渗透测试 - 法律问题


在允许某人测试敏感数据之前,公司通常会采取有关数据的可用性、机密性和完整性的措施。为了达成此协议,法律合规是组织的必要活动。

下面介绍了在建立和维护安全和授权系统时必须遵守的最重要的法律法规,以用于实施渗透测试。

有哪些法律问题?

以下是测试人员和他的客户之间可能出现的一些问题 -

  • 测试人员对他的客户来说是未知的——因此,基于什么理由,他应该被授予敏感数据的访问权限

  • 谁来保证丢失数据的安全?

  • 客户可能会因测试人员的数据丢失或机密性而受到指责

渗透测试可能会影响系统性能,并可能引发机密性和完整性问题;因此,这一点非常重要,即使是在内部渗透测试中,由内部员工进行以获得书面许可。测试人员与公司/组织/个人之间应签订书面协议,以在开始测试之前澄清有关数据安全、披露等的所有要点。

在进行任何测试工作之前,双方应起草并正式签署一份意向声明。应清楚地概述工作范围以及您在执行漏洞测试时可能会或可能不会做的事情。

对于测试人员来说,重要的是要知道谁拥有所请求工作的业务或系统,以及测试系统与其目标之间可能受到笔测试影响的基础设施。这个想法是为了确保;

  • 测试人员有书面许可,并有明确定义的参数。

  • 该公司拥有渗透测试员的详细信息,并保证他不会泄露任何机密数据。

一份法律协议对双方都有利。请记住,各个国家/地区的法规都会有所不同,因此请及时了解各自国家/地区的法律。仅在考虑相应法律后才签署协议。