S
если по конфиденциалке
Size: a a a
2020 September 09
2020 September 14
N
День добрый. Такой вопрос: знаю, что для госов нельзя проводить анализ защищенности без договора (ФСБ может возбудиться). Как с этим обстоят дела с бюджетниками (больницы, образовательные учреждения и тд)? Достаточно ли согласия общего, чтобы сделать тестовый внешний демонстрационный скан?
PK
День добрый. Такой вопрос: знаю, что для госов нельзя проводить анализ защищенности без договора (ФСБ может возбудиться). Как с этим обстоят дела с бюджетниками (больницы, образовательные учреждения и тд)? Достаточно ли согласия общего, чтобы сделать тестовый внешний демонстрационный скан?
Так это тоже госы
N
Так это тоже госы
Ну разница в наличии ГИС (в плане внимания ФСБ)
PK
Ну разница в наличии ГИС (в плане внимания ФСБ)
У медиков есть региональные сегменты ЕГИСЗ
N
У медиков есть региональные сегменты ЕГИСЗ
Паша, это все понятно, но речь не об этих частностях. В целом есть ограничения на "бесплатные услуги" такого плана без заключения договора?
PK
Паша, это все понятно, но речь не об этих частностях. В целом есть ограничения на "бесплатные услуги" такого плана без заключения договора?
Такие же как во всех остальных госах. Там нет принципиальной разницы.
АБ
День добрый. Такой вопрос: знаю, что для госов нельзя проводить анализ защищенности без договора (ФСБ может возбудиться). Как с этим обстоят дела с бюджетниками (больницы, образовательные учреждения и тд)? Достаточно ли согласия общего, чтобы сделать тестовый внешний демонстрационный скан?
А что Вы подразумеваете под «общим согласием»?
N
Андрей Боровский
А что Вы подразумеваете под «общим согласием»?
Договориться на встрече или по почте о таких работах и организация кидает на почту перечень IP для скана.
АС
Договориться на встрече или по почте о таких работах и организация кидает на почту перечень IP для скана.
В случае чего в суде может быть недостаточно переписки или устной договоренности
N
В случае чего в суде может быть недостаточно переписки или устной договоренности
ну вот этот риск понятен. Вопрос скорее о том какие есть варианты есть туда попасть, если предположить, что сама организация заинтересована в работах - остаются какие-то контролирующие. В целом и так есть мнение, что лучше не стоит, но вдруг все не настолько плохо и такой вариант возможен.
N
Договориться на встрече или по почте о таких работах и организация кидает на почту перечень IP для скана.
Несерьёзно...договор либо соглашение! Во всех иных случаях если что-то пойдет не так....
N
N S M
Несерьёзно...договор либо соглашение! Во всех иных случаях если что-то пойдет не так....
это не пентест все-таки, скорее интеерсны именно юридические проблемы при проведении работ на безвозмездной основе
АС
ну вот этот риск понятен. Вопрос скорее о том какие есть варианты есть туда попасть, если предположить, что сама организация заинтересована в работах - остаются какие-то контролирующие. В целом и так есть мнение, что лучше не стоит, но вдруг все не настолько плохо и такой вариант возможен.
Тут как повезет.
Недавно был прецедент когда админ просто решил просканировать сканером сертифицированным сайт больницы и случайно его положил. Там сразу подключились органы, которые довели дело до суда :)
Понятно, что квалифицированные специалисты такого не допустят, но всякое может быть...
Недавно был прецедент когда админ просто решил просканировать сканером сертифицированным сайт больницы и случайно его положил. Там сразу подключились органы, которые довели дело до суда :)
Понятно, что квалифицированные специалисты такого не допустят, но всякое может быть...
N
Тут как повезет.
Недавно был прецедент когда админ просто решил просканировать сканером сертифицированным сайт больницы и случайно его положил. Там сразу подключились органы, которые довели дело до суда :)
Понятно, что квалифицированные специалисты такого не допустят, но всякое может быть...
Недавно был прецедент когда админ просто решил просканировать сканером сертифицированным сайт больницы и случайно его положил. Там сразу подключились органы, которые довели дело до суда :)
Понятно, что квалифицированные специалисты такого не допустят, но всякое может быть...
Админ этой больницы?
АС
N S M
Админ этой больницы?
Вроде да, я не помню точно.
N
Вроде да, я не помню точно.
В этом случае максимум что ему грозит написать объяснение и потерять работу, а если хоть что-то было прописано в должностной инструкции про ИБ то вообще ничего. Наоборот выявил уязвимость, использование которой может повлечь отказ в обслуживании сайта организации. Медаль за это дают))
АС
N S M
В этом случае максимум что ему грозит написать объяснение и потерять работу, а если хоть что-то было прописано в должностной инструкции про ИБ то вообще ничего. Наоборот выявил уязвимость, использование которой может повлечь отказ в обслуживании сайта организации. Медаль за это дают))
Ну а парень в итоге чуть не сел
N
Ну а парень в итоге чуть не сел
Очень слабая судебная практика и неподкованнлсть судей в сфере ИТ / ИБ. Знаю по себе)
N
Такие варианты по последним трендам тянут на 274.1, к сожалению. Особенно, если была личная инициатива, а не согласованные регламентные работы