Как тестировать собственные сайты на уязвимости и не нарушить закон? Какие лицензии нужны для пентеста?
Вот у меня есть свои веб проекты. Я хотел бы, чтобы они были безопасными. Если я их буду сканировать сканерами, либо использовать инструменты, вроде metasploit framework, получается, я буду пользоваться вредоносным ПО и нарушу закон? При этом, если мои сайты будут недостаточно защищены, то я тоже попадаю под ответственность, верно? И вот как быть, если уязвимости иметь нельзя и проверять на уязвимости тоже нельзя?
Я понимаю, что тестируя собственные проекты на локалхосте, заявление на меня никто не напишет. Но зачем увеличивать риски, поэтому хочется прояснить этот вопрос. Также мне интересна деятельность организаций, которые занимаются пентестом, они должны ведь проходить и получать определенные лицензии, верно? Где можно почитать, какие лицензии получать и где, что именно им для этого нужно, сколько это стоит?
Извините, но не могу не спросить. Вы нарушаете закон когда открываете дверь своей квартиры дубликатом ключа или заклинившую дверь туалета выбиваете плечом?!
Свои сайты вы можете проверять чем угодно, кроме одобрения начальства ничего не требуется.
Для проведения аудита информационной безопасности, в том числе пентеста лицензии в настоящее время не требуются, поскольку ранее единую лицензию ФСТЭК на деятельность по технической защите разбили на несколько разрозненных и исключили из их числа требование наличия лицензии при проведении аудита. Это касается организаций оказывающих услуги клиентам.
Для проведения мероприятий по технической защите информации собственного предприятия наличие никаких лицензий не требуется.
Подробнее ознакомится с вопросом лицензирования можно - тут
Просто напиши инструкцию\приказ, по которой ИНСТРУМЕНТОМ проверки безопасности будет данное ПО. При этом инструкция должна быть "белой", т.е. подписана директором или что-то в этом роде - зависит от формы и размера юрлица
По поводу тестирования безопасности: карается прежде всего несанкционированный доступ. Если сайт ваш, и вы сами тестируете, то вы сами себе и санкционировали доступ :)
Другое дело, вредоносные программы - карается сам факт их использования. И нужно четко различать вредоносные программы, созданные с целью получения несанкционированного доступа, и обычные программы типа сканеров портов и мониторинга безопасности. Проще говоря, использовать nmap для своего сайта ві можете, а вот metasploit framework (сужу исключительно по названию) нет - его использование карается законом. Правда, с нашими следователями и судами, вполне могут и nmap счесть вредоносным, и metasploit framework счесть средство мониторинга.
", использовать nmap для своего сайта ві можете, а вот metasploit framework (сужу исключительно по названию) нет"
Вы не правы. Как минимум из-за того, что nmap входит в metasploit framework. Итого или накажут за определенные скрипты в metasploit framework, или за nmap так же.
Средний
Средний
Средний
