Политика раскрытия информации об уязвимостях кибербезопасности

Политика раскрытия информации об уязвимостях кибербезопасности

Настоящая политика описывает порядок, в котором Общество с ограниченной ответственностью «Безопасная информационная зона» (ООО «БИЗон», BI.ZONE) раскрывает информацию об уязвимостях кибербезопасности затронутым вендорам (поставщикам). Политика соответствует как лучшим практикам, так и фактически действующим стандартам раскрытия информации об уязвимостях

Основные положения

  • BI.ZONE придерживается сроков раскрытия информации об уязвимостях 90 + 30. 90 (девяносто) дней отводится на исправление уязвимости и дополнительные (необязательные) 30 (тридцать) дней на передачу обновления безопасности третьим лицам.
  • В течение 30 (тридцати) дней BI.ZONE вправе опубликовать видеоролик с демонстрацией уязвимости, который не будет раскрывать техническую информацию об уязвимости; дата публикации согласуется с вендором.
  • Если BI.ZONE не смогла связаться с вендором всеми практически доступными способами, то по истечении 15 (пятнадцати) рабочих дней с момента первой попытки связаться с вендором BI.ZONE вправе опубликовать сведения об уязвимости в общедоступном информационном сообщении.
  • BI.ZONE оставляет за собой право опубликовать сведения о выявленной неизвестной ранее уязвимости через 7 (семь) дней с момента первой попытки связаться с вендором в том случае, если наблюдается ее активная эксплуатация, даже если исправление безопасности еще не выпущено.
  • Если в указанные сроки вендор не может выпустить обновление безопасности для устранения уязвимости или принимает решение не делать этого, BI.ZONE оставляет за собой право опубликовать выжимку из переписки с вендором по поводу указанной проблемы безопасности.

Оповещение вендора

BI.ZONE ответственно и незамедлительно сообщает соответствующему вендору об уязвимости в его продукте (продуктах) или сервисе (сервисах). Одновременно с оповещением вендора BI.ZONE вправе через защищенные каналы разослать своим клиентам правила фильтрации или обнаружения попыток эксплуатации выявленной уязвимости.

Сроки раскрытия информации

BI.ZONE придерживается стандартного срока раскрытия информации 90 + 30 дней. Мы сообщаем вендорам об уязвимостях немедленно. Информация об уязвимости публикуется через 90 (девяносто) дней с даты уведомления вендора или ранее в случае выпуска исправлений вендором. По запросу вендору могут быть предоставлены дополнительные 30 (тридцать) дней после выпуска исправлений, чтобы дать третьим лицам время на получение и установку обновления безопасности. Настоящий срок может быть изменен в следующих случаях:

  • BI.ZONE приложит все возможные усилия к тому, чтобы связаться с затронутыми вендорами общедоступными способами. Если вендор не ответит в течение 10 (десяти) дней после отправки первого уведомления, BI.ZONE вправе попытаться связаться с вендором через посредника. Если BI.ZONE предприняла все разумные меры, но не смогла связаться с вендором, то по истечении 15 (пятнадцати) рабочих дней с момента первого уведомления BI.ZONE вправе опубликовать сведения об уязвимости в общедоступном информационном сообщении.
  • Если последний день срока приходится на нерабочий день, днем окончания срока считается следующий рабочий день.
  • Если вендор до истечения 90-дневного срока сообщит нам, что планирует выпустить исправление в конкретный день не позже 14 (четырнадцати) дней после истечения срока, то мы отложим публикацию информации до момента доступности такого исправления.
  • Дополнительные 30 (тридцать) дней на доставку исправления третьим сторонам не предоставляются вендору, если такое исправление не было готово к концу 90-дневного срока.
  • Если мы наблюдаем ранее неизвестную и не исправленную уязвимость в ПО, которая активно эксплуатируется (уязвимость нулевого дня), мы полагаем, что уместно предпринять более срочные меры в течение 7 (семи) дней. Для такой особой оговорки есть причина: каждый день, пока активно эксплуатируемая уязвимость остается публично неизвестной и неисправленной, компрометации будет подвергаться все больше устройств или учетных записей. Семь дней — это короткий срок, в течение которого не все вендоры могут успеть обновить свои продукты; однако его должно быть достаточно, чтобы опубликовать рекомендации по возможным мерам защиты, таким как временное отключение службы, ограничение доступа или обращение к вендору за дополнительной информацией. Таким образом, если в течение 7 (семи) дней не было опубликовано исправление или информационное сообщение об уязвимости, мы опубликуем данные об уязвимости, чтобы дать сообществу возможность ее исследовать, а пользователям — защититься от ее эксплуатации.
  • Если в оговоренный срок вендор не сможет подготовить обновление безопасности для закрытия найденной уязвимости или примет решение не делать этого, BI.ZONE предложит вендору в сотрудничестве опубликовать данные об уязвимости и предложить пользователям эффективные обходные пути исправления недостатка. Мы не считаем корректным утаивать информацию об обнаруженной уязвимости из-за нежелания вендора работать над ее исправлением. Чтобы обеспечить прозрачность нашего взаимодействия с вендорами, мы планируем публиковать краткие отчеты о нашей переписке с вендорами касательно проблем указанного характера. Надеемся, что такое подробное описание процесса позволит сообществу лучше понять трудности, с которыми сталкиваются вендоры при устранении наиболее опасных ошибок. В работе с вендорами BI.ZONE приложит все усилия, чтобы обеспечить понимание ими технических деталей и серьезности вскрывшегося дефекта безопасности.

Публикация информации об уязвимости

BI.ZONE вправе назначить общедоступную веб-страницу, на которой будет публиковаться актуальная информация о статусе уязвимости. На такой странице не подлежит раскрытию подробная техническая информация об уязвимости до истечения установленных сроков. BI.ZONE вправе опубликовать на такой странице видеоролик с демонстрацией уязвимости, не раскрывая при этом подробной технической информации об уязвимости. Видеоролик заранее согласовывается с вендором, чтобы исключить раскрытие в нем технической информации. Видеоролик подлежит публикации в течение 30 (тридцати) дней; дата публикации согласуется с вендором.