"Волонтёры" Uz-CERT
 

Тема проистекает отсюда
Очень хотелось получить ответ, но я сыграл в Щелкунчика и ту тему закрыли.

Предположим, что я:
- владею теоретическими и практическими навыками поиска уязвимостей
- знаком с веб-технологиями и сетевыми пакетами
- имею склонность к анализу
- стремлюсь применить свои знания на пользу

То есть, как предлагал Дмитрий Палеев, готов прислать своё резюме и пройти собеседование. Но в то же время мне очень нравится моя нынешняя работа и я не могу устроиться в Uz-CERT как специалист или как-нибудь ещё.
Возможна ли некая безвозмездная аутсорсная помощь Uz-CERT'у в выявлении уязвимостей сайтов? При этом желательно иметь некий документ, что я смотрю какие порты открыты не из природной гадливости, а из чувства долга. Чтобы потом мне не дали по голове за то, что я делаю то, что должны делать вы.

Кратко - можно ли получить некий сертификат Uz-CERT, который позволяет заниматься поиском уязвимостей в свободное от работы время не по долгу службы, а по зову души? При этом, обо всех действиях и найденных дырах будет в первую очередь информироваться CERT. Но так, чтобы сертификат давал некую защиту от УК РУз по статьям за компьютерные преступления. Можно или нельзя?

Герман, а если ты владеешь оружием, боевыми искусствами, юридически подкован и знаком с криминалистикой, как полагаешь, тебя возьмут волонтером, скажем в угрозыск? Извини за грубую аналогию.

Аналогию с пожарниками, комитетом по радиочастотам или же скорой помощью додумай сам. :)

так все таки предположим или точно?

да именно так

так Вам надо самому определиться сначала, дальше продолжать работать в нынешней работе или же перейти на другую работу, нас интересует сотрудники которые всегда находятся в офисе, для выполнения поставленных задач, так как работа требует постоянного присутствия на рабочем месте (естественно в рабочее время)

нет такая помощь нам не нужна

о каком документе идет речь? проясните...

нет, и не существует никакого "некого" сертификата UZ-CERT, лучше внимательно изучите его задачи на сайте

НЕТ, об инцидентах, как уже ребята вам отвечали вы можете отправить по форме сообщения об инциденте, еще раз повторяю, что у UZ-CERTа нет и он не дает никаких сертификатов

Герман, советую завести сайт о безопасности компьютерной и взять на него лицензию как на СМИ - это позволить мониторить Узнет в поисках дыр. Кто будет выступать - отправляйте на эту ветку форума.

Никаких сертификатов или же ещё каких документов, позволяющих совершать указанные вами действия, нету и не было. Тем более у UZ-CERT нет таких полномочий. Все действия, направленные на поиск уязвимостей и угроз совершаются только легальными методами, не влекущие за собой каких-либо вредоносных последствий. Прочие действия согласуются исключительно с владельцами информационных систем и проводятся на основании документов, сопровождающих экспертизу информационной безопасности.
Если уж Вы обнаружили угрозу, уязвимость и прочую зловредную активность, то на нашем сайте есть форма сообщения об инциденте, телефоны, email. Все анонимно, информация третим лицам не разглашается.

Насколько я помню, никаких документов, предполагающих лицензирование деятельности в сфере ИБ нет. Если есть, прошу поправить. Деятельность ведётся по принципу "не навреди", а в случае если навредил, то пострадавший человек или организация в праве воспользоваться новыми статьями УК и КоАО, чтобы восстановить свои нарушенные охраняемые законом интересы. Прецедентов по статьям не знаю, но если у кого-либо есть информация или новости проскакивали на эту тему, буду признателен за ссылочку.

Ничего себе, как это нету? Как тогда работают все организации связи? Как обеспечивается безопасность? По принципу не навреди? Очень странно.

Работа организаций связи, и не только, направлена на защиту своих информационных систем и информации в целом. Для достижения соответствующего уровня защиты могут применяться существующие стандарты и методики, а также разрабатываться новые, комбинироваться и т.п. В данной ветке, насколько я понял, речь идёт о поиске уязвимостей без их эксплуатации с целью заблаговременного информирования владельцев данных ИС и устранения предпосылок к эксплуатации уязвимостей злоумышленниками. Во избежание недопонимания со стороны владельца ИС, уже рекомендовали "сообщить об инциденте" в UZ-CERT, для продолжения работы с владельцев ИС с позиции Службы, имеющей компетенцию в данном вопросе на основании действующего законодательства.

А что понимается под "легальными методами"?

Например, просмотр исходного кода веб-ресурса.