Правительственный законопроект: Закон о борьбе с серьезными кибератаками в секторе цифровых услуг и услуг хранения (временное положение - Железные мечи), 5783-2024

Закон о противодействии серьёзным кибератакам в секторе цифровых услуг и услуг хранения данных (временное положение — «Железные мечи»), 5784-2023

Книга законов 3135, 14 тевета 5784 (26 декабря 2023)

Статья 1. Определения

В настоящем Законе:

«Компьютерный материал», «компьютер», «вывод» и «программное обеспечение» — в значении, определённом в Законе о компьютерах;

«Закон о компьютерах» — Закон о компьютерах 5755-1995;

«Закон о регулировании безопасности» — Закон о регулировании безопасности в государственных учреждениях 5758-1998;

«МАЛМАБ» — ответственный за безопасность в системе обороны;

«Уполномоченный руководитель» — одно из следующих лиц или его заместитель:

1. Начальник разведывательно-координационного подразделения отдела киберугроз ШАБАК;
2. Начальник центра реагирования (IR) Национального киберуправления;
3. Начальник технологического подразделения МАЛМАБ;

«Национальное киберуправление» — Национальное киберуправление в значении Закона о регулировании безопасности;

«Поставщик» — одно из следующих лиц:

1. Лицо, занимающееся предоставлением услуг хранения или цифровых услуг, при наличии физического или логического, постоянного или периодического подключения, либо постоянной или периодической передачи компьютерного материала от его компьютеров к компьютерам получателя услуг;
2. Лицо, занимающееся предоставлением услуг обслуживания, управления или контроля услуг хранения или цифровых услуг;

«Уполномоченный сотрудник» — каждый из следующих:

1. Сотрудник ШАБАК, уполномоченный начальником отдела киберугроз ШАБАК или его заместителем;
2. Сотрудник Национального киберуправления, уполномоченный начальником отдела защиты Национального киберуправления;
3. Для поставщиков, относящихся к пунктам 2 и 3 Первого приложения к Закону о регулировании безопасности — сотрудник МАЛМАБ, уполномоченный начальником технологического подразделения МАЛМАБ;

«Действие по киберзащите» — подача команд компьютеру на машиночитаемом языке в целях киберзащиты, включая указание на обработку, сканирование, удаление компьютерного материала, относящегося к кибератаке, установку программного обеспечения ограниченного действия в сети поставщика, блокировку или отключение компьютера, либо создание копии компьютерного материала;

«Значительные военные операции» — военные операции, по которым Комитет министров по вопросам национальной безопасности принял решение согласно статье 40 Основного закона: Правительство, и о которых была уведомлена Комиссия по иностранным делам и обороне Кнессета 23 тишрея 5784 (8 октября 2023);

«Услуги хранения» — услуги хранения компьютерного материала, предоставляемые другому лицу, включая предоставление инфраструктуры для хранения или обработки компьютерного материала;

«Цифровые услуги» — услуга, предоставляемая другому лицу, являющаяся одной из следующих:

1. Услуги в области программного обеспечения, включая написание, адаптацию, модификацию, тестирование, поддержку, исследования и разработку;
2. Услуги эксплуатации или управления компьютерными системами, объединяющими аппаратное обеспечение, программное обеспечение и телекоммуникационные технологии;
3. Услуги обработки данных, ввода, восстановления, установки и настройки конфигурации компьютеров, установки программного обеспечения или услуги киберзащиты;
4. Поставка или установка оборудования, компьютеров или систем управления, являющихся частью промышленного оборудования;

«Кибератака» — действие или реальная угроза действия, направленного на незаконное нарушение использования компьютера или компьютерного материала, включая:

1. Нарушение нормальной работы компьютера или вмешательство в его использование;
2. Удаление