Юридические аспекты проведения пентеста: как заключить договор и избежать рисков

Зачем нужен договор на пентест?

Этичный хакинг (пентест) — это легальный способ выявить уязвимости в IT-инфраструктуре компании. Однако без четкого юридического оформления такие действия могут быть расценены как незаконные. Договор на пентест защищает обе стороны: заказчика (компанию, которая проверяется) и исполнителя (команду пентестеров). Он определяет границы работы, ответственность и условия конфиденциальности.

Основные юридические риски пентеста

1. Непреднамеренные нарушения закона : Без письменного разрешения тестирование может быть приравнено к кибератаке.
2. Утечка данных : Если в ходе теста будут раскрыты персональные или коммерческие данные, стороны должны понимать, как их обезопасить.
3. Претензии третьих лиц : Например, если пентест повлияет на работу смежников или клиентов компании.

Ключевые разделы договора на пентест

1. Предмет договора

Четко опишите:

• Цели тестирования (например, проверка веб-приложения на SQL-инъекции).
• Перечень систем и ресурсов, которые можно тестировать (IP-адреса, домены, API).
• Запрещенные методы (например, DDoS-атаки или социальная инженерия без предварительного согласования).

Пример :
«Исполнитель обязуется провести тестирование на проникновение веб-приложения Заказчика, расположенного по адресу https://example.com , в период с 01.10.2025 по 10.10.2025. Использование методов DoS/DDoS запрещено».

2. Права и обязанности сторон

• Заказчик :
  • Предоставляет доступ к системам (логины, тестовые аккаунты).
  • Информирует о существующих мерах защиты (например, установленные WAF).
• Исполнитель :
  • Своевременно сообщает о критических уязвимостях.
  • Не использует данные для личной выгоды.

3. Конфиденциальность

• Данные, полученные в ходе теста, не подлежат разглашению.
• Исполнитель обязуется уничтожить все копии отчетов после завершения работ.

Пример пункта :
«Стороны обязуются не раскрывать третьим лицам информацию, полученную в рамках договора, включая технические детали инфраструктуры Заказчика и результаты тестирования».

4. Сроки и оплата

• Укажите даты начала и окончания теста.
• Определите порядок оплаты (аванс, постоплата, штрафы за задержку).

5. Ответственность сторон

• Размер компенсации за нарушение сроков.
• Условия ответственности за утечку данных.

Важно : Включите пункт о том, что исполнитель не несет ответственности за ущерб, вызванный некорректными действиями Заказчика (например, если предоставленные учетные данные привели к сбоям).

6. Форс-мажор и споры

• Перечислите обстоятельства, освобождающие стороны от ответственности (войны, стихийные бедствия, санкции).
• Укажите, что споры разрешаются в суде по месту нахождения Заказчика или через арбитраж.

Пример приложений к договору

Приложение 1: Scope of Work (SOW)

• Список тестируемых ресурсов.
• Разрешенные методы (например, тестирование авторизации, поиск XSS-уязвимостей).
• Исключения (например, тестирование платежного шлюза запрещено).

Пример :

Приложение 2: Правила отчетности

• Формат отчета (PDF, DOCX).
• Срок предоставления итогового документа.
• Требования к детализации уязвимостей (CVSS-оценка, PoC).

Советы по заключению договора

1. Согласуйте документ с юристом : Законы о кибербезопасности различаются в странах. Например, в России важно учитывать 152-ФЗ (о персональных данных), а в США — GDPR для компаний, работающих с ЕС.
2. Ограничьте автоматизацию : Укажите, что использование сканеров вроде Nessus требует предварительного уведомления.
3. Проверьте лицензии исполнителя : Некоторые регуляторы требуют, чтобы пентестеры имели сертификаты (OSCP, CEH).

Заключение

Договор на пентест — это не бюрократия, а гарантия безопасности для обеих сторон. Четкие условия минимизируют риски судебных разбирательств и утечек данных. Используйте примеры из статьи как основу, но адаптируйте их под юрисдикцию вашей страны и специфику проекта.

Всегда консультируйтесь с юристом перед подписанием договора!