 부여 받아야합니다.
손실 된 데이터의 보안을 누가 보장합니까?
클라이언트는 데이터 손실 또는 테스터의 기밀 유지를 비난 할 수 있습니다.
침투 테스트는 시스템 성능에 영향을 미칠 수 있으며 기밀성 및 무결성 문제를 일으킬 수 있습니다. 따라서 이는 내부 직원이 서면으로 허가를 받기 위해 수행하는 내부 침투 테스트에서도 매우 중요합니다. 테스트를 시작하기 전에 데이터 보안, 공개 등에 관한 모든 사항을 명확히하기 위해 테스터와 회사 / 조직 / 개인간에 서면 계약이 있어야합니다.
ㅏ statement of intent테스트 작업 전에 양 당사자가 작성하고 정식으로 서명해야합니다. 작업의 범위와 취약성 테스트를 수행하는 동안 수행 할 수도 있고 수행하지 않을 수도 있음을 명확하게 설명해야합니다.
테스터의 경우 작업이 요청 된 비즈니스 또는 시스템을 소유 한 사람과 펜 테스트의 영향을받을 수있는 테스트 시스템과 대상 간의 인프라를 아는 것이 중요합니다. 아이디어는 확인하는 것입니다.
the tester 명확하게 정의 된 매개 변수와 함께 서면으로 허가를 받았습니다.
the company 펜 테스터의 세부 사항과 기밀 데이터를 유출하지 않을 것이라는 확신을 가지고 있습니다.
법적 계약은 양 당사자 모두에게 유익합니다. 규정은 국가마다 다르므로 해당 국가의 법률을 준수하십시오. 각 법률을 고려한 후에 만 계약을 체결하십시오.