alt

Публічний меморандум
про взаємодію у сфері відповідального пошуку та розкриття інформації про вразливості інформаційно-телекомунікаційних систем та/або телекомунікаційних мереж

  1. Загальні положення.
    1. Публічний меморандум про взаємодію з Департаментом реєстрації Харківської міської ради у сфері відповідального пошуку та розкриття інформації про вразливості офіційного сайту https://dr.city.kharkov.ua (далі – Меморандум) є формою реалізації відносин між Департаментом реєстрації Харківської міської ради (далі – Департамент) та фізичними/юридичними особами (далі – Дослідники), разом – Сторони, відповідно до статей 11, 25 Закону України “Про місцеве самоврядування в Україні”, статей 4, 5, 10, 11 Закону України “Про основні засади забезпечення кібербезпеки”.
    2. Меморандум засвідчує взаємну домовленість Сторін і призначений для фіксації інформації про принципові засади взаємодії та співробітництва Сторін на добровільних і безоплатних засадах.
  2. Мета Меморандуму.
    1. Метою Меморандуму є взаємодія Департаменту та Дослідників щодо відповідального пошуку, розкриття інформації про вразливості сайту https://dr.city.kharkov.ua (далі – Сайт) та підвищення рівня кібербезпеки сайту Департаменту.
  3. Предмет Меморандуму.
    1. Предметом регулювання Меморандуму є спільна суспільно-корисна діяльність з відповідального пошуку та розкриття інформації про вразливості Сайту, здійснення якої не суперечить чинному законодавству України та є сприянням виконанню Департаментом його повноважень.
    2. Межі регулювання Меморандуму охоплюють частину суспільно-правових відносин, які передують, супроводжують пошук та розкриття інформації про вразливості Сайту та завершуються після фактичного повідомлення Департаменту інформації (даних) про такі вразливості.
  4. Сторони Меморандуму.
    1. Стороною здійснення відповідального пошуку та розкриття інформації про вразливості Сайту виступає Дослідник, яким є фізична/юридична особа, яка добровільно виявила намір взаємодіяти з Департаментом, у тому числі на умовах анонімності, з питань, які є предметом Меморандуму. Виявленням такого добровільного наміру Дослідника є погодження ним умов Меморандуму та повідомлення своїх технічних реєстраційних даних, в тому числі пропозиції власного публічного ідентифікатора, який не ототожнюється з персональними даними.
    2. Департамент є Стороною Меморандуму, що діє в межах чинного законодавства і підтверджує намір взаємодіяти з Дослідником з питань, що складають предмет Меморандуму. Підтвердженням такого наміру Департаменту є реєстрація Дослідника та погодження запропонованого ним публічного ідентифікатора.
  5. Організація взаємодії.
    1. З метою реалізації Меморандуму Сторони в межах наявних ресурсів забезпечують здійснення таких процесів (процедур):
      1. Сторони підтверджують свої наміри шляхом відправлення баг-тікету на відповідній сторінці сайту.
      2. Дослідник здійснює пошук інформації про вразливості Сайту та передає Департаменту звіт-повідомлення у такій формі:
        1. Назва вразливості.
        2. Демонстрація вразливості, яка передбачає опис кроків з відтворення вразливості, порцій мережевого трафіку або HTTP-сесії, знімки екрану, що демонструють вразливість, копій даних оперативної пам'яті, відео-демонстрація відтворення вразливості (необов'язково), тощо.
        3. Суб’єктивна оцінка рівня ризику вразливості.
        4. Пояснення щодо рівня ризику (необов'язково).
      3. Департамент впродовж 10 діб здійснює розгляд інформації про вразливості Сайту, який передбачає попередню експертну оцінку для визначення рівня ризику знайдених вразливостей. Звіти-повідомлення про вразливості у довільній формі, як правило, не розглядаються.
      4. За результатами розгляду звіту-повідомлення Департамент може поінформувати громадськість через засоби масової інформації про поточну позицію у рейтингу найкращих Дослідників.
