Сто раз писал. Напишу сто первый.

Если в договоре пишется "пентест", "поиск уязвимостей", "аттестация на соответствие требованиям ИБ" - будьте добры , приложите лицензию.

Если в договоре прописаны "услуги по оценке качества программного продукта", "услуги по тестированию функционала", то пентестите на здоровье.

В отчёт только не пишите "в результате пентеста". А , например, "в результате проверки страницы авторизации выявлена ошибка, приводящая к возможности получения хеша пароля администратора из-за отсутствия фильтрации GET-параметров"

да пиар фигня... взломайте Пентагон - еще не такой пиар будет )

Стартап WebTotem получил звание TechCrunch Top Picks на Disrupt 2020 в сфере Cybersecurity.

TechCrunch Disrupt - крупнейшая и самая ожидаемая технологическая конференция.

Ежегодно команда TechCrunch отбирает наиболее перспективные стартапы из тысяч кандидатов по всему миру.

Программа TC Top Picks демонстрирует выдающиеся стартапы на ранней стадии в следующих категориях: Artificial Intelligence/Machine Learning, Biotech/HealthTech, Education/Social Impact, Enterprise/SaaS, Fintech, Mobility, Retail/E-commerce, Robotics/Hardware/IOT and Security/Privacy.

Помимо стенда на главной стартап конференции, отобранные стартапы также получают эксклюзивный пиар и публикацию интервью в американских социальных сетях.

Это, наверное, первый случай,  когда казахстанский стартап вошел в TC Top Picks, еще и в категории Cybersecurity.

Подробности по ссылке: https://techcrunch.com/2020/09/06/meet-the-tc-top-picks-for-disrupt-2020/

---
Стартап WebTotem - система мониторинга и защиты веб-ресурсов. В Казахстане главным пользователем системы является Министерство цифрового развития, инновации и аэрокосмической промышленности РК. Система мониторит 150 000 казахстанских доменов и собирает информацию о кибер-инцидентах. В рамках сотрудничества с МЦРИАП базовая безопасность от WebTotem бесплатно предоставляется для всех государственных органов (Заявки для госорганов: webtotem.kz). Стартап прошел акселерацию в ведущем европейском акселераторе StartupWiseGuys при поддержке Министерства обороны Эстонии

Да, все правильно, осталось это четко прописать в законе.
На рабочих группах по Цифровому Казахстану обсуждали это, надо нормы кроить и сажать в какой-нибудь законопроект.

Может быть стоит посмотреть с другой стороны? Не ограничивать законом, но ввести нормы контроля за деятельностью?

Можно максимально упростить получение лицензии - разделить по категориям, А - высшая (ОЦИБ), Б - отраслевая (по сферам), С - частная практика. И при этом создать институт контроля качества и периодической аттестации ?

В этом направлении если подумать и поработать?

Может быть стоит посмотреть с другой стороны? Не ограничивать законом, но ввести нормы контроля за деятельностью?

Можно максимально упростить получение лицензии - разделить по категориям, А - высшая (ОЦИБ), Б - отраслевая (по сферам), С - частная практика. И при этом создать институт контроля качества и периодической аттестации ?

В этом направлении если подумать и поработать?

Приветствую!
Нет определения пентеста в ЗРК об информатизации.
По закону пентест можно отнести к деятельности ОЦИБ предусмотренной подпунктом 1 пункта 1 статьи 7-2 ЗРК об информатизации.
Ну и из логики, раз это делает ОЦИБ, а его деятельность лицензируется , вытекает вывод, что для пентеста нужна лицензия ОЦИБ.

То есть, если организация наймет временно на пен тест специалиста, то консультанту надо будет нужна лицензия?

Да

Нет, не мож быть так. Это услуга между работником хоть и временным и нанятым.   И работы проводятся внутри организации,  то есть это частная собственность , пен тест не нарушает закон на частной собственности. Или вы знаете какой то др закон регламентирующий это? Частная собственность это своя среда и оборудование и тп

Профессиональные требования распространяются и на объекты частной собственности, если они предусмотрены законами.
У вас в собственности электроподстанция на 30кВ, электрик должен иметь допуски.
У вас бухгалтер должен иметь сертификат.
В кафе повара имеют санкнижки и пр.