Представлен обновленный проект закона о легализации деятельности этичных специалистов по информационной безопасности, известных как «белые» хакеры. Документ предполагает передачу регулирующих функций силовым ведомствам. Согласно проекту, надзор за всеми «мероприятиями по поиску уязвимостей» будет осуществляться ФСБ, ФСТЭК и Национальным координационным центром по компьютерным инцидентам (НКЦКИ). Эти органы получат полномочия устанавливать обязательные требования ко всем видам исследовательских работ, направленных на выявление уязвимостей.
Унификация подходов к безопасности
Инициатива вводит единое понятие «мероприятия по поиску уязвимостей», охватывающее коммерческие программы Bug Bounty, внутренние корпоративные исследования, независимые проверки и пентесты. Это позволит создать единые стандарты для всех форм тестирования на проникновение, повышая эффективность защиты.
Новые правила для специалистов и организаций
Уполномоченные ведомства определят порядок идентификации и верификации специалистов, аккредитации организаций, а также обработки данных об обнаруженных уязвимостях. Списки аккредитованных операторов будут публиковаться на официальных ресурсах. Деятельность вне утвержденных площадок или организациями, не соответствующими правилам, будет признана неправомерной.
Обязанности и ответственность
Обнаружившие уязвимости обязаны информировать не только владельца ПО, но и профильные силовые структуры. Предлагается установить уголовную ответственность за «неправомерную передачу уязвимостей» по статье 274 УК РФ.
Перспективы развития отрасли
В рамках обсуждения рассматривается создание единого реестра «белых» хакеров. Минцифры подтвердило диалог с отраслевыми представителями по законопроекту, отметив, что предложения о реестре пока не поступали. Работа по упорядочиванию деятельности «белых» хакеров в России ведется с 2022 года, открывая новые возможности для профессионалов.
Источник: www.gazeta.ru
