Zaifliklarning qimmatli qog'ozlar jarayoni - Vulnerabilities Equities Process

The Zaifliklarning qimmatli qog'ozlar jarayoni (VEP) tomonidan ishlatiladigan jarayondir AQSh federal hukumati har holda alohida qanday davolash kerakligini aniqlash nol kun kompyuter xavfsizligining zaif tomonlari; kompyuterning umumiy xavfsizligini yaxshilashga yordam berish uchun ularni jamoatchilikka oshkor qilish yoki hukumat dushmanlariga qarshi tajovuzkor foydalanish uchun ularni sir tutish kerakmi.[1]

VEP birinchi marta 2008-2009 yillarda ishlab chiqilgan, ammo faqat 2016 yilda hukumat VEP-ning qayta tahrirlangan versiyasini chiqqandan keyin ommalashgan. FOIA so'rovi tomonidan Elektron chegara fondi.[2][3]

Buning ortidan oshkoralik uchun jamoatchilik bosimidan so'ng Shadow Brokers ishda, AQSh hukumati 2017 yil noyabr oyida VEP jarayonini yanada kengroq oshkor qildi.[1][4]

Ishtirokchilar

2017 yilda chop etilgan VEP rejasiga ko'ra, Equities Review Board (ERB) - bu VEP bilan bog'liq idoralararo muhokama qilish va aniqlash uchun asosiy forum.[4] ERB har oy yig'iladi, ammo agar zarurat tug'ilsa, tezroq chaqirilishi mumkin.

ERB quyidagi agentliklarning vakillaridan iborat:

The Milliy xavfsizlik agentligi VEP uchun ijroiya kotibiyati vazifasini bajaradi.[4]

Jarayon

VEP-ning 2017 yil noyabr versiyasiga ko'ra, jarayon quyidagicha:

Yuborish va bildirishnoma

Agentlik zaiflikni topgach, VEP kotibiyatiga imkon qadar tezroq xabar beradi. Bildirishnomada zaiflik va zaif mahsulotlar yoki tizimlarning tavsifi, shuningdek agentlikning zaiflik haqidagi ma'lumotni tarqatish yoki cheklash bo'yicha tavsiyasi mavjud.

Keyin kotibiyat bir ish kuni ichida barcha ishtirokchilarni xabardor qiladi va agar ular tegishli manfaatdor bo'lsa javob berishlarini so'raydi.[4]

Tenglik va munozaralar

Qiziqish bildirgan agentlik besh ish kuni ichida tarqatish yoki cheklash to'g'risidagi dastlabki tavsiyalarga muvofiqligini ko'rsatishi kerak. Agar shunday bo'lmasa, u yetti ish kuni ichida taqdim etuvchi agentlik va VEP kotibiyati bilan kelishuvga erishish uchun munozaralarni olib boradi. Agar kelishuvga erishilmasa, ishtirokchilar Equities Review Board uchun variantlarni taklif qilishadi.[4]

Tarqatish yoki cheklash uchun qaror

Zaif tomonni ochish yoki cheklash to'g'risida qarorlar tezda, barcha manfaatdor idoralar bilan to'liq maslahatlashgan holda va umuman AQSh hukumati missiyalarining raqobatdosh manfaatlari uchun qabul qilinishi kerak. Iloji boricha aniqlash keng tarqalganligi, ishonish va zo'ravonlik kabi omillarni hisobga olgan holda ratsional, ob'ektiv metodikalarga asoslangan bo'lishi kerak.

Agar ko'rib chiqish kengashi a'zolari kelishuvga erisha olmasalar, ular dastlabki qarorga ovoz berishadi. Agar kapitalga ega bo'lgan agentlik ushbu qarorga qarshi chiqsa, ular VEP kotibiyatiga xabarnoma yuborib, dastlabki qarorni tan olishlari mumkin. Agar biron bir agentlik dastlabki qarorga qarshi chiqmasa, u yakuniy qaror sifatida qabul qilinadi.[4]

Ishlash va keyingi harakatlar

Agar zaiflik haqida ma'lumot chiqarilsa, bu imkon qadar tezroq, ettita ish kuni ichida amalga oshiriladi.

Zaif tomonlarni ochish barcha a'zolar tomonidan kelishilgan ko'rsatmalarga muvofiq amalga oshiriladi. Taqdim etuvchi agentlik ushbu zaiflik haqida eng yaxshi ma'lumotga ega deb taxmin qilinadi va shu sababli sotuvchiga zaiflik to'g'risidagi ma'lumotlarni tarqatish uchun javobgar bo'ladi. Taqdim etuvchi agentlik o'z nomidan tarqatish uchun javobgarlikni boshqa idoraga topshirishni tanlashi mumkin.

Reliz agentligi zudlik bilan e'lon qilingan ma'lumotlarning nusxasini VEP kotibiyatiga ish yuritish uchun taqdim etadi. Bundan tashqari, ERB sotuvchining harakati hukumat talablariga javob beradimi yoki yo'qligini aniqlay olishi uchun agentlikni kuzatishi kutilmoqda. Agar sotuvchi zaiflikni ko'rib chiqmaslikni tanlasa yoki zaiflik xavfi bilan bog'liq holda shoshilinch harakat qilmasa, ozod qiluvchi agentlik kotibiyatni xabardor qiladi va hukumat boshqa yumshatish choralarini ko'rishi mumkin.[4]

Tanqid

VEP jarayoni bir qator kamchiliklar, jumladan, ma'lumotni oshkor qilmaslik to'g'risidagi bitimlar bilan cheklash, xavf darajalarining yo'qligi, NSAga nisbatan maxsus muomala va standart variant sifatida oshkor qilishga sodiq qolish kabi tanqidlarga uchradi.[5]

Adabiyotlar

  1. ^ a b Nyuman, Lili Xey (2017 yil 15-noyabr). "Fedlar o'zlarining dasturiy ta'minotidagi xatolarni tushuntirib berishadi, ammo tashvishlarni yo'q qilmanglar". Simli. Olingan 16-noyabr, 2017.
  2. ^ Elektron maxfiylik ma'lumot markazi. "Zaif tomonlarning aktsiyalari jarayoni". epic.org. Olingan 16-noyabr, 2017.
  3. ^ "Zaif tomonlarning qimmatli qog'ozlar jarayoni (VEP)". Elektron chegara fondi. 2016 yil 18-yanvar. Olingan 16-noyabr, 2017.
  4. ^ a b v d e f g "Amerika Qo'shma Shtatlari hukumatining zaifliklariga oid siyosat va jarayon" (PDF). www.whitehouse.gov. 2017 yil 15-noyabr. Olingan 16-noyabr, 2017.
  5. ^ Makkarti, Kiren (2017 yil 15-noyabr). "AQSh hukumatining xavfsizlik bo'yicha xatolarni oshkor qilish bo'yicha so'nggi qoidalar kitobidagi to'rtta muammo". Ro'yxatdan o'tish. Olingan 16-noyabr, 2017.

Shuningdek qarang