      5. Складання рейтингу найкращих Дослідників відбувається шляхом перерахування кількості та рівня ризику поданих Дослідником звітів-повідомлень, що враховані Департаментом, з урахуванням таких пріоритетів:
        1. Підтверджена кількість звітів-повідомлень.
      6. Як правило, вразливості, що класифікуються як Р5, не враховуються.
      7. В окремих випадках, зазначені у п. 5.1.6 або інші вразливості, можуть бути враховані через їх наявність у критичних системах або демонстрації Дослідником високого рівня відповідного ризику.
  6. Умови відповідального пошуку.
    1. Для пошуку вразливостей інформаційно-телекомунікаційних систем встановлюються такі істотні умови:
      1. Вразливість повинна існувати в актуальній версії системи.
      2. Дослідник повинен надати фактичні докази існування вразливості (Proof of Concept) у запропонованій формі звіту-повідомлення.
      3. Дослідник повинен дотримуватись норм етичної поведінки: використовувати лише тестові облікові записи, що йому належать, а також утримуватися від отримання доступу до персональних та інших даних з обмеженим доступом та облікових записів інших користувачів.
      4. Дослідник зобов'язується не використовувати системи автоматичного тестування, які генерують обсяги мережевого трафіку та можуть вплинути на працездатність або доступність інформаційно-телекомунікаційних систем.
    2. Пошук вразливостей не може здійснюватися шляхом атак відмови в обслуговуванні (DoS/DDoS) або інших дій, вчинення яких містять склади злочинів, передбачених Кримінальним кодексом України.
  7. Умови відповідального розкриття
    1. Про врахований звіт-повідомлення Департамент, як правило, упродовж 2-х діб після його отримання, інформує Дослідника через електрону почту.
    2. Якщо по закінченню 10 діб Дослідник не отримав інформування від Департаменту, звіт-повідомлення слід вважати не врахованим.
    3. Сторони зобов’язуються обмежитись щодо публічного розкриття інформації про вразливість або фактичні обставини її виявлення до її виправлення та отримання письмового дозволу Департаменту.
    4. Департамент здійснює розкриття інформації про вразливість обмеженому колу осіб з метою попередження кібернетичних інцидентів та кібератак чи іншої законної діяльності Департаменту.
  8. Інші умови та обмеження.
    1. Департамент може на власний розсуд відмовити у реєстрації публічного ідентифікатора, якщо його найменування порушує чинне законодавство України або права та інтереси будь-якої фізичної або юридичної особи.
    2. Меморандум не передбачає винагороди у будь-якій матеріальній формі і тому не може розглядатись як публічна обіцянка винагороди.
    3. Процедура розгляду звітів-повідомлень не є конкурсом у розумінні статей 1150 – 1157 Цивільного кодексу України через відсутність істотних умов (предмету та винагороди), тому будь-які витрати, що поніс Дослідник під час підготовки або дослідження вразливостей (в тому числі й тих, що залишились не врахованими), не відшкодовуються. Департамент не несе відповідальності за незаконні дії Дослідника.
    4. У разі, якщо Дослідник планує використовувати власний публічний ідентифікатор та його позицію у рейтингу найкращих Дослідників, як нематеріальний актив, обов'язок доведення авторства належить лише Досліднику, так само як і будь-які майнові ризики, пов'язані із розкриттям авторства (ототожненням фізичної особи з її публічним ідентифікатором) Дослідника.
    5. Дослідник дозволяє Департаменту з метою виконання законодавчо визначених повноважень використовувати об’єкти права інтелектуальної власності, створені в процесі виконання Меморандуму.
    6. Департамент залишає за собою право змінювати умови цього Меморандуму, у тому числі й за зверненнями Дослідників, юридичних або фізичних осіб у порядку, визначеному законодавством України.


Будь ласка, слідкуйте за оновленнями.