butteff
@butteff
Раз в тысячу лет заправляю свитер в носки

Как тестировать собственные сайты на уязвимости и не нарушить закон? Какие лицензии нужны для пентеста?

Вот у меня есть свои веб проекты. Я хотел бы, чтобы они были безопасными. Если я их буду сканировать сканерами, либо использовать инструменты, вроде metasploit framework, получается, я буду пользоваться вредоносным ПО и нарушу закон? При этом, если мои сайты будут недостаточно защищены, то я тоже попадаю под ответственность, верно? И вот как быть, если уязвимости иметь нельзя и проверять на уязвимости тоже нельзя?

Я понимаю, что тестируя собственные проекты на локалхосте, заявление на меня никто не напишет. Но зачем увеличивать риски, поэтому хочется прояснить этот вопрос. Также мне интересна деятельность организаций, которые занимаются пентестом, они должны ведь проходить и получать определенные лицензии, верно? Где можно почитать, какие лицензии получать и где, что именно им для этого нужно, сколько это стоит?
  • Вопрос задан
  • 2468 просмотров
Решения вопроса 4
morgane
@morgane
analyse comportementale
Свои сайты вы можете проверять чем угодно, кроме одобрения начальства ничего не требуется.

Для проведения аудита информационной безопасности, в том числе пентеста лицензии в настоящее время не требуются, поскольку ранее единую лицензию ФСТЭК на деятельность по технической защите разбили на несколько разрозненных и исключили из их числа требование наличия лицензии при проведении аудита. Это касается организаций оказывающих услуги клиентам.

Для проведения мероприятий по технической защите информации собственного предприятия наличие никаких лицензий не требуется.
Подробнее ознакомится с вопросом лицензирования можно - тут
Ответ написан
OnYourLips
@OnYourLips
Если я их буду сканировать сканерами, либо использовать инструменты, вроде metasploit framework, получается, я буду пользоваться вредоносным ПО и нарушу закон?

Нет, эти инструменты не являются вредоносным ПО.

Но по факту вредоносным ПО в российских судах могут признать что угодно, даже файловый менеджер. Так что если вы параноик, то не живите в России.
Ответ написан
mace-ftl
@mace-ftl
Просто напиши инструкцию\приказ, по которой ИНСТРУМЕНТОМ проверки безопасности будет данное ПО. При этом инструкция должна быть "белой", т.е. подписана директором или что-то в этом роде - зависит от формы и размера юрлица
Ответ написан
По поводу тестирования безопасности: карается прежде всего несанкционированный доступ. Если сайт ваш, и вы сами тестируете, то вы сами себе и санкционировали доступ :)

Другое дело, вредоносные программы - карается сам факт их использования. И нужно четко различать вредоносные программы, созданные с целью получения несанкционированного доступа, и обычные программы типа сканеров портов и мониторинга безопасности. Проще говоря, использовать nmap для своего сайта ві можете, а вот metasploit framework (сужу исключительно по названию) нет - его использование карается законом. Правда, с нашими следователями и судами, вполне могут и nmap счесть вредоносным, и metasploit framework счесть средство мониторинга.
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы