Министерство цифрового развития, инноваций и аэрокосмической промышленности РК опубликовало проект правил функционирования программы взаимодействия с исследователями информационной безопасности. Их можно обсудить на портале НПА.
В документе говорится о том, что к программе взаимодействия подключаются объекты информатизации государственных органов, имеющие доступ к Интернету. Собственники или владельцы объектов информатизации государственных органов, для подключения к программе, разрабатывают и утверждают план исследования, затем направляют план исследования оператору для размещения на интернет-ресурсе. Исследователь при регистрации на ресурсе программы взаимодействия получает токен. К слову, не допускается разглашение токена исследователем третьим лицам и использование токенов третьих лиц.
«Исследования объектов информатизации государственных органов без маркировки токеном считаются несанкционированной атакой на объекты информатизации государственных органов. При исследовании объектов информатизации государственных органов на наличие уязвимостей исследователю не допускается: исследовать IP-адреса и доменные имена, не указанные на Интернет-ресурсе программы взаимодействия; использовать инструменты для автоматического сканирования объектов информатизации, за исключением случаев, согласованных собственником или владельцем объектов информатизации государственных органов; реализовывать атаки, осуществлять попытку эксплуатации уязвимости, наносящих вред целостности и доступности объектов информатизации государственных органов, за исключением минимального объема тестирования, указанного в плане исследования и достаточного для доказательства существования уязвимости или выявления индикатора, связанного с уязвимостью», — указано в проекте.
Также нельзя вникать в содержимое любых сообщений, данных и информации, передаваемых или хранящихся в объектах информатизации государственных органов, за исключением случаев, когда информация напрямую связана с уязвимостью и доступ необходим для доказательства существования уязвимости.
«Исследователь по каждой выявленной уязвимости представляет отдельный отчет. Отчет включает: наименование объекта информатизации государственного органа, в котором выявлена уязвимость; тип уязвимости; уровень критичности уязвимости; пошаговая инструкция по воспроизведению уязвимости; подтверждение концепции с приложением подтверждающих документов; влияние уязвимости на целостность и (или) конфиденциальность и (или) доступность объекта информатизации государственного органа; рекомендации по устранению уязвимости и (или) рекомендации, направленные на минимизацию рисков эксплуатации уязвимости», — написано в документе.
Размер вознаграждения определяется уровнем критичности выявленной уязвимости, который подтвержден оператором.