Законодавство
Затверджено механізм пошуку вразливостей в інформаційно-комунікаційних системах
Набрала чинності постанова Кабінету Міністрів України від 16 травня 2023 р. № 497, якою визначено механізм здійснення пошуку та виявлення потенційної вразливості інформаційних (автоматизованих), електронних комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних мереж.
Зокрема передбачено, що організація пошуку потенційної вразливості системи здійснюється її власником, а у разі потреби власник системи може прийняти рішення про залучення координатора для організації пошуку потенційної вразливості системи. Залучення координатора відбувається шляхом укладення між власником системи та координатором договору про надання послуг з організації пошуку потенційної вразливості системи.
Пошук потенційної вразливості системи здійснюється на підставі публічної пропозиції, яка оприлюднюється власником системи на власному офіційному веб-сайті. У разі залучення власником системи координатора публічна пропозиція оприлюднюється координатором на його власному офіційному веб-сайті. У такому разі власник системи оприлюднює на своєму офіційному веб-сайті посилання на відповідну сторінку веб-сайту координатора.
Публічна пропозиція викладається українською мовою, при цьому додатково власник системи або координатор може викласти пропозицію іноземною мовою, яка є офіційною мовою Ради Європи.
Публічна пропозиція розробляється власником системи або координатором відповідно до примірної публічної пропозиції про здійснення пошуку та виявлення потенційної вразливості інформаційних (автоматизованих), електронних комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних мереж і методичних рекомендацій з розроблення публічної пропозиції про здійснення пошуку та виявлення потенційної вразливості інформаційних (автоматизованих), електронних комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних мереж, що затверджуються Адміністрацією Держспецзв’язку.
Читайте також: Публічний моніторинг ринку земель вестиме Держгеокадастр
У публічній пропозиції визначаються, зокрема:
– інформація про систему, пошук потенційної вразливості якої здійснюється;
– дії дослідника щодо системи, які йому заборонено проводити;
– порядок надання дослідником звіту, вимоги до його підготовки, форми;
– розмір, форма, порядок і умови виплати винагороди досліднику, який надав звіт, за результатами розгляду якого власник системи прийняв рішення про внесення змін до системи, та/або публічне висловлювання подяки;
– період нерозголошення інформації про вразливість системи, що становить не більше шести місяців з дати реєстрації звіту.
Власник системи або координатор може визначити додаткові умови до публічної пропозиції з урахуванням секторальної (галузевої) специфіки функціонування системи.
Під час пошуку потенційної вразливості системи дослідник може:
– здійснювати збір інформації про систему та умови її використання у відкритих джерелах;
– аналізувати та вивчати документацію щодо роботи системи, оприлюднену власником системи або власником прав інтелектуальної власності на систему;
– здійснювати збір публічно доступних даних про інфраструктуру та інтерфейси системи, сканувати мережу, хости і сервіси без подолання систем логічного захисту;
– використовувати системи за призначенням і здійснювати нагляд за функціонуванням системи без порушення штатного режиму функціонування;
– аналізувати алгоритми штатного режиму функціонування системи, порядок та результати виконання нею завдань, здійснювати пошук ознак поширеної вразливості системи, виявленої в інших системах;
– здійснювати зворотний інжиніринг, декомпіляцію, дизасемблювання, відтворення системи в тестовому середовищі, модифікацію системи з метою пошуку її вразливості та проводити інші дії за згодою власника системи та власника прав інтелектуальної власності на систему та її компоненти, крім випадків, передбачених ст. 24 Закону України «Про авторське право і суміжні права».
Після завершення пошуку потенційної вразливості системи дослідник повідомляє про результати власнику системи або координатору згідно з умовами публічної пропозиції та подає йому звіт.
Дія затвердженого Порядку не поширюється на інформаційні (автоматизовані), електронні комунікаційні, інформаційно-комунікаційні системи, електронні комунікаційні мережі, в яких обробляється службова інформація та/або інформація, що становить державну таємницю, розвідувальну таємницю, банківську таємницю.