Направо към основното съдържание
Лого на Европейската комисия
bgbg

Политика за оповестяване на уязвимости

Въведение

В Европейската комисия сигурността на нашите комуникационни и информационни системи е основен приоритет в съответствие с Решение (ЕО) № 2017/46 на Комисията.

Въпреки полаганите максимални усилия обаче уязвимостите никога не могат да бъде напълно избегнати. Когато уязвимости бъдат установени и използвани, това излага на риск поверителността, целостта или наличността на системите на Европейската комисия и обработваната в тях информация.

Тази политика за оповестяване на уязвимости описва кои системи и видове тестове са разрешени и как се изпращат доклади за уязвимости. Насърчаваме ви да се свържете с нас, за да съобщите за потенциални проблеми със сигурността в нашите системи, като следвате тази политика.

Разрешение

Ако действате добросъвестно за идентифициране и докладване на уязвимости в системите на Европейската комисия, като същевременно спазвате тази политика, ще работим с вас, за да разберем и разрешим бързо проблемите.
Европейската комисия няма да предприема правни действия, свързани с вашите дейности за установяване на уязвимости в нашите системи, при условие че следвате насоките в тази политика.

Приложно поле

Тази политика се прилага за всички свързани с интернет системи на Европейската комисия, включително

  • присъствието на Европейската комисията в интернет
    • *.ec.europa.eu/*
    • *.commission.europa.eu/*
  • публични IP адреси, рекламирани съгласно ASN 42848, и свързани с тях услуги
  • всеки друг софтуер, публикуван от Европейската комисия

Всички услуги, които не са изрично изброени по-горе, са изключени от приложното поле и не са разрешени за изпитване.
Освен това уязвимостите, открити в системите от доставчици, също са изключени от приложното поле и следва да бъдат докладвани директно на доставчика в съответствие с тяхната политика за разкриване на информация (ако е приложимо).

Насоки

Когато извършвате дейността си, задължително е

  • да не се възползвайте от уязвимостта или проблема, който сте открили, например като изтеглите повече данни, отколкото е необходимо, за да докажете уязвимостта, изтривате или променяте данните на други лица
  • да използвате само безвредни средства, за да потвърдите наличието на уязвимост
  • да не разкривате никакви данни, изтеглени по време на откриването, на обществеността или на други страни
  • да не разкривате уязвимостта или проблема на обществеността или на други страни, докато не бъде разрешен
  • да спрете тестовете, когато откриете чувствителна информация (информация за самоличността — PII, медицинска, финансова, лична информация или търговски тайни) и да ни уведомите незабавно, както и да не разкривайте никакви получени данни на други лица

Не извършвайте следните действия

  • поставяне на зловреден софтуер (вирус, червей, троянски кон и др.) в системите
  • компрометиране на системите, използвайки средства, за да получите пълен или частичен контрол
  • копиране, изменяне или изтриване на данни от системата
  • внасяне на промени в системата
  • многократно осъществяване на достъп в системата или споделяне на достъп с обществеността и други страни
  • използване на получен достъп, за да се опитате да получите достъп до други системи
  • промяна на правата за достъп на други потребители
  • използване на автоматизирани инструменти за сканиране
  • използване на така наречената „груба сила“ за достъп до системи
  • използване на отказ от обслужване или социално инженерство (фишинг, вишинг, спам и др.)
  • използване на атаки срещу физическата сигурност

Докладване на уязвимост

Как бихме искали да сътрудничим с вас

Ако сте открили уязвимост, моля,

  • изпратете констатациите си във възможно най-кратък срок на адрес EC-VULNERABILITY-DISCLOSUREatec [dot] europa [dot] eu (EC-VULNERABILITY-DISCLOSURE[at]ec[dot]europa[dot]eu), като посочите дали сте съгласни вашето име или псевдоним да станат публично достъпни като име на откривателя на проблема.
  • криптирайте вашите констатации с помощта на нашия PGP ключ, за да предотвратите попадането на тази важна информация в погрешни ръце
  • предоставете ни достатъчно информация, за да възпроизведем проблема, така че да можем да го разрешим възможно най-бързо. Обикновено IP адресът или URL адресът на засегнатата система и описанието на уязвимостта ще бъдат достатъчни, но сложните уязвимости може да изискват допълнително обяснение с техническа информация или потенциален код за доказване на концепцията.
  • представете доклада си на английски език или на друг официален език на Европейския съюз

Какво можете да очаквате от нас

В замяна обещаваме следното, когато ни съобщите за уязвимост, а именно:

  • отговор на вашия доклад в рамките на три (3) работни дни с наша оценка на доклада
  • вашият доклад ще бъде обработван при строга поверителност
  • когато е възможно, ще ви информираме, когато уязвимостта е отстранена
  • личните данни, които предоставяте (като например вашия електронен адрес и име), ще бъдат обработвани в съответствие с приложимото законодателство за защита на данните и няма да предадем личните ви данни на трети страни без ваше разрешение.
  • името ви ще бъде публикувано като име на откривателя на проблема, ако сте се съгласили с това в първоначалното си електронно писмо, в момента когато и при условие, че оповестим проблема публично