В России начали разработку нового законопроекта о деятельности «белых хакеров»
Изображение: Mika Baumeister (unsplash)
Сенаторы Совета Федерации начали разработку нового проекта закона, направленного на регулирование профессиональной деятельности в стране «белых хакеров» и программ Bug Bounty (программ по поиску уязвимостей в софте и ИТ-системах за вознаграждение). Авторы разрабатываемого проекта закона предлагают обязать все организации, которые относятся к категории критической информационной инфраструктуры, проводить соответствующее тестирование своих систем и используемого программного обеспечения, а также определить финансовые требования к операторам программ Bug Bounty.
Сенатор Артём Шейкин, один из авторов законопроекта о «белых хакерах» и Bug Bounty, заявил во время общения с журналистами издания «Коммерсант», что разрабатываемый документ планируется внести после получения отзыва от российского правительства, куда проект закона планируют направить после доработки и обсуждения с профильными ведомствами и представителями отрасли.
В соответствии с разрабатываемым документом предлагается обязать организации, которые являются объектами критической информационной инфраструктуры, в частности, это банковские учреждения, промышленные предприятия, телекоммуникационные компании и организации других отраслей деятельности, проводить Bug Bounty. Помимо этого, в рамках законопроекта предполагается закрепление ответственности участников тестирования, в том числе операторов платформ Bug Bounty, владельцев информационных систем, а также «белых хакеров», которые будут принимать участие в поиске уязвимостей.
Артём Шейкин указал и на то, что будут установлены определённые требования к платформам Bug Bounty и критерии для отбора операторов.
В законопроекте заявлено, что владельцы сетевой инфраструктуры будут обязаны гарантировать, что имеют исключительные права на неё, и в процессе поиска уязвимостей не будут нарушаться права третьих лиц. В том случае, если в рамках программы Bug Bounty будут найдены уязвимости, владельцам инфраструктуры необходимо будет передать информацию об этом в течение пяти суток в ФСТЭК России.
Контролировать программы Bug Bounty на объектах критической информационной инфраструктуры России также будет Федеральная служба по техническому и экспортному контролю.
