«Юридические документы в пентесте — это не просто формальность. Они определяют границы вашей безопасности и защиты. NDA, SOW, MSA — это не абстрактные договорённости, а правовая основа, которая может стать вашим щитом или обвинительным заключением. Пренебрегая ими, вы не только рискуете репутацией, но и совершаете уголовно наказуемые действия. Понимание их — база для легитимной работы, а не бюрократическое приложение.»
Рамочный договор (Master Service Agreement, MSA)
Рамочный договор — это база для долгосрочного сотрудничества с клиентом. Он определяет общие условия всех будущих заказов: юридические аспекты, ответственность сторон, порядок оплаты и разрешения споров. Подписав MSA один раз, вы избегаете долгого согласования каждого пункта при заключении нового проекта. Это особенно актуально для повторяющихся задач: регулярный мониторинг уязвимостей, аудиты после значительных изменений в инфраструктуре или тестирование новых систем.
Техническое задание (Statement of Work, SOW)
SOW — это юридически обязательный план конкретного проекта по тестированию на проникновение. Именно этот документ детально описывает, что, как и когда будет сделано. Недостаточно указать «протестировать веб-приложение». SOW должно быть настолько точным, чтобы исключить двусмысленности и спорные ситуации.
| Элемент SOW | Что должно быть указано | Пример нечёткой формулировки (риск) |
|---|---|---|
| Цели и рамки | Чётко определённые IP-адреса, доменные имена, конкретные приложения или виды тестов (Black Box, Grey Box). | «Вся сеть компании» (приводит к выходу за пределы разрешённой зоны). |
| Сроки | Дата начала, дедлайн сдачи финального отчёта, окна для тестирования (например, только в нерабочее время). | «В течение месяца» (неясность по дате окончания работ). |
| Методология | Стандарты (например, OWASP Testing Guide, PTES), разрешённые и запрещённые техники (например, запрет на DDoS или социальную инженерию). | «Современные методы тестирования» (нет юридической основы для действий). |
| Доставка результатов | Формат и структура отчёта, ответственные лица для его получения, сроки на предоставление промежуточных результатов. | «Отчёт будет передан» (не указан способ, что ставит под вопрос факт передачи). |
| Особые условия | Требования к доступу (VPN, выделенные рабочие станции), взаимодействие с внутренней службой безопасности. | «Будут предоставлены доступы» (неопределённость по срокам и объёму). |
SOW часто является приложением к MSA или отдельным договором. Любое отклонение от его условий без письменного согласования может быть расценено как нарушение договора.
Соглашение о неразглашении (Non-Disclosure Agreement, NDA)
NDA — краеугольный камень доверия и юридическая защита информации. В контексте пентеста под защиту попадает всё: от архитектуры сети заказчика до найденных уязвимостей и пользовательских данных, к которым вы получили доступ в процессе тестирования.
| Тип NDA | Применение в пентесте | Ключевые моменты |
|---|---|---|
| Одностороннее | Клиент раскрывает вам конфиденциальную информацию о своей инфраструктуре. | Обязанность по защите ложится на вас. Ваши находки также часто попадают под действие этого NDA. |
| Двустороннее (взаимное) | Стандартный сценарий. Обе стороны обмениваются конфиденциальными данными: клиент — информацией о системах, вы — результатами тестирования. | Запрещает обеим сторонам разглашать полученную информацию третьим лицам без согласия. |
| Многостороннее | Привлекаются третьи стороны: облачный провайдер, внешний разработчик ПО, аутсорсинговая команда. | Все участники подписывают одно соглашение, определяющее общие правила обмена и защиты данных. |
NDA должно быть подписано до получения любой значимой информации, включая первые брифинги. Срок действия NDA часто превышает срок проекта на несколько лет.
Конфиденциальность и работа с данными
Пентестер неизбежно сталкивается с конфиденциальными и персональными данными. Их обработка регулируется не только договором, но и законодательством, прежде всего 152-ФЗ «О персональных данных». Ваши действия должны быть предсказуемы для заказчика.
- Порядок раскрытия: сразу договоритесь, как поступать с обнаруженными «чувствительными» данными. Например, пароли в открытом виде — сообщать ли их сразу, или только факт их наличия в логах?
- Безопасная передача: используйте шифрованные каналы для передачи отчётов. Отправка по электронной почте без шифрования может сама по себе стать инцидентом.
- Уничтожение данных: по завершении проекта все данные, полученные от клиента (исходники, дампы баз, отчёты), должны быть надёжно удалены с ваших рабочих систем. Лучше всего это задокументировать и предоставить клиенту акт об уничтожении. Это не только требование NDA, но и мера безопасности для ваших следующих проектов.
Заказчик может иметь внутренние политики хранения данных, с которыми ваши процедуры не должны вступать в противоречие.
Взаимосвязь с SLA клиента
Соглашение об уровне сервиса (SLA), которое ваш клиент предоставляет своим пользователям, напрямую влияет на вашу работу. В SLA могут быть прописаны обязательные сроки реагирования на инциденты или устранения уязвимостей. Обнаружив критическую уязвимость, вы должны понимать, сколько времени есть у команды клиента на её устранение до того, как это нарушит их публичные обязательства. Это влияет на приоритизацию в отчёте и срочность уведомления.
Юридические риски и их минимизация
Работа без чёткого SOW и подписанного NDA приравнивается к несанкционированному доступу. Даже при благих намерениях ваши действия могут попасть под статьи УК РФ (272, 273).
- Выход за рамки: Самый частый риск. Тестирование системы, не указанной в SOW, или использование неоговорённых методов (например, фишинг против сотрудников) — прямое нарушение.
- Утечка данных: Разглашение информации об уязвимостях или архитектуре клиента до их устранения — нарушение NDA, которое может нанести материальный ущерб и испортить репутацию.
- Нарушение 152-ФЗ: Неправильное хранение или передача персональных данных, обнаруженных в процессе тестирования, влечёт административную, а в некоторых случаях и уголовную ответственность.
Единственная защита — дотошное документирование всех договорённостей в MSA, SOW и NDA перед началом работ. Эти документы не бюрократия, а ваш основной инструмент легитимной и безопасной работы.