Kiểm tra thâm nhập - Vấn đề pháp lý
Trước khi cho phép ai đó kiểm tra dữ liệu nhạy cảm, các công ty thường thực hiện các biện pháp liên quan đến tính sẵn có, tính bảo mật và tính toàn vẹn của dữ liệu. Để thỏa thuận này được thực hiện, tuân thủ pháp luật là một hoạt động cần thiết đối với một tổ chức.
Các quy định pháp lý quan trọng nhất phải được tuân thủ khi thiết lập và duy trì hệ thống bảo mật và ủy quyền được trình bày dưới đây để sử dụng trong việc triển khai các thử nghiệm thâm nhập.
Các vấn đề pháp lý là gì?
Sau đây là một số vấn đề có thể phát sinh giữa người thử nghiệm và khách hàng của anh ta -
Người thử nghiệm không được biết đối với khách hàng của mình - vì vậy, trên cơ sở nào, anh ta sẽ được cấp quyền truy cập vào dữ liệu nhạy cảm
Ai sẽ đảm bảo an toàn cho dữ liệu bị mất?
Khách hàng có thể đổ lỗi cho việc mất dữ liệu hoặc tính bảo mật cho người thử nghiệm
Kiểm tra thâm nhập có thể ảnh hưởng đến hiệu suất của hệ thống và có thể gây ra các vấn đề về tính bảo mật và tính toàn vẹn; do đó, điều này rất quan trọng, ngay cả trong thử nghiệm thâm nhập nội bộ, được thực hiện bởi một nhân viên nội bộ để xin phép bằng văn bản. Cần có thỏa thuận bằng văn bản giữa người kiểm tra và công ty / tổ chức / cá nhân để làm rõ tất cả các điểm liên quan đến bảo mật dữ liệu, tiết lộ, v.v. trước khi bắt đầu kiểm tra.
A statement of intentphải được hai bên soạn thảo và ký hợp lệ trước khi tiến hành bất kỳ công việc thử nghiệm nào. Cần phải vạch ra rõ ràng rằng phạm vi công việc và những điều bạn có thể làm và không thể làm khi thực hiện kiểm tra lỗ hổng bảo mật.
Đối với người thử nghiệm, điều quan trọng là phải biết ai sở hữu doanh nghiệp hoặc các hệ thống đang được yêu cầu làm việc và cơ sở hạ tầng giữa các hệ thống thử nghiệm và mục tiêu của chúng có thể bị ảnh hưởng bởi thử nghiệm bút. Ý tưởng là để đảm bảo;
the tester có sự cho phép bằng văn bản, với các thông số được xác định rõ ràng.
the company có thông tin chi tiết về máy thử bút và đảm bảo rằng anh ta sẽ không làm rò rỉ bất kỳ dữ liệu bí mật nào.
Một thỏa thuận hợp pháp có lợi cho cả hai bên. Hãy nhớ rằng, các quy định thay đổi giữa các quốc gia, vì vậy hãy tuân thủ luật pháp của quốc gia tương ứng của bạn. Chỉ ký một thỏa thuận sau khi xem xét các luật tương ứng.