VKutaev 21 авг в 09:17

Пентесты: как сделать всё по закону

Средний

5 мин

1.5K

Информационная безопасность * Управление разработкой * Тестирование IT-систем *

-2

Комментарии 4

Apoheliy 21 авг в 10:00

Статья всё-таки называлась: "Как сделать всё по закону".

А написано про формулировки договора. Но договор это не закон!

Например, вам по договору (тьфу-тьфу-тьфу, не дай Бог!) разрешат причинять вред (в том числе и летальный) некоему человеку. Сам человек подпишет согласие на получение такого вреда. Будут ли ваши действия законными?

Вот военным для нанесения ущерба (помимо службы в частях, участия в боевых действиях и др.) требуется явный приказ. Иногда приказ даже дают письменно, с указанием целей и др. И желание самого субъекта об желании (или нежелании) ущерба здесь является ничтожным.

Что в области пентестов?

От того, что два человека о чём-то договорились, УК не поменялся!

VKutaev 21 авг в 10:19

Ну, тут скорее речь о том, что пентест допустим только при соблюдении определенных согласованных между сторонами правил. Если таких согласований нет (как раз в форме договора), то пентест можно считать незаконным.

Все указанные мною требования для договора как раз и направлены на соблюдение закона, поэтому тут никаких противоречий нет)

И от того, что 2 человека о чем-то договорятся, УК не поменяется, то поменяется квалификация действий этих 2-х человек с точки зрения УК. В этом и суть)

ildarz 21 авг в 11:32

поменяется квалификация действий этих 2-х человек с точки зрения УК

Ага. С просто деяния на совершенное группой лиц по предварительному сговору. :) А если серьезно, то договор может защитить от статьи 272 (достаточно оговорить, что подрядчику разрешено получать доступ), а вот с 272.1 уже могут быть нюансы, ибо ПД охраняются отдельным законодательством. А вот что делать с 273, учитывая, что инструменты пентеста просто по определению под нее попадают? Тут никакой договор не поможет.

VKutaev 21 авг в 12:15

С ПД есть нюансы, но как и в любом договоре, где так или иначе в ходе оказания услуг может быть получен доступ к ПД. По-хорошему, если пентестер получает доступ к ПД, то тут, конечно, надо заручиться получением соответствующих согласий от субъектов со стороны заказчика. Ну или как минимум такая гарантия должна быть прописана в договоре, в т.ч. в разделе про конфиденциальность или отдельном NDA.

А что касается ст. 273 ГК РФ, то да, это тема интересная. В теории то да, но по факту, я думаю что здесь стоит отталкиваться от критерия "несанкционированный". Если договор есть на услуги пентеста, то едва ли взлом можно назвать несанкционированный, и следовательно, и средства такого взлома тоже будут якобы предназначены для санкционированного доступа. Практики по этим вопросам не знаю, но учитывая то, что сам по себе пентест поощряется со стороны государства, то вряд ли можно будет ждать каких-то санкций в этом ключе

Зарегистрируйтесь на Хабре, чтобы оставить комментарий