Skip to content

Testy penetracyjne

Testy penetracyjne to jedna z kluczowych metod w zapewnianiu bezpieczeństwa IT, pozwalająca na identyfikację słabości w systemach informacyjnych, które mogą zostać wykorzystane przez cyberprzestępców. Aby testy penetracyjne były przeprowadzane skutecznie i legalnie, ważny jest plan.

Zgodność z przepisami prawa

Przed przystąpieniem do testów penetracyjnych, należy upewnić się, że nie naruszamy żadnych przepisów prawnych. W zależności od lokalizacji organizacji i miejsca testów, mogą obowiązywać różne przepisy dotyczące ochrony danych osobowych, prywatności czy bezpieczeństwa informacji np:

  • RODO (GDPR) – Zgodność z ogólnym rozporządzeniem o ochronie danych osobowych, które nakłada na organizacje odpowiedzialność za przetwarzanie danych osobowych.
  • PCI DSS – Standard bezpieczeństwa dla organizacji przetwarzających dane kart płatniczych.
  • HIPAA – W przypadku organizacji działających w sektorze opieki zdrowotnej w USA, testy penetracyjne muszą być zgodne z ustawą o przenośności i odpowiedzialności ubezpieczeniowej w zakresie ochrony danych zdrowotnych.

Audyty i standardy branżowe

Wiele branż wymaga przeprowadzania audytów bezpieczeństwa, w tym testów penetracyjnych, aby spełnić określone standardy. Dla organizacji działających w specyficznych branżach, takich jak finansowa czy zdrowotna, mogą obowiązywać także dodatkowe regulacje np:

  • ISO/IEC 27001 – Standard zarządzania bezpieczeństwem informacji, który może wymagać przeprowadzania regularnych testów penetracyjnych w organizacjach posiadających certyfikat.
  • NIST SP 800-115 – Wytyczne amerykańskiego Narodowego Instytutu Standaryzacji i Technologii dla przeprowadzania testów penetracyjnych.

Prawo lokalne

Różne jurysdykcje mogą mieć różne przepisy dotyczące przeprowadzania testów penetracyjnych. Na przykład w wielu krajach testy penetracyjne na systemach, które nie są własnością organizacji przeprowadzającej testy, mogą być uznane za nielegalne, jeżeli nie zostały uprzednio uzyskane odpowiednie zgody.

Warning

Przed podjęciem testów warto zadać sobie pytanie czy posiadamy zgodę właściciela systemu oraz czy w danym kraju wybrane testy są uregulowane prawnie.

Umowy przy przeprowadzaniu testów

Testy penetracyjne są kompleksowym procesem, który wymaga odpowiednich umów i zastrzeżeń w celu ochrony interesów obu stron – organizacji zamawiającej testy i dostawcy usług pentestowych. Kluczowe elementy, które powinny zostać uwzględnione w takich umowach to:

  • Cel – Dokładny cel jak będzie poddany testom.
  • Zakres usług – Dokładny opis metodologii pentestów.
  • Czas - Zakres czasu jaki będą obejmowały testy.
  • Zgoda na przeprowadzenie testów – Potwierdzenie, że organizacja zgadza się na przeprowadzenie testów penetracyjnych.

Cała operacja wiąże się z pewnym ryzykiem, w tym możliwością uszkodzenia systemu dlatego kluczowe będzie jego zminimalizowanie. Mimo wszystko warto w umowie zawrzeć klauzulę dotyczącą odpowiedzialności, która wyklucza odpowiedzialność wykonawcy w przypadku problemów wynikłych z testów.

Dodatkowe informacje

Zakres pentestów zależy od rodzaju organizacji i infrastruktury przez co testy mogą dzielić się na te wewnętrzne oraz zewnętrzne. Testy wewnętrzne jak nie trudno się domyślić będą sprawdzały systemy wewnątrz organizacji natomiast testy zewnętrzne będą sprawdzały podatność organizacji na ataki z sieci.

Info

Do przeprowadzania pentestów warto opierać się na wybranych metodologiach np. OWASP Testing Guide zawierający wytyczne dla przeprowadzania testów bezpieczeństwa aplikacji webowych lub PTES (Penetration Testing Execution Standard) będący standardem wykonywania pentestów.

Weryfikacja wyników

Po zakończeniu testów, wyniki powinny zostać szczegółowo zweryfikowane, a raport powinien wskazać nie tylko wykryte luki, ale także rekomendacje dotyczące ich naprawy. Po wdrożeniu poprawek warto przeprowadzić ponownie testy, aby upewnić się, że wszystkie znalezione podatności zostały usunięte.

🕞 Ostatnia aktualizacja 11.01.2025