Форум Pentestnoob.ru

Обучение тестированию на проникновение
Текущее время: 17 дек 2018, 18:40

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ 1 сообщение ] 
Автор Сообщение
СообщениеДобавлено: 26 янв 2015, 22:35 
Не в сети
Site Admin

Зарегистрирован: 14 сен 2012, 09:50
Сообщения: 47
Положение о проведении тестирования на проникновение (версия 0.1)

Преамбула
Положение о проведении тестирования на проникновение (далее - Положение) регулирует порядок и условия проведения тестирования на проникновение веб-ресурсов с разрешения владельца данного ресурса (далее – Заказчик).
Предметом исследования является проведение анализа защищённости и контроля эффективности защиты информации объекта исследований, а также выявление уязвимостей программного обеспечения и ошибок конфигурации средств обработки информации и средств защиты информации.
Целями исследования являются предотвращение нарушений прав обладателей информации, размещенной на Интернет-ресурсе, предупреждение преступлений в сфере компьютерной информации, а также привлечение внимания к вопросам информационной безопасности.
Настоящее Положение не является договором подряда, возмездного оказания услуг, публичным обещанием награды, и к нему не применяются предусмотренные законодательством РФ положения соответствующих соглашений.

1. Термины
1.1. Тестирование на проникновение (далее - Исследование) – открытое публичное исследование по поиску уязвимостей объекта исследования.
1.2. Объект исследований – Интернет-ресурс, указанный в п. 2.1. Положения.
1.3. Сервис «Pentestnoob» – комплекс информационных и технических решений, размещенный в Сети Интернет по адресу http://forum.pentestnoob.ru, обеспечивающий взаимодействие Заказчикаа с Исследователями через электронные каналы связи.
1.4. Исследователь – лицо, осуществившее предусмотренные условиями Исследования действия по предоставлению Заказчику посредством cервиса «Pentestnoob» информации об уязвимостях Объекта исследования.
1.5. Уязвимость – технический недостаток Объекта исследования, который может быть использован для реализации угроз информационной безопасности.
1.6. Форма уведомления – форма уведомления об обнаруженных уязвимостях Объекта исследования, включающая информацию об обнаруженных уязвимостях, информацию об Исследовании, в рамках которого были обнаружены уязвимости, информацию, позволяющую идентифицировать Исследователя, обнаружившего уязвимости.
1.8. В рамках настоящего Положения для исчисления временных интервалов (сроков) стороны используют московское время.

2. Общие сведения
2.1. Объектами исследований являются веб-ресурсы, расположенные в сети Интернет, на главной странице которых размещен баннер «Pentestnoob» следующей формы:
Код:
<a href="http://forum.pentestnoob.ru/">"Сайт проверяется «Pentestnoob»"</a>

2.2. Сроки проведения Исследования. Информация об уязвимостях от Исследователей принимается с момента размещения заявки на сервисе «Pentestnoob» и до момента окончания Исследования. Исследование может быть прекращено Заказчиком в любое время путем размещения в созданной теме сообщение о прекращении Исследования и удаления баннера «Pentestnoob».
2.3. Заказчиком Исследования является владелец веб-ресурса, который на свой страх и риск изъявил желание провести Исследование своего веб-ресурса и в знак согласия разместил на главной странице баннер «Pentestnoob». Заказчик гарантирует наличие у него правомочий на проведение мероприятий, связанных с обнаружением уязвимостей Объекта исследования, переданных Заказчику Правообладателем в рамках достигнутого соглашения.

3. Условия и порядок участия в Исследовании
3.1. Поиск и направление информации об уязвимостях Объекта исследования осуществляются исключительно в соответствии с условиями и в сроки, указанные в первом сообщении созданного Заказчиком поста.
3.2. Направление информации об уязвимостях производится Исследователем следующим образом:
3.2.1. Исследователь проходит процедуру регистрации/авторизации на сервисе «Pentestnoob».
3.2.2. В созданной Заказчиком заявке (теме) Исследователь размещает детальную информацию о найденной уязвимости, позволяющую однозначно установить факт наличия уязвимости и алгоритм её возникновения.
3.3. Информация об обнаруженных уязвимостях направляется Исследователем Заказчику способом, установленным Заказчиком.
3.4. В ходе проведения действий по обнаружению уязвимостей, Исследователь не вправе редактировать, удалять или иным способом изменять информацию, содержащуюся на Интернет-Ресурсе, являющемся Объектом исследования, осуществлять несанкционированные загрузки информации, изменение программных кодов и иные действия, которые влекут или могут повлечь за собой какой-либо вред Интернет-ресурсу.
3.8. Исследователь обязуется не разглашать информацию об обнаруженных уязвимостях с использованием любых источников (как открытых, так и закрытых), в течение 90 дней с момента официального завершения Исследования. Исследователь обязуется приложить разумные усилия для того, чтобы информация об уязвимости не стала доступна третьим сторонам. Если Заказчик укажет в заявке об открытости сведений об обнаруженных уязвимостях, Исследователь вправе разместить найденные уязвимости в данной заявке.
3.9. Любая информация об уязвимостях, полученная Заказчиком в ходе проведения Исследования, может быть использована Заказчиком любым способом, включая ее передачу третьим лицам, но только с ссылкой на сервис «Pentestnoob» и Исследователя, обнаружевшего уязвимость.

4. Конфиденциальность
4.1. К конфиденциальной информации относится:
4.1.1. любая обнаруженная Исследователем информация об уязвимостях Интернет-ресурса Заказчика;
4.1.2. любая размещенная на Интернет-ресурсе Заказчика информация, которая не находится на момент проведения Исследования в открытом доступе.
4.2. Исследователь, если иное прямо не предусмотрено заявкой, не вправе осуществлять копирование, передачу, либо иное распространение конфиденциальной информации, полученной им в процессе осуществления действий по обнаружению уязвимостей.
4.3. В случае выявления фактов копирования и(или) распространения Исследователем конфиденциальной информации, Исследователь несет ответственность в соответствии с действующим законодательством РФ.

5. Заключительные положения
5.1. Принимая участие в Исследовании, Исследователь соглашается с тем, что он несет персональную ответственность за действия (бездействия), в результате которых Объекту исследования нанесен имущественный или иной вред, включая потерю конфиденциальной информации. При этом Правообладатель вправе предъявлять требования о возмещении таких убытков непосредственно к Исследователю.
5.2. Направление Исследователем информации о найденной уязвимости в порядке, предусмотренном настоящим Положением, означает безоговорочное согласие Исследователя со всеми условиями Исследования.
5.3. Во всем, что не урегулировано настоящим Положением, Заказчик и Исследователи руководствуются действующим законодательством Российской Федерации.


Вернуться к началу
 Профиль  
Ответить с цитатой  
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ 1 сообщение ] 

Часовой пояс: UTC + 3 часа


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения

Найти:
Перейти:  
cron
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB