Публічний меморандум
про взаємодію у сфері відповідального пошуку та розкриття інформації про вразливості інформаційно-телекомунікаційних систем та/або телекомунікаційних мереж
- Загальні положення.
- Публічний меморандум про взаємодію з Департаментом реєстрації Харківської міської ради у сфері відповідального пошуку та розкриття інформації про вразливості офіційного сайту https://dr.city.kharkov.ua (далі – Меморандум) є формою реалізації відносин між Департаментом реєстрації Харківської міської ради (далі – Департамент) та фізичними/юридичними особами (далі – Дослідники), разом – Сторони, відповідно до статей 11, 25 Закону України “Про місцеве самоврядування в Україні”, статей 4, 5, 10, 11 Закону України “Про основні засади забезпечення кібербезпеки”.
- Меморандум засвідчує взаємну домовленість Сторін і призначений для фіксації інформації про принципові засади взаємодії та співробітництва Сторін на добровільних і безоплатних засадах.
- Мета Меморандуму.
- Метою Меморандуму є взаємодія Департаменту та Дослідників щодо відповідального пошуку, розкриття інформації про вразливості сайту https://dr.city.kharkov.ua (далі – Сайт) та підвищення рівня кібербезпеки сайту Департаменту.
- Предмет Меморандуму.
- Предметом регулювання Меморандуму є спільна суспільно-корисна діяльність з відповідального пошуку та розкриття інформації про вразливості Сайту, здійснення якої не суперечить чинному законодавству України та є сприянням виконанню Департаментом його повноважень.
- Межі регулювання Меморандуму охоплюють частину суспільно-правових відносин, які передують, супроводжують пошук та розкриття інформації про вразливості Сайту та завершуються після фактичного повідомлення Департаменту інформації (даних) про такі вразливості.
- Сторони Меморандуму.
- Стороною здійснення відповідального пошуку та розкриття інформації про вразливості Сайту виступає Дослідник, яким є фізична/юридична особа, яка добровільно виявила намір взаємодіяти з Департаментом, у тому числі на умовах анонімності, з питань, які є предметом Меморандуму. Виявленням такого добровільного наміру Дослідника є погодження ним умов Меморандуму та повідомлення своїх технічних реєстраційних даних, в тому числі пропозиції власного публічного ідентифікатора, який не ототожнюється з персональними даними.
- Департамент є Стороною Меморандуму, що діє в межах чинного законодавства і підтверджує намір взаємодіяти з Дослідником з питань, що складають предмет Меморандуму. Підтвердженням такого наміру Департаменту є реєстрація Дослідника та погодження запропонованого ним публічного ідентифікатора.
- Організація взаємодії.
- З метою реалізації Меморандуму Сторони в межах наявних ресурсів забезпечують здійснення таких процесів (процедур):
- Сторони підтверджують свої наміри шляхом відправлення баг-тікету на відповідній сторінці сайту.
- Дослідник здійснює пошук інформації про вразливості Сайту та передає Департаменту звіт-повідомлення у такій формі:
- Назва вразливості.
- Демонстрація вразливості, яка передбачає опис кроків з відтворення вразливості, порцій мережевого трафіку або HTTP-сесії, знімки екрану, що демонструють вразливість, копій даних оперативної пам'яті, відео-демонстрація відтворення вразливості (необов'язково), тощо.
- Суб’єктивна оцінка рівня ризику вразливості.
- Пояснення щодо рівня ризику (необов'язково).
- Департамент впродовж 10 діб здійснює розгляд інформації про вразливості Сайту, який передбачає попередню експертну оцінку для визначення рівня ризику знайдених вразливостей. Звіти-повідомлення про вразливості у довільній формі, як правило, не розглядаються.
- За результатами розгляду звіту-повідомлення Департамент може поінформувати громадськість через засоби масової інформації про поточну позицію у рейтингу найкращих Дослідників.
- Складання рейтингу найкращих Дослідників відбувається шляхом перерахування кількості та рівня ризику поданих Дослідником звітів-повідомлень, що враховані Департаментом, з урахуванням таких пріоритетів:
- Підтверджена кількість звітів-повідомлень.
- Як правило, вразливості, що класифікуються як Р5, не враховуються.
- В окремих випадках, зазначені у п. 5.1.6 або інші вразливості, можуть бути враховані через їх наявність у критичних системах або демонстрації Дослідником високого рівня відповідного ризику.
- Умови відповідального пошуку.
- Для пошуку вразливостей інформаційно-телекомунікаційних систем встановлюються такі істотні умови:
- Вразливість повинна існувати в актуальній версії системи.
- Дослідник повинен надати фактичні докази існування вразливості (Proof of Concept) у запропонованій формі звіту-повідомлення.
- Дослідник повинен дотримуватись норм етичної поведінки: використовувати лише тестові облікові записи, що йому належать, а також утримуватися від отримання доступу до персональних та інших даних з обмеженим доступом та облікових записів інших користувачів.
- Дослідник зобов'язується не використовувати системи автоматичного тестування, які генерують обсяги мережевого трафіку та можуть вплинути на працездатність або доступність інформаційно-телекомунікаційних систем.
- Пошук вразливостей не може здійснюватися шляхом атак відмови в обслуговуванні (DoS/DDoS) або інших дій, вчинення яких містять склади злочинів, передбачених Кримінальним кодексом України.
- Умови відповідального розкриття
- Про врахований звіт-повідомлення Департамент, як правило, упродовж 2-х діб після його отримання, інформує Дослідника через електрону почту.
- Якщо по закінченню 10 діб Дослідник не отримав інформування від Департаменту, звіт-повідомлення слід вважати не врахованим.
- Сторони зобов’язуються обмежитись щодо публічного розкриття інформації про вразливість або фактичні обставини її виявлення до її виправлення та отримання письмового дозволу Департаменту.
- Департамент здійснює розкриття інформації про вразливість обмеженому колу осіб з метою попередження кібернетичних інцидентів та кібератак чи іншої законної діяльності Департаменту.
- Інші умови та обмеження.
- Департамент може на власний розсуд відмовити у реєстрації публічного ідентифікатора, якщо його найменування порушує чинне законодавство України або права та інтереси будь-якої фізичної або юридичної особи.
- Меморандум не передбачає винагороди у будь-якій матеріальній формі і тому не може розглядатись як публічна обіцянка винагороди.
- Процедура розгляду звітів-повідомлень не є конкурсом у розумінні статей 1150 – 1157 Цивільного кодексу України через відсутність істотних умов (предмету та винагороди), тому будь-які витрати, що поніс Дослідник під час підготовки або дослідження вразливостей (в тому числі й тих, що залишились не врахованими), не відшкодовуються. Департамент не несе відповідальності за незаконні дії Дослідника.
- У разі, якщо Дослідник планує використовувати власний публічний ідентифікатор та його позицію у рейтингу найкращих Дослідників, як нематеріальний актив, обов'язок доведення авторства належить лише Досліднику, так само як і будь-які майнові ризики, пов'язані із розкриттям авторства (ототожненням фізичної особи з її публічним ідентифікатором) Дослідника.
- Дослідник дозволяє Департаменту з метою виконання законодавчо визначених повноважень використовувати об’єкти права інтелектуальної власності, створені в процесі виконання Меморандуму.
- Департамент залишає за собою право змінювати умови цього Меморандуму, у тому числі й за зверненнями Дослідників, юридичних або фізичних осіб у порядку, визначеному законодавством України.
Будь ласка, слідкуйте за оновленнями.