29.11.2019 | МНБ США требует от гражданских учреждений создать политики раскрытия уязвимостей |
Министерство внутренней безопасности США опубликовало проект под названием Binding Operational Directive (BOD), обязывающий гражданские ведомства создавать программы для работы с привлеченными со стороны исследователями безопасности для нахождения и исправления уязвимостей в программном обеспечении на web-сайтах и в приложениях. Согласно проекту приказа, гражданским ведомствам необходимо сформировать политики раскрытия уязвимостей (vulnerability disclosure policies, VDP) в течение шести месяцев после публикации документа. Данные политики распространены в частном секторе, но практически не встречаются в правительственных организациях. «Стремясь к общественному обсуждению, мы также понимаем, что требование к отдельным предприятиям придерживаться политики раскрытия информации об уязвимостях никогда ранее не выполнялось и, конечно же, не в таких масштабах», — сообщила заместитель директора CISA по кибербезопасности Жанетт Манфра (Jeanette Manfra). Данные изменения в работе гражданских ведомств также будут координироваться Административно-бюджетным управлением США, которое выпустило собственное руководство для учреждений, готовящихся к формированию VDP. |
Проверить безопасность сайта