"Ъ": в России готовят новый закон о работе "белых хакеров"
Один из авторов инициативы, сенатор Артем Шейкин сообщил газете, что законопроект будет внесен после получения отзыва правительства, куда он будет направлен по результатам доработки и обсуждения с ведомствами и отраслью
МОСКВА, 15 ноября. /ТАСС/. Новый законопроект о регулировании bug bounty - поиске "белыми хакерами" уязвимостей в IT-системах за вознаграждение - разрабатывается в Совете федерации. Об этом сообщает "Коммерсантъ" со ссылкой на проект федерального закона, который направлен на масштабирование проведения bug bounty в России.
Как пишет газета, законопроект "О деятельности по поиску уязвимостей..." разработан в Совете по развитию цифровой экономики при Совете федерации совместно с участниками рынка кибербезопасности и предполагает изменения в трех федеральных законах - "О безопасности критической информационной инфраструктуры", "О лицензировании отдельных видов деятельности" и "Об информации, информтехнологиях и о защите информации".
Один из авторов инициативы, сенатор Артем Шейкин сообщил "Коммерсанту", что законопроект будет внесен после получения отзыва правительства, куда он будет направлен по результатам доработки и обсуждения с ведомствами и отраслью. В нем предлагается обязать компании, относящиеся к критической информационной инфраструктуре, проводить bug bounty. Кроме того, в нем закрепляется ответственность участников тестирований (операторов платформ, владельцев информсистем), которые будут выходить на bug bounty, и самих тестировщиков. Также устанавливаются требования к платформам и критерии для отбора операторов. Размер их уставного капитала должен составлять не менее 100 тыс. рублей, а сам оператор должен иметь гарантийный фонд в размере не менее 5% от уставного капитала.
В проекте также указывается, что владельцы IT-инфраструктуры обязаны гарантировать, что обладают исключительными правами на нее и "не будут нарушены права третьих лиц". В случае, если по результатам будет найдена уязвимость, владелец инфраструктуры должен передать данные в Федеральную службу по техническому и экспортному контролю, которой передается контроль за bug bounty.
Как пишет газета, в Минцифры РФ считают целесообразным рассматривать новый документ с учетом принятого в первом чтении законопроекта о "белых хакерах" и отзыва правительства.