Это Национальный центр безопасность в киберпространстве (NCSC) в Соединенном Королевстве выпустила руководство по помогать компаниям внедрять или улучшать политики отчетности об уязвимостях в системы им.
Руководство называется "Набор инструментов раскрытия уязвимостей"И подчеркивает, что все организации, независимо от их размера, должны применять подход ответственное сообщение об ошибках, что означает, что любой найдет уязвимость сможет легко сообщить об этом, и мы сразу же ответим εταιρεία.
Политика сообщения об ошибках станет законом
Процесс выявления уязвимостей очень важен, так как большинство нападки в киберпространстве является результатом одной или нескольких уязвимостей. Исследователи постоянно обнаруживают новые ошибки и пытаются их исправить.
Сообщать о проблемах может быть очень сложно, потому что часто те, кто находит уязвимости, не знают, куда обратиться и к кому сообщить о них.
Уязвимости постоянно выявляются, и люди хотят иметь возможность сообщать о них непосредственно ответственной организации.Говорит NCSC Соединенного Королевства.
Компании, которые хотят уменьшить количество уязвимостей в системы они должны предоставить более безопасные продукты и услуги. Таким образом, они могут снизить вероятность стать жертвой кибератаки.
Наличие определенного процесса сообщения об уязвимостях показывает, что ваше тело относится к этому серьезно безопасность. Обеспечивая четкий процесс, организации они могут получать информацию немедленно, для устранения уязвимости и снижения риска взлома. Этот процесс предоставляет способ отчетности и определенную политику в отношении того, как организация будет реагировать", - сказали в NCSC.
Это документ опубликованный NCSC не является "сводом правил" для более легкое обнаружение уязвимостей. В основном он предоставляет основную информацию о приложение такую политику или улучшить ее, если некоторые компании уже ее внедряют.
Как мы читаем в BleepingComputer, документ разделен на три основных раздела, в которых описывается, как третьи стороны могут легко обнаружить уязвимости.
NCSC рекомендует создание и предоставление эксклюзивного «контакта»”(Адрес электронной почты или защищенная веб-форма), которую может легко найти любой, кто хочет сообщить об уязвимостях. Это легко сделать с помощью security.txt стандарт, простой текстовый файл.
Это файл это может включать контактные данные отдела безопасность компании и Политика раскрытия уязвимостей. Кроме того, может быть включен открытый ключ, если требуется зашифрованная связь и предпочтительные языки. NCSC дает один файл security.txt Например.
Η немедленный ответ в отчете об уязвимости необходимо. Компания должна быть в прямом контакте с человеком, который обнаружит уязвимость, и даже поблагодарить его.
NCSC советует компаниям избегать принуждения «исследователя уязвимостей» к подписанию соглашения о неразглашении.поскольку человек просто пытается убедиться, что уязвимость была исправлена».
Немедленный отклик компании и информация исследователя о ходе исправления, показывает прозрачность и оценка его усилий.
Выпуск «Инструментария раскрытия уязвимостей» является прелюдией к интеграция процесса отчетности об уязвимостях в законодательство Великобритании.
Greek
Chinese (Simplified)
English
Greek
Russian![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/267093/hnwmeno-basileio-etaireies-safhs-politikh-anaforas-eypatheiwn/&media=https://pics.imgrapid.com/wp-content/uploads/2020/09/NCSC.png&description=Το NCSC συνιστά στις εταιρείες να αποφύγουν να αναγκάσουν τον "ερευνητή-ανιχνευτή ευπαθειών" να υπογράψει μια συμφωνία μη αποκάλυψης){kind=link}