CISA предписало госорганам разработать политики раскрытия уязвимостей

Агентство по кибербезопасности и безопасности инфраструктуры Министерства внутренней безопасности (DHS CISA) США выпустило чрезвычайную директиву ( Binding Operational Directive 20-01 ), согласно которой к марту 2021 года американские федеральные органы должны разработать и реализовать политики раскрытия уязвимостей (vulnerability disclosure policies, VDP).

В настоящее время большинство госорганов не имеют формального механизма получения информации от ИБ-экспертов о потенциальных уязвимостях в их системах. Новая директива предписывает ведомствам сформировать и опубликовать политики раскрытия уязвимостей, которые должны включать подробные данные о том, какие системы рассматриваются, разрешенных видах тестирования и каналах для отправки отчетов о проблемах.

Политики должны охватывать все доступные через интернет системы и сервисы федеральных ведомств, в том числе те, что изначально не задумывались как доступные через интернет.

В течение следующих 60 дней CISA намерено опубликовать руководство по реализации VDP в программах по обеспечению информационной безопасности ведомств. В течение 180 дней госорганы должны разработать или обновить существующие политики раскрытия уязвимостей с учетом новых требований.