Законопроект, направленный на регулирование деятельности «белых хакеров», которые работают в рамках программ по поиску уязвимостей в ИТ-системах за вознаграждение (Bug Bounty), разрабатывают в Совете Федерации.
По данным «Коммерсанта», законопроект «О деятельности по поиску уязвимостей и оценке уровня защищённости объектов информационной инфраструктуры Российской Федерации и внесении изменений в отдельные законодательные акты Российской Федерации» разработан в Совете по развитию цифровой экономики при Совете федерации совместно с участниками рынка кибербезопасности. Он предполагает внесение изменений в три федеральных закона — «О безопасности критической информационной инфраструктуры», «О лицензировании отдельных видов деятельности» и «Об информации, информационных технологиях и о защите информации».
Авторы предлагают урегулировать отношения в сфере деятельности по поиску уязвимостей и оценке уровня защищённости объектов, относящихся к КИИ, установить права и обязанности участников этих отношений, определить порядок проведения тестирования и финансовые требования к операторам платформ Bug Bounty.
Документ определяет основы госрегулирования указанной деятельности. Информация обо всех найденных уязвимостях должна передаваться в ФСТЭК России в установленном законом порядке. На ведомство также предполагается возложить ответственность за лицензирование деятельности участников программ.
Компании КИИ приветствуют инициативу, но напоминают, что и так достаточно зарегулированы в части безопасности, а тестирования должны быть добровольными, отмечают собеседники издания.
