Договор на пентест, условия и особенности.
Пентест с точки зрения права. Что необходимо включить в договор пентеста (договор на проведение тестирования на проникновение).
Каждый владелец сайта, приложения, информационной системы и т.д. сталкивается с вопросом обеспечения информационной безопасности, то есть комплекса мер, направленных на обеспечение непрерывной работы сайта/приложения, конфиденциальности, целостности и доступности информации на указанных ресурсах, в условиях обеспечения непрерывности бизнеса и его восстановления после прерывания.
Для ряда субъектов, таких как банки, значимые объекты КИИ и пр., а также для государственных информационных систем, информационных систем государственных органов, государственных предприятий и учреждений и пр., требования о защите информации должны соответствовать определённым стандартам. Например, Положение N 683-П, Положение N 757-П, Приказ ФСТЭК N 17 и пр.
Отметим сразу, договор на проведение тестирования на проникновение не может быть стандартным договором на оказание информационных услуг. Слишком много специальных условий и особенностей при проведении пентеста информационной системы, которые должны быть оговорены заранее. В ином случае, несогласованность условий в договоре на проведение тестирования на проникновение может быть причиной не только претензий у сторон, но и материальных требований о возмещении убытков.
Рассмотрим один из многих вопросов, необходимых для четкого и внятного согласования в договоре на проведение тестирование на проникновение. Специфика услуги проведения пентеста не исключает возможности получения доступа к конфиденциальной информации, в обход стандартных процедур, и нанесения ущерба стабильности информационной системы Заказчика.
Таким образом, в договоре должна быть оговорена возможность утраты значимой информации в тестируемой системе и исключено трактование действий Исполнителя как «неправомерный доступ к информации третьих лиц».Вроде бы у Заказчика есть архивы, технический персонал, готовый все восстановить, да и согласовали все на встрече Сторон. Что может случиться? Но вот вопрос, а Исполнитель, как лицо проводящее тестирование, точно уверен в квалификации персонала Заказчика, имеет достоверную информации о качестве и стабильности информационной системы Заказчика, в том числе на момент проведения пентеста. Очевидный ответ - если Заказчик и Исполнитель не связанные лица, конечно нет.
В договоре на пентест необходимо максимально четко ограничить ответственность Исполнителя. Это важно. В ином случае, у Заказчика появляется возможность недобросовестно переложить ответственность на Исполнителя, в случае, например, неквалифицированных и несогласованных с Исполнителем действий сотрудников Заказчика в период проведения тестирования. Более того, Заказчик, в таком случае, может использовать пока недостаточно неурегулированный статус программного обеспечения, использованного Исполнителем. Статья: Криминалистическая классификация средств высокотехнологичных преступлений (Поляков В.В.) (“Вестник Санкт-Петербургского государственного университета. Право”, 2024, N 2)
Очевидно, что стандартным договором на информационные услуги не стоит искушать Заказчика использовать впоследствии как меру давления на Исполнителя отсылкой к уголовной ответственности. Например, ст. 183 УК РФ Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну, ст. 272 УК РФ Неправомерный доступ к компьютерной информации, ст. 273 УК РФ Создание, использование и распространение вредоносных компьютерных программ (при проведении пентеста) и пр.