28/11/19
Министерство внутренней безопасности США опубликовало проект под названием Binding Operational Directive (BOD), обязывающий гражданские ведомства создавать программы для работы с привлеченными со стороны исследователями безопасности для нахождения и исправления уязвимостей в программном обеспечении на web-сайтах и в приложениях.
Согласно проекту приказа, гражданским ведомствам необходимо сформировать политику раскрытия уязвимостей (vulnerability disclosure policies, VDP) в течение шести месяцев после публикации документа. Данные требования распространены в частном секторе, но практически не встречаются в правительственных организациях.
«Стремясь к общественному обсуждению, мы также понимаем, что требование к отдельным предприятиям придерживаться политики раскрытия информации об уязвимостях никогда ранее не выполнялось и, конечно же, не в таких масштабах», — сообщила заместитель директора CISA по кибербезопасности Жанетт Манфра (Jeanette Manfra).
Данные изменения в работе гражданских ведомств также будут координироваться Административно-бюджетным управлением США, которое выпустило собственное руководство для учреждений, готовящихся к формированию VDP.
