网络安全和基础架构安全局(CISA)发布了 草稿版本 于11月27日签署《约束性操作指令(BOD)20-01》,该法案将要求联邦机构为联网系统建立漏洞披露政策。

该政策草案将要求机构为未经请求的披露报告建立联系点,为漏洞披露建立处理程序,并发布一项政策,阐明在哪些系统上允许进行何种类型的测试。该计划的最终范围将是所有不被视为国家安全系统的联邦互联网连接系统,要求机构在前270天向该计划添加至少一个系统,并且每个计划至少添加一个新系统。此后90天。

该政策草案指出:“通过实施漏洞披露政策,代理机构可以使公众更容易知道向何处发送报告,为哪些系统授权了哪些类型的测试以及可以进行何种通信。”

BOD不会建立联邦级或国家级的漏洞披露程序。尽管该政策与旨在支持错误赏金计划的管理和预算办公室一致,但该政策也不会要求机构补偿举报漏洞的人(又名漏洞赏金计划)。

“我们认为针对执行部门的单一通用漏洞披露政策是一个好目标。 CISA网络安全助理总监Jeanette Manfra表示:“当每个机构都拥有范围内所有可通过互联网访问的系统时,这尤其有意义,但我们希望该目标对于大多数机构而言都是不切实际的起点。” 博客文章.

政策草案的发布还附带披露表草案,建议机构根据联邦机构或标准组织的现有计划对政策进行建模。

该政策已接受公众评论,评论期将于12月27日结束。

阅读更多关于
最近的
更多主题
关于
乔什·梅奥
乔什·梅奥
乔什·梅约(Josh Mayo)是MeriTalk员工记者,报道政府与技术的交汇处。
标签