渗透测试 - 法律问题
在允许某人测试敏感数据之前,公司通常会采取措施确保数据的可用性、机密性和完整性。为了使该协议生效,法律合规是组织的必要活动。
在实施渗透测试时,以下介绍了在建立和维护安全和授权系统时必须遵守的最重要的法律法规。
有哪些法律问题?
以下是测试人员与其客户之间可能出现的一些问题 −
客户不认识测试人员 - 因此,基于什么理由,应授予测试人员访问敏感数据的权限
谁将承担丢失数据的安全保障?
客户可能会将数据丢失或机密性归咎于测试人员
渗透测试可能会影响系统性能,并可能引发机密性和完整性问题;因此,这一点非常重要,即使是在内部渗透测试中,也需要获得书面许可,因为渗透测试是由内部人员执行的。在开始测试之前,测试人员和公司/组织/个人之间应该有一份书面协议,以澄清有关数据安全、披露等的所有要点。
在进行任何测试工作之前,双方都应起草并正式签署一份意向书。应该清楚地概述工作范围,以及在执行漏洞测试时您可能做和可能不会做的事情。
对于测试人员来说,重要的是要知道谁拥有被要求工作的业务或系统,以及测试系统和目标之间的基础设施,这些基础设施可能会受到渗透测试的影响。这样做的目的是确保;
测试人员拥有书面许可,并有明确定义的参数。
公司拥有其渗透测试人员的详细信息,并保证他不会泄露任何机密数据。
法律协议对双方都有利。请记住,各国的法规各不相同,因此请随时了解各自国家的法律。只有在考虑了相关法律后才签署协议。