Jump to content

Уязвимости Акции Процесс

Vulnerabilities Equities Process ( VEP ) — ​​это процесс, используемый федеральным правительством США для определения в каждом конкретном случае того, как ему следует обрабатывать нулевого дня уязвимости в компьютерной безопасности : следует ли раскрывать их общественности, чтобы помочь улучшить общую компьютерную безопасность. или держать их в секрете для использования в наступательных целях против противников правительства. [1]

Впервые VEP был разработан в период 2008–2009 годов, но стал достоянием общественности только в 2016 году, когда правительство выпустило отредактированную версию VEP в ответ на запрос FOIA Foundation Electronic Frontier . [2] [3]

После общественного давления с требованием большей прозрачности после дела Shadow Brokers правительство США более публично раскрыло процесс VEP в ноябре 2017 года. [1] [4]

Участники

[ редактировать ]

Согласно плану VEP, опубликованному в 2017 году, Совет по обзору акций (ERB) является основным форумом для межведомственных обсуждений и принятия решений относительно VEP. [4] Еврорадио собирается ежемесячно, но может быть созвано и раньше, если возникнет острая необходимость.

В состав Еврорадио входят представители следующих агентств:

Агентство национальной безопасности является исполнительным секретариатом VEP. [4]

Процесс

[ редактировать ]

Согласно версии VEP от ноября 2017 года, процесс выглядит следующим образом:

Подача и уведомление

[ редактировать ]

Когда агентство обнаруживает уязвимость, оно уведомляет секретариат VEP как можно скорее. Уведомление будет включать описание уязвимости и уязвимых продуктов или систем, а также рекомендацию агентства либо распространять, либо ограничивать информацию об уязвимостях.

Затем секретариат уведомит всех участников о представлении в течение одного рабочего дня, попросив их ответить, если у них есть соответствующий интерес. [4]

Справедливость и дискуссии

[ редактировать ]

Агентство, выражающее интерес, должно указать, согласно ли оно с первоначальной рекомендацией о распространении или ограничении, в течение пяти рабочих дней. Если этого не произойдет, он проведет обсуждения с представляющим агентством и секретариатом VEP в течение семи рабочих дней, чтобы попытаться достичь консенсуса. Если консенсус не будет достигнут, участники предложат варианты Совету по обзору акций. [4]

Решение распространить или ограничить

[ редактировать ]

Решения о том, раскрывать или ограничивать уязвимость, должны приниматься быстро, после полных консультаций со всеми заинтересованными ведомствами и в общих интересах конкурирующих интересов миссий правительства США. Насколько это возможно, определения должны основываться на рациональных, объективных методологиях, принимая во внимание такие факторы, как распространенность, надежность и тяжесть заболевания.

Если члены наблюдательного совета не смогут достичь консенсуса, они проголосуют за предварительное решение. Если агентство, имеющее акционерный капитал, оспаривает это решение, оно может, направив уведомление в секретариат VEP, принять решение оспорить предварительное решение. Если ни одно агентство не оспаривает предварительное решение, оно будет считаться окончательным решением. [4]

Обработка и последующие действия

[ редактировать ]

Если информация об уязвимостях будет раскрыта, это будет сделано как можно быстрее, желательно в течение семи рабочих дней.

Раскрытие уязвимостей будет осуществляться в соответствии с руководящими принципами, согласованными всеми участниками. Предполагается, что агентство, подавшее заявку, наиболее осведомлено об уязвимости и, как таковое, будет нести ответственность за распространение информации об уязвимости поставщику. Представляющее агентство может принять решение делегировать ответственность за распространение другому агентству от своего имени.

Выдающее агентство незамедлительно предоставит копию раскрытой информации в секретариат VEP для ведения учета. Кроме того, ожидается, что выдающее агентство проследит за этим, чтобы Еврорадио могло определить, соответствуют ли действия поставщика государственным требованиям. Если поставщик решает не устранять уязвимость или не принимает срочных мер, соответствующих риску уязвимости, выпускающее агентство уведомит об этом секретариат, и правительство может предпринять другие шаги по смягчению последствий. [4]

Критика

[ редактировать ]

Процесс VEP подвергался критике за ряд недостатков, включая ограничения соглашениями о неразглашении, отсутствие рейтингов риска, особый подход к АНБ и менее искреннюю приверженность раскрытию информации как вариант по умолчанию. [5]

Ссылки

[ редактировать ]
  1. ^ Перейти обратно: а б Ньюман, Лили Хэй (15 ноября 2017 г.). «Федералы объясняют свои тайники с ошибками в программном обеспечении, но не снимают опасений» . ПРОВОДНОЙ . Проверено 16 ноября 2017 г.
  2. ^ Электронный информационный центр конфиденциальности. «Процесс уязвимостей акций» . эпик.орг . Проверено 16 ноября 2017 г. {{cite web}}: |author= имеет общее имя ( справка )
  3. ^ «Процесс оценки уязвимостей (VEP)» . Фонд электронных границ . 18 января 2016 года . Проверено 16 ноября 2017 г.
  4. ^ Перейти обратно: а б с д и ж г «Политика и процесс в отношении уязвимых акций правительства США» (PDF) . Белый дом . 15 ноября 2017 г. Проверено 16 ноября 2017 г. - из Национального архива .
  5. ^ Маккарти, Кирен (15 ноября 2017 г.). «Четыре проблемы с последним сводом правил правительства США по раскрытию ошибок безопасности» . Регистр . Проверено 16 ноября 2017 г.

См. также

[ редактировать ]
Retrieved from "https://en.wikipedia.org/w/index.php?title=Vulnerabilities_Equities_Process&oldid=1238900631"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 6b8be18721d5a3d0ee999d00045c41f8__1722922200
URL1:https://arc.ask3.ru/arc/aa/6b/f8/6b8be18721d5a3d0ee999d00045c41f8.html
Заголовок, (Title) документа по адресу, URL1:
Vulnerabilities Equities Process - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)