NIC ievainojamību ziņošanas kārtība

LEJUPLĀDĒT NIC PGP ATSLĒGU

Latvijas Universitātes Matemātikas un informātikas institūta Tīkla risinājumu daļa (NIC.LV) nodrošina augstākā līmeņa domēna .lv reģistra un elektroniskās numurēšanas sistēmas pakalpojumus. NIC.LV pievērš īpašu uzmanību savu informācijas sistēmu un datu drošībai un aicina drošības pētniekus un citus interesentus atbildīgi ziņot par jebkuru konstatēto drošības ievainojamību.

Ja esat identificējis iespējamu ievainojamību NIC.LV pakalpojumos, aicinām informēt mūs, lai mēs varētu to izvērtēt un novērst pēc iespējas ātrāk.

1. Kā ziņot par ievainojamību

   1. Par konstatēto ievainojamību iespējams ziņot:

      1. nosūtot e-pastu uz security@nic.lv. Aicinām jūs izmantotu mūsu publisko PGP atslēgu, lai šifrētu un aizsargātu nosūtīto informāciju.

      2. ievainojamību ziņošanas platformā - cvd.cert.lv.

   2. Ievainojamības ziņojumā ieteicams iekļaut:

      1. ievainojamības aprakstu;

      2. ievainojamības izmantošanas veidu (ja zināms);

      3. ievainojamā resursa adresi (URL);

      4. soļus ievainojamības atkārtošanai;

      5. ekrānuzņēmumus vai citu pierādījumu informāciju;

      6. ziņotāja kontaktinformāciju (vārds, e-pasts);

      7. publisko PGP atslēgu (ja pieejama).

2. Par kādām ievainojamībām ziņot

   1. Aicinām ziņot par ievainojamībām NIC.LV pakalpojumos, tostarp autentifikācijas vai autorizācijas nepilnībām, piekļuves kontroles kļūdām, datu aizsardzības un šifrēšanas nepilnībām, loģikas kļūdām ar iespējamu drošības ietekmi, ievainojamībām tīmekļa saskarnēs un API, kā arī citām ievainojamībām, kas var ietekmēt sistēmu konfidencialitāti, integritāti vai pieejamību.

   2. Ziņošanas mehānisms nav paredzēts:

      1. drukas vai satura kļūdu ziņošanai;

      2. vispārīgiem jautājumiem par pakalpojumiem;

      3. klientu atbalsta pieprasījumiem.

3. NIC.LV rīcība pēc ziņojuma saņemšanas

   1. NIC.LV apstiprinās ziņojuma saņemšanu, izvērtēs iesniegto informāciju, nepieciešamības gadījumā sazināsies ar ziņojuma iesniedzēju, lai precizētu iesniegto infomāciju, informēs ziņotāju (turpmāk – drošības pētnieku) par ievainojamības novēršanas procesu un paziņos, kad ievainojamība ir novērsta.

   2. Ja drošības pētnieks to vēlas, pēc ievainojamības novēršanas NIC.LV var atzīt drošības pētnieka ieguldījumu drošības uzlabošanā, nodrošinot pozitīvu atbalstu un publicitāti. Finansiāla atlīdzība par konstatētām ievainojamībām netiek piedāvāta.

4. Drošības pētnieka darbības principi

   1. NIC.LV aicina drošības pētniekus ievērot atbildīgas ievainojamību atklāšanas principus un:

      1. neizmantot ievainojamību, lai piekļūtu informācijai, kas tiem nepieder;

      2. neiegūt, nemainīt un nedzēst datus;

      3. neveikt darbības, kas var ietekmēt pakalpojumu pieejamību (piemēram, pakalpojuma atteices uzbrukumus);

      4. neveikt sociālās inženierijas uzbrukumus;

      5. nepubliskot informāciju par ievainojamību pirms tās novēršanas.

5. Ziņošana par ievainojamību citos .lv resursos

   1. Ja ievainojamība konstatēta augstākā līmeņa domēna .lv resursos, kas nav NIC.LV pārziņā, aicinām pārbaudīt ievainojamību ziņošanas platformu https://cvd.cert.lv:

      1. ja attiecīgajam resursam ir reģistrēta ievainojamību ziņošanas programma, aicinām izmantot to.

      2. ja programma nav pieejama, aicinām ziņot platformas sadaļā ALL.

6. NIC PGP atslēga

   1. F001 A02A AB43 3FB5 B911 4083 F4B4 95CF 4AD6 3B4A