Правительственный законопроект: Закон о борьбе с серьезными кибератаками в секторе цифровых услуг и услуг хранения (временное положение - Железные мечи), 5783-2024

Закон о противодействии тяжёлым кибератакам в секторе цифровых услуг и услуг хранения данных (временное положение — «Железные мечи») (חוק התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון (הוראת שעה – חרבות ברזל)), 5784-2023

Внутренний номер: 2212217

Номер ссылки: 2023-001624

Приложение № М-1688/А

---

Настоящий законопроект обсуждался Кнессетом в первом чтении 23 кислева 5784 г. (6 декабря 2023 г.) и был передан в Комиссию по иностранным делам и обороне.

Законопроект представлен — без оговорок — ко второму и третьему чтениям 13 тевета 5784 г. (25 декабря 2023 г.).

К законопроекту поданы заявки на предоставление слова.

---

Определения

Статья 1. В настоящем Законе:

«компьютерный материал», «компьютер», «вывод» и «программное обеспечение» — по определению Закона о компьютерах (חוק המחשבים);

«Закон о компьютерах» — Закон о компьютерах (חוק המחשבים), 5755-1995;

«Закон о регулировании безопасности» — Закон о регулировании безопасности в государственных органах (חוק להסדרת הביטחון בגופים ציבוריים), 5758-1998;

«МАЛЬМАБ» — ответственный за безопасность в системе обороны;

«уполномоченный руководитель» — одно из следующих лиц или его заместитель:

(1) начальник подразделения разведки и ориентирования дивизии киберугроз ШАБАКа;

(2) начальник центра реагирования (IR) Управления по кибербезопасности;

(3) начальник технологического подразделения МАЛЬМАБ;

«Управление по кибербезопасности» — Национальное управление по кибербезопасности, по определению Закона о регулировании безопасности;

«поставщик» — одно из следующих лиц:

(1) лицо, чья деятельность состоит в предоставлении услуг хранения данных или цифровых услуг и при этом существует физическое или логическое, постоянное или периодическое подключение, или осуществляется постоянная или периодическая передача компьютерного материала с его компьютеров на компьютеры получателя его услуг;

(2) лицо, чья деятельность состоит в предоставлении услуг по обслуживанию, управлению или контролю услуг хранения данных или цифровых услуг;

«уполномоченный сотрудник» — каждое из следующих лиц:

(1) сотрудник Службы, по определению Закона о Службе общей безопасности (חוק שירות הביטחון הכללי), 5762-2002, которого начальник дивизии киберугроз ШАБАКа или его заместитель уполномочили в письменной форме для целей настоящего Закона;

(2) сотрудник Управления по кибербезопасности, которого начальник дивизии защиты Управления по кибербезопасности уполномочил в письменной форме для целей настоящего Закона;

(3) в отношении поставщика органов, перечисленных в пунктах 2 и 3 Первого приложения к Закону о регулировании безопасности — сотрудник МАЛЬМАБ, которого начальник технологического подразделения МАЛЬМАБ уполномочил в письменной форме для целей настоящего Закона;

«действие по киберзащите компьютерного материала» — передача инструкций компьютеру на машиночитаемом языке в целях киберзащиты, включая инструкции по сканированию, обработке, удалению компьютерного материала, относящегося к кибератаке, установке типа программного обеспечения, действие которого ограничено сетью поставщика, блокировке или отключению компьютера или созданию копии компьютерного материала;

«значимые военные операции» — значимые военные операции, о проведении которых приняла решение Комиссия министров по вопросам национальной безопасности в соответствии со статьёй 40 Основного закона: Правительство (חוק־יסוד: הממשלה), о которых уведомлена Комиссия по иностранным делам и обороне Кнессета 23 тишрея 5784 г. (8 октября 2023 г.);

«ЦАХАЛ» — Армия обороны Израиля;

«ШАБАК» — Служба общей безопасности;

«услуги хранения данных» — услуги хранения компьютерного материала, предоставляемые для другого лица, или услуги предоставления инфраструктуры для хранения или обработки компьютерного материала;

«цифровые услуги» — любая из следующих услуг, предоставляемая для другого лица:

(1) услуги в сфере программного обеспечения, включая написание, адаптацию, изменение, тестирование, поддержку, исследования и разработку программного обеспечения;

(2) услуги управления или эксплуатации компьютерных систем, объединяющих аппаратное обеспечение, программное обеспечение и коммуникационные технологии;

(3) услуги обработки данных, их ввода или восстановления, установки и настройки конфигурации компьютеров, установки программного обеспечения или услуги киберзащиты;

(4) поставка или установка компьютеров или оборудования для контроля, являющихся частью промышленных машин и оборудования;

«кибератака» — действие или реальная угроза действия, направленного на незаконное нарушение использования компьютера или хранящегося в нём компьютерного материала, включая:

(1) нарушение нормального функционирования компьютера или помеху его использованию;

(2) удаление, изменение, нарушение компьютерного материала или помеху его использованию;

(3) хранение или отображение ложной или вводящей в заблуждение информации или вывода в соответствии с целями их использования;

(4) проникновение в компьютерный материал, по определению статьи 4 Закона о компьютерах;

(5) тайную прослушку связи между компьютерами, по смыслу Закона о тайной прослушке (חוק האזנת סתר), 5739-1979;

(6) доступ неуполномоченного лица к информации, хранящейся в компьютере, в том числе путём нарушения процесса идентификации, или незаконное извлечение информации, включая её копирование, таким лицом;

(7) помеху или предотвращение подключения компьютера к сети связи.

Тяжёлая кибератака

Статья 2.

(а) Уполномоченный руководитель вправе установить, что кибератака, которая происходит или в отношении которой существует реальная угроза её совершения, является тяжёлой кибератакой, если он обнаружил реальную угрозу того, что она способна нанести ущерб безопасности государства, безопасности населения или обеспечению снабжения и жизненно важных услуг, и в силу всего нижеследующего (в настоящем Законе — тяжёлая кибератака):

(1) её совершение в период значимых военных операций;

(2) наличие реальной угрозы значительного воздействия, не ограниченного атакованным поставщиком;

(3) её характеристики, включая схему атаки или личность атакующего.

(б) Полномочие, предоставленное уполномоченному руководителю по подпункту (а), принадлежит также начальнику дивизии киберзащиты ЦАХАЛа в отношении кибератаки, которая, по его заключению, происходит или в отношении которой существует реальная угроза совершения, если он обнаружил реальную угрозу нарушения непрерывности оперативного функционирования ЦАХАЛа, в силу обстоятельств, указанных в пунктах (1)-(3) того же подпункта.

Противодействие тяжёлой кибератаке

Статья 3. Если уполномоченный руководитель или начальник дивизии киберзащиты ЦАХАЛа установили в соответствии с положениями статьи 2, что кибератака, которая происходит или предстоит, против поставщика, является тяжёлой кибератакой, и уполномоченный сотрудник уведомил об этом поставщика, предварительно представившись ему, применяются следующие положения:

(1) Уполномоченный сотрудник изложит поставщику фактическую и профессиональную основу для такого определения, в той мере, в какой это не приведёт к раскрытию источников информации, методов или средств;

(2) Уполномоченный сотрудник предоставит поставщику возможность действовать надлежащим образом для обнаружения, предотвращения или сдерживания атаки в разумный срок, который будет сообщён поставщику, с учётом характеристик кибератаки;

(3) Поставщик информирует уполномоченного сотрудника о действиях, предпринятых им для обнаружения, предотвращения или сдерживания атаки, или передаст уполномоченному сотруднику аффидавит по форме, опубликованной главой Управления по кибербезопасности на интернет-сайте Управления, о предоставлении услуг хранения данных или цифровых услуг своим клиентам или о предоставлении услуг обслуживания, управления или контроля таких услуг с применением требований безопасности в соответствии со стандартом, указанным в Приложении или установленным согласно ему, в отношении всех предоставляемых им услуг или в отношении услуг, против которых была направлена атака, и всё это в разумный срок, указанный в пункте (2);

(4) Если поставщик не передал аффидавит, указанный в пункте (3), и уполномоченный сотрудник обнаружил, что поставщик не действовал надлежащим образом для обнаружения, предотвращения или сдерживания атаки, как указано в пункте (2), уполномоченный сотрудник вправе, если он обнаружил необходимость обнаружения, предотвращения или сдерживания атаки, и после уведомления поставщика о намерении дать ему указания согласно настоящему пункту и предоставления ему возможности быть выслушанным, дать поставщику указания в письменной или устной форме, которые поставщик выполнит, включая указания по выполнению действий по киберзащите компьютерного материала или указания по передаче информации или документа, включая копию компьютерного материала, уполномоченному сотруднику;

(5) При даче указаний поставщику по пункту (4):

(а) уполномоченный сотрудник учтёт возможное влияние на право на частную жизнь, на деятельность поставщика и на третьих лиц, а также ожидаемые экономические затраты на исполнение указаний и их возможное влияние на функциональную непрерывность поставщика, по наилучшему представлению уполномоченного сотрудника, а если поставщик предоставил оценку по данному вопросу — с учётом предоставленной оценки;

(б) уполномоченный сотрудник распорядится о применении средства, причиняющего меньший ущерб, для обнаружения, предотвращения или сдерживания атаки;

(в) уполномоченный сотрудник укажет последний срок выполнения указания;

(6) Если уполномоченный сотрудник дал поставщику указание по пункту (4), поставщик действует в соответствии с ним до последнего срока, установленного для его выполнения согласно пункту (5)(в), и отчитывается о порядке его выполнения уполномоченному сотруднику до указанного срока.

Документирование

Статья 4. Уполномоченный сотрудник документирует в письменной форме указания, данные поставщику согласно статье 3, и передаёт ему письменную версию указаний, не содержащую засекреченной информации, в кратчайший возможный срок после дачи указания. В настоящей статье «засекреченная информация» — информация, гриф секретности которой определён Управлением по кибербезопасности, ШАБАКом, ЦАХАЛом или МАЛЬМАБ, в зависимости от обстоятельств, как «для служебного пользования» и выше.

Порядок осуществления полномочий

Статья 5. Полномочия по статье 3 в отношении конкретной кибератаки против поставщика или нескольких атак, происходящих в одно и то же время, осуществляются в отношении поставщика уполномоченным сотрудником только одного органа.

Конфиденциальность, ограничение использования и удаление

Статья 6.

(а) Лицо, получившее информацию от поставщика в соответствии с настоящим Законом, обязано хранить её в тайне, не раскрывать другому лицу и не использовать её, за исключением целей обнаружения, предотвращения или сдерживания тяжёлой кибератаки.

(б) Информация, полученная от поставщика в соответствии с настоящим Законом, удаляется вскоре после завершения работы с тяжёлой кибератакой, если только уполномоченный руководитель не установил, что указанная информация является необходимой для определения характеристик кибератаки; информация, в отношении которой принято такое решение, хранится в минимально необходимом объёме.

(в) Публичное обнародование идентичности поставщика, полученной в соответствии с настоящим Законом, допускается с разрешения уполномоченного руководителя после предоставления поставщику возможности быть выслушанным.

(г) В настоящей статье «информация» — за исключением информации об атакующем, атаке, характеристиках атаки или средствах реагирования.

Уголовная ответственность

Статья 7. Лицо, раскрывшее информацию, полученную от поставщика в соответствии с настоящим Законом, или использовавшее информацию, полученную от поставщика в соответствии с настоящим Законом, при исполнении или в ходе исполнения своих обязанностей, в нарушение положений статьи 6(а), наказывается лишением свободы на срок до трёх лет.

Отчётность

Статья 8.

(а) Управление по кибербезопасности, ШАБАК и МАЛЬМАБ ежемесячно отчитываются перед юридическим советником правительства и Комиссией по иностранным делам и обороне Кнессета обо всём нижеследующем:

(1) случаи, когда поставщику были даны указания согласно статье 3(4), обоснование дачи указаний и их виды, а также количество случаев, когда поставщик не выполнил указания;

(2) количество случаев, когда уполномоченный сотрудник содействовал поставщику в выполнении данных ему указаний согласно статье 3;

(3) виды поставщиков, в отношении которых уполномоченный руководитель определил, что атака на них является тяжёлой кибератакой согласно статье 2(а);

(4) количество случаев, когда уполномоченный руководитель определил, что кибератака является тяжёлой кибератакой согласно статье 2(а), в разбивке по ущербу безопасности государства, ущербу безопасности населения или ущербу обеспечению снабжения и жизненно важных услуг.

(б) Отчёт согласно настоящему Закону является конфиденциальным и его публикация запрещена.

Сохранение действующего законодательства

Статья 9.

(а) Положения настоящего Закона дополняют положения любого иного закона и не умаляют их.

(б) Без ущерба для положений подпункта (а), положения настоящего Закона дополняют любое положение в области киберзащиты согласно решению правительства или соглашению, однако в случае противоречия положения настоящего Закона имеют преимущественную силу.

Поправка к Закону о судах по административным делам — временное положение

Статья 10. В период действия настоящего Закона, как указано в статье 12, Закон о судах по административным делам (חוק בתי משפט לעניינים מינהליים), 5760-2000, читается так, что в конце Первого приложения добавляется:

«65. Решение органа власти согласно Закону о противодействии тяжёлым кибератакам в секторе цифровых услуг и услуг хранения данных (временное положение — «Железные мечи»), 5784-2023.»

Отмена чрезвычайных правил

Статья 11. Правила чрезвычайного положения («Железные мечи») (противодействие тяжёлым кибератакам в секторе цифровых услуг и услуг хранения данных) (תקנות שעת חירום (חרבות ברזל) (התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון)), 5784-2023 — отменяются.

Срок действия

Статья 12. Статьи 1-10 настоящего Закона действуют до истечения семи месяцев со дня его публикации.

Переходное положение

Статья 13. Указания, данные, и действия, выполненные в соответствии с Правилами чрезвычайного положения («Железные мечи») (противодействие тяжёлым кибератакам в секторе цифровых услуг и услуг хранения данных), 5784-2023, до дня вступления настоящего Закона в силу, рассматриваются как совершённые в соответствии с настоящим Законом, и его положения применяются к ним.

---

Приложение

(статья 3(3))

1. Стандарт NIST 800-53 Security and Privacy Controls for Information Systems and Organizations.

2. Стандарт, опубликованный главой Управления по кибербезопасности с согласия главы ШАБАКа и МАЛЬМАБ в Ведомостях (Решумот) и на интернет-сайте Управления по кибербезопасности, если такой стандарт был опубликован, при условии, что он обеспечивает с высокой степенью вероятности ограничение воздействия тяжёлой кибератаки за пределами атакованного поставщика и надлежащее реагирование на тяжёлые кибератаки.

---

Оговорки и заявки на предоставление слова

Оговорки

Оговорки не поданы.

Заявки на предоставление слова

Депутаты Кнессета Айман Ода, Ахмад Тиби, Аида Тума-Слиман, Офер Касиф, Юсеф Атауна, Авигдор Либерман, Одед Форер, Евгений Сова, Шарон Нир, Юлия Малиновски, Хамад Амар, Янон Азулай.