Законопроект «О деятельности по поиску уязвимостей…» разработан в Совете по развитию цифровой экономики при Совете федерации совместно с участниками рынка кибербезопасности и предполагает изменения в три ФЗ — «О безопасности критической информационной инфраструктуры», «О лицензировании отдельных видов деятельности» и «Об информации, информтехнологиях и о защите информации».
Один из авторов инициативы, сенатор Артем Шейкин, сообщил, что законопроект будет внесен после получения отзыва правительства, куда он будет направлен по результатам доработки и обсуждения с ведомствами и отраслью. Предлагается обязать компании, относящиеся к КИИ (банки, промышленность, телеком и т. д.), проводить Bug Bounty. Кроме того, они закрепляют ответственность участников тестирований — операторов платформ, владельцев информсистем,— которые будут выходить на Bug Bounty, и самих тестировщиков. Также устанавливаются требования к платформам и критерии для отбора операторов. Размер их уставного капитала должен составлять не менее 100 тыс. руб., а сам оператор должен иметь «гарантийный фонд» в размере не менее 5% от уставного капитала.
В проекте говорится, что владельцы IT-инфраструктуры (ПО, ПАК, телекоммуникационная сеть) обязаны гарантировать, что обладают исключительными правами на нее и «не будут нарушены права третьих лиц». Если по результатам будет найдена уязвимость, владелец инфраструктуры передаст в течение пяти дней данные во ФСТЭК. Контроль за Bug Bounty также передается службе.
Основатель платформы Bug Bounty bugbounty.ru Лука Сафонов отмечает, что приведенное значение размера уставного капитала операторов не должно влиять на принятие уязвимостей. «Фонд тоже под вопросом: сейчас это 5%, завтра может быть выше, это ограничит рынок одним-двумя игроками».
Татьяна Исакова, Алексей Жабин, Алексей Старостин
SIA.RU: Главное
