GDPR – оценка технического соответствия IT продуктов
Тестирование на проникновение для GDPR
Что такое GDPR?
GDPR – (General Data Protection Regulation) – это закон, принятый Европейским Парламентом, который описывает правила защиты персональных данных граждан ЕС. Данный регламент имеет экстерриториальное действие, т.е. если ваши системы работают с такими данными (собирают, обрабатывают, хранят), то они должны соответствовать требованиям GDPR.
В отношении данного регламента следует различать организационные и технические аспекты соответствия, о чем говорится в Art. 24. Организационные меры, в частности, приведение в соответствие с GDPR необходимой документации (Privacy Policy, Terms of Use и др.), находятся в зоне ответственности юристов компании. Что же касается технических мер, GDPR не дает четких предписаний, какие средства защиты данных необходимо использовать, и как продемонстрировать контролирующим органам, что технические меры действительно предпринимаются. Хорошей практикой в таком случае будет проведение регулярного тестирования на проникновение.
Зачем проводить тестирование на проникновение для соответствия GDPR?
Если взять соответствие GDPR с технической стороны, то проверить безопасность персональных данных ваших пользователей можно с помощью тестирования на проникновение, в ходе которого проверяется, действительно ли технически соблюдаются заявленные права объекта данных, насколько эффективны применяемые средства защиты, и каким образом злоумышленник всё-таки может подобраться к чувствительным данным пользователей. По результатам отчета эксперты также предоставят подробные рекомендации о том, как закрыть выявленные в системе уязвимости, и какие дополнительные технические меры (инструменты) необходимо применить. А сам отчет будет являться тем самым артефактом, который можно предъявить контролирующим органам в качестве доказательства применения технических мер соответствия GDPR.
Специалисты IT Band Systems проводят тестирование на проникновение для проверки технического соответствия систем требованиям GDPR
Наши консультанты - это опытные сертифицированные специалисты, которые постоянно отслеживают последние тенденции в области безопасности, а также выступают на профильных конференциях в Беларуси и за рубежом.
Глубокие знания и опыт наших экспертов подтверждаются престижной и наиболее ценной сертификацией в области кибербезопасности - CISSP (Certified Security Systems Professional), а также сертификацией в области тестирования на проникновение - OSWE (Offensive Security Web Expert), CPSA (CREST Practitioner Security Analyst).
Наши клиенты
Методология
Наши специалисты руководствуются строгим кодексом профессиональной этики и следуют международным методологиям, признанным в отрасли кибербезопасности:
- OWASP - Open Web Application Security Project Testing Guide
- PTES - Penetration Testing Execution Standard
- OSSTMM - Open Source Security Testing Methodology Manual
- ISSAF - Information Systems Security Assessment Framework
- WASC - Web Application Security Consortium Threat Classification
Тест-кейсы
Во время тестирования на проникновение будет проверено более 100 тест-сценариев. Особое внимание уделяется на глубоком ручном тестировании уязвимостей, входящих в OWASP top 10:
- A1: Broken Access Control
- A2: Cryptographic Failures
- A3: Injection
- A4: Insecure Design
- A5: Security Misconfiguration
- A6: Vulnerable and Outdated Components
- A7: Identification and Authentication Failures
- A8: Software and Data Integrity Failures
- A9: Security Logging and Monitoring Failures
- A10: Server-Side Request Forgery
Результат тестирования
Результатом тестирования будет служить финальный отчёт с выявленными уязвимостями, шагами для их воспроизведения и рекомендациями по их устранению.
Остались вопросы? Вы всегда можете связаться с нашим менеджером по почте: veronica.yudina@it-band.by