Разделы
ГлавнаяБлог Новости CISA выпустила чрезвычайную директиву для обеспечения госорганами написания политик раскрытия уязвимостей
3 сентября 2020
606

CISA выпустила чрезвычайную директиву для обеспечения госорганами написания политик раскрытия уязвимостей

Чрезвычайное предписание связано как с предстоящими выборами так и с тем, что из десятков федеральных гражданских агентств лишь немногие имеют официальные программы для работы с привлеченными экспертами в области информационной безопасности в целях нахождения и исправления уязвимостей в программном обеспечении.

Агентство по кибербезопасности и безопасности инфраструктуры Министерства внутренней безопасности (CISA) США выпустило чрезвычайную директиву (Binding Operational Directive). По состоянию на сегодняшний день только считанные государственные организации и ведомства в США имеют свои реализованные программы по сотрудничеству с внешними ИБ-исследователями для поиска уязвимостей в ПО или же критической инфраструктуре.

Теперь, чтобы положить конец этому явлению, Агентство кибербезопасности и инфраструктурной безопасности Министерства внутренней безопасности дает агентствам шесть месяцев до марта 2021 года на создание программ, известных как политики раскрытия уязвимостей (vulnerability disclosure policies (VDPs)).

CISA в среду выпустила директиву, требующую от агентств создать VDPs, которые предусматривают возможность подачи информации от исследователей по кибербезопасности, которые действуют добросовестно в целях информирования организацию-источник утечки. Агентства в своих программах должны будут позволить экспертам анонимно представлять отчеты об уязвимостях, которые будут охватывать по крайней мере одну доступную в интернете систему или услугу данного агентства.

Мы считаем, что лучшая безопасность правительственных компьютерных систем может быть реализована только тогда, когда людям будет предоставлена возможность помочь.

Bryan Ware, заместитель директора CISA по кибербезопасности

Белый Дом повторил эту формулировку в меморандуме для агентств, поддерживающих инициативу VDP и устанавливающих дедлайны на резолюцию. В недалеком будущем Политики должны будут охватить все доступные через интернет сервисы федеральных ведомств, в том числе те, что изначально не задумывались как доступные через интернет.

Усилия по принятию таких инициатив на Федеральном уровне в США совпадают с постепенным внедрением их в сектор избирательной инфраструктуры к выборам Президента. Например, месяц назад Огайо стал первым штатом, выпустившим VDP для сайтов, связанных с выборами. На той же неделе крупнейший поставщик оборудования для голосования в США объявил о своем собственном VDP.

Уже через 60 дней в CISA намерены опубликовать полное руководство о формировании политик раскрытия уязвимостей.

Теги:
cisa,
США,
уязвимость
Читайте также
Google рассылает россиянам фишинговые письма
8 апреля 2024
Новые вектора кибератак 2024 по версии «Mirey Robotics»
12 апреля 2024
Новая кибергруппировка атакует российские компании
26 марта 2024