Процедура проверки такова:
1. если предметом аудита являются скрипты/веб приложения, то проверяющему предоставляется полный исходный код скриптов, используемых на веб-сервере. Исходный код является предметом коммерческой тайны и естественно не будет разглашен никаким третьим лицам.
2. если предметом аудита является программное обеспечение на сервере, то проверка происходит в присутствии системного администратора, опять же все бреши в системе защиты, которые будут обнаружены являются предметом коммерческой тайны и разглашению не подлежат.
3. сейчас популярной услугой является "penenetration testing" - полная имитация попытки взлома сервера, причем администратор не должен быть заранее извещен о производимых исследованиях, однако все жалобы к провайдеру проверяющего не будут рассмотрены и никаких притензии предъявляться не будут, т.к. ip-адреса проверяющего, с которых производится попытка проникновения на сервер и обхода системы безопасности, заранее будут оговорены в договоре.
Проверяющий обязуется не разглашать любую информацию о тестируемой системе, договор и предмет сделки являются полностью конфидециальной информацией и разглашению не подлежат.
|