侵入テスト-法的問題

機密データのテストを許可する前に、企業は通常、データの可用性、機密性、整合性に関する措置を講じます。 この合意が成立するためには、法的コンプライアンスは組織にとって必要な活動です。

セキュリティおよび認可システムを確立および維持する際に遵守する必要がある最も重要な法的規制を、侵入テストの実装に使用するためのコンテキストで以下に示します。

法的問題とは何ですか？

以下は、テスターと彼のクライアントの間で発生する可能性のある問題の一部です-

• テスターはクライアントに知られていないため、どのような理由で機密データへのアクセスを許可する必要があります
• 誰が失われたデータのセキュリティを保証しますか？
• クライアントは、データの損失またはテスターへの機密性を非難する可能性があります

侵入テストはシステムのパフォーマンスに影響を与える可能性があり、機密性と整合性の問題を引き起こす可能性があります。したがって、書面による許可を得るために内部スタッフが実施する内部侵入テストにおいても、これは非常に重要です。 データのセキュリティ、開示などに関するすべてのポイントを明確にするために、テスターと会社/組織/個人の間で書面による合意が必要です。 テストを開始する前に。

• 意図のステートメント*を作成し、テスト作業の前に両方の当事者が正式に署名する必要があります。 ジョブの範囲と、脆弱性テストの実行中に実行する場合と実行しない場合があることを明確に概説する必要があります。

テスターに​​とって、作業を依頼されているビジネスまたはシステムの所有者、およびペンテストによって潜在的に影響を受ける可能性のあるテストシステムとターゲット間のインフラストラクチャを知ることが重要です。 アイデアは確認することです。

• *テスター*は、明確に定義されたパラメーターを使用して、書面による許可を取得しています。
• *会社*にはペンテスターの詳細と、機密データを漏らさないという保証があります。

法的合意は双方にとって有益です。 規制は国によって異なるため、それぞれの国の法律に遅れないようにしてください。 それぞれの法律を検討した後にのみ契約に署名してください。