3.1. Обработка информации об уязвимостях, поступившей от изготовителей

3.1.1. Изготовитель при выявлении уязвимости в своем программном обеспечении или программно-аппаратном средстве направляет информацию выявленной уязвимости в Банк данных угроз в соответствии с пунктом 2.2 настоящего Регламента в течение 3 рабочих дней с даты ее выявления.

В случае если изготовитель получил информацию об имеющейся в его программном обеспечении (программно-аппаратном средстве) потенциальной уязвимости из внешнего источника (в том числе от исследователей в соответствии с пунктом 3.2.1 настоящего Регламента), то информация об уязвимости направляется изготовителем в Банк данных угроз после предварительной проверки и оценки степени опасности данной потенциальной уязвимости. Информация об уязвимости, полученная от исследователя, направляется с указанием контактных данных исследователя, выявившего уязвимость, для учета при определении рейтинга исследователя в соответствии с пунктом 4.3 настоящего Регламента (при наличии согласия исследователя на предоставление таких данных).

Рекомендуемый срок предварительной проверки и оценки степени опасности потенциальной уязвимости не должен превышать 5 рабочих дней с даты получения (опубликования) информации о наличии потенциальной уязвимости.

3.1.2. При получении от изготовителя информации об уязвимости или потенциальной уязвимости Оператор в срок не более 3 рабочих дней проверяет наличие сведений о ней в Банке данных угроз, а также в иных базах данных уязвимостей и общедоступных источниках и в случае отсутствия в них информации резервирует для уязвимости (потенциальной уязвимости) временный идентификатор (BDU-Z-XXXX-xxxxx) Банка данных угроз.

Информация о зарезервированном временном идентификаторе для уязвимости (потенциальной уязвимости) направляется изготовителю на указанный им адрес электронной почты.

При наличии информации об уязвимости (потенциальной уязвимости) в Банке данных угроз Оператор информирует об этом изготовителя и при необходимости уточняет описание уязвимости в Банке данных угроз. В случае наличия информации об уязвимости (потенциальной уязвимости) в других общедоступных базах данных уязвимостей или источниках Оператор в течение 3 рабочих дней присваивает уязвимости постоянный идентификатор (BDU-XXXX-xxxxx), во взаимодействии с изготовителем формирует описание уязвимости, образец которого приведен в приложении N 1 к настоящему Регламенту, и размещает его в Банке данных угроз.

Информация об уязвимости в сертифицированном по требованиям безопасности информации программном обеспечении или программно-аппаратном средстве в течение 1 рабочего дня с даты получения направляется Оператором в центральный аппарат ФСТЭК России на адрес электронной почты otd24@fstec.ru для сопровождения работ изготовителя по устранению уязвимости в сертифицированном программном обеспечении или программно-аппаратном средстве.

3.1.3. Изготовитель в отношении уязвимости, для которой Оператором зарезервирован временный идентификатор, разрабатывает меры, обеспечивающие устранение этой уязвимости (например, разработка патча, выпуск новой версии), или принимает правовые, организационные, технические меры, снижающие возможность эксплуатации уязвимости нарушителем (далее - меры по устранению уязвимости).

В отношении потенциальной уязвимости, для которой Оператором зарезервирован временный идентификатор, изготовитель проводит исследования с целью подтверждения ее актуальности и уточнения степени опасности, после чего разрабатывает меры по устранению уязвимости.

В отношении уязвимости (потенциальной уязвимости) критического или высокого уровня опасности рекомендуемый срок разработки мер по ее устранению (включая подтверждение актуальности) не должен превышать 30 рабочих дней с момента выявления уязвимости изготовителем или получения данных об уязвимости из внешних источников.

В отношении уязвимости (потенциальной уязвимости) среднего или низкого уровня опасности рекомендуемый срок разработки мер по ее устранению (включая подтверждение актуальности) не должен превышать 60 рабочих дней с момента выявления уязвимости изготовителем или получения данных об уязвимостях из внешних источников.

В случае если в результате проведения исследований потенциальной уязвимости изготовителем не подтверждается ее актуальность, информация об этом направляется в Банк данных угроз. Оператор при получении указанной информации отменяет зарезервированный временный идентификатор потенциальной уязвимости, о чем информирует изготовителя.

3.1.4. После разработки мер по устранению уязвимости в соответствии с пунктом 3.1.3 настоящего Регламента изготовитель направляет уточненную информацию об уязвимости, для которой зарезервирован временный идентификатор, и состав мер по устранению уязвимости в Банк данных угроз.

Оператор при получении уточненной информации об уязвимости от изготовителя формирует описание уязвимости, образец которого приведен в приложении N 1 к настоящему Регламенту, согласовывает описание уязвимости с изготовителем, после чего размещает описание уязвимости в Банке данных угроз с присвоением постоянного идентификатора (BDU-XXXX-xxxxx).

Описание уязвимости критического или высокого уровня опасности размещается в Банке данных угроз не позднее 5 рабочих дней с момента получения информации об уязвимости от изготовителя.

Описание уязвимостей среднего или низкого уровня опасности размещается в Банке данных угроз не позднее 7 рабочих дней с момента получения информации об уязвимости от изготовителя.

3.1.5. Дополнительная информация об уязвимости направляется изготовителем в Банк данных угроз через раздел "Обратная связь" или на адрес электронной почты webmaster@bdu.fstec.ru. Оператор при получении дополнительной информации в течение 1 рабочего дня вносит изменения в описание уязвимости.