Общие положения
Настоящая Политика раскрытия информации об уязвимостях кибербезопасности (далее — «Политика») описывает порядок, в котором ООО «КиберНова» (далее — «Компания») раскрывает информацию об уязвимостях кибербезопасности затронутым вендорам (поставщикам).
Политика соответствует как лучшим практикам, так и фактически действующим стандартам раскрытия информации об уязвимостях. Компания придерживается принципа координируемого раскрытия и стандартного срока раскрытия информации по схеме 90 + 30 дней.
Основные положения
- ▹Компания придерживается сроков раскрытия информации об уязвимостях 90 + 30. 90 (девяносто) дней отводится на исправление уязвимости и дополнительные (необязательные) 30 (тридцать) дней — на передачу обновления безопасности третьим лицам.
- ▹В течение 30 (тридцати) дней Компания вправе опубликовать видеоролик с демонстрацией уязвимости, который не будет раскрывать техническую информацию об уязвимости; дата публикации согласуется с вендором.
- ▹Если Компания не смогла связаться с вендором всеми практически доступными способами, то по истечении 15 (пятнадцати) рабочих дней с момента первой попытки связаться с вендором Компания вправе опубликовать сведения об уязвимости в общедоступном информационном сообщении.
- ▹Компания оставляет за собой право опубликовать сведения о выявленной ранее неизвестной уязвимости через 7 (семь) дней с момента первой попытки связаться с вендором в том случае, если наблюдается её активная эксплуатация, даже если исправление безопасности ещё не выпущено.
- ▹Если в указанные сроки вендор не может выпустить обновление безопасности для устранения уязвимости или принимает решение не делать этого, Компания оставляет за собой право опубликовать выжимку из переписки с вендором по поводу указанной проблемы безопасности.
Оповещение вендора
Компания ответственно и незамедлительно сообщает соответствующему вендору об уязвимости в его продукте (продуктах) или сервисе (сервисах). Одновременно с оповещением вендора Компания вправе через защищённые каналы разослать своим клиентам правила фильтрации или обнаружения попыток эксплуатации выявленной уязвимости.
Сроки раскрытия информации
Компания придерживается стандартного срока раскрытия информации 90 + 30 дней. Мы сообщаем вендорам об уязвимостях немедленно. Информация об уязвимости публикуется через 90 (девяносто) дней с даты уведомления вендора или ранее в случае выпуска исправлений вендором. По запросу вендору могут быть предоставлены дополнительные 30 (тридцать) дней после выпуска исправлений, чтобы дать третьим лицам время на получение и установку обновления безопасности. Настоящий срок может быть изменён в следующих случаях:
- ▹Компания приложит все возможные усилия, чтобы связаться с затронутыми вендорами общедоступными способами. Если вендор не ответит в течение 10 (десяти) дней после отправки первого уведомления, Компания вправе попытаться связаться с вендором через посредника. Если Компания предприняла все разумные меры, но не смогла связаться с вендором, то по истечении 15 (пятнадцати) рабочих дней с момента первого уведомления Компания вправе опубликовать сведения об уязвимости в общедоступном информационном сообщении.
- ▹Если последний день срока приходится на нерабочий день, днём окончания срока считается следующий рабочий день.
- ▹Если вендор до истечения 90-дневного срока сообщит нам, что планирует выпустить исправление в конкретный день не позже 14 (четырнадцати) дней после истечения срока, то мы отложим публикацию информации до момента доступности такого исправления.
- ▹Дополнительные 30 (тридцать) дней на доставку исправления третьим сторонам не предоставляются вендору, если такое исправление не было готово к концу 90-дневного срока.
- ▹Если мы наблюдаем ранее неизвестную и не исправленную уязвимость в ПО, которая активно эксплуатируется (уязвимость нулевого дня), мы считаем уместным предпринять более срочные меры в течение 7 (семи) дней. Каждый день, пока активно эксплуатируемая уязвимость остаётся публично неизвестной и неисправленной, компрометации подвергается всё больше устройств или учётных записей. Семи дней достаточно, чтобы опубликовать рекомендации по возможным мерам защиты: временное отключение службы, ограничение доступа или обращение к вендору за дополнительной информацией. Если в течение 7 (семи) дней не было опубликовано исправление или информационное сообщение об уязвимости, мы опубликуем данные об уязвимости, чтобы дать сообществу возможность её исследовать, а пользователям — защититься от эксплуатации.
- ▹Если в оговорённый срок вендор не сможет подготовить обновление безопасности для закрытия найденной уязвимости или примет решение не делать этого, Компания предложит вендору в сотрудничестве опубликовать данные об уязвимости и предложить пользователям эффективные обходные пути. Мы не считаем корректным утаивать информацию об обнаруженной уязвимости из-за нежелания вендора работать над её исправлением, и планируем публиковать краткие отчёты о переписке с вендорами по проблемам указанного характера.
Публикация информации об уязвимости
Компания вправе назначить общедоступную веб-страницу, на которой будет публиковаться актуальная информация о статусе уязвимости. На такой странице не подлежит раскрытию подробная техническая информация об уязвимости до истечения установленных сроков. Компания вправе опубликовать на такой странице видеоролик с демонстрацией уязвимости, не раскрывая при этом подробной технической информации. Видеоролик заранее согласовывается с вендором, чтобы исключить раскрытие в нём технической информации, и подлежит публикации в течение 30 (тридцати) дней; дата публикации согласуется с вендором.
Контакты
По вопросам, связанным с раскрытием информации об уязвимостях, обращайтесь по указанным ниже контактам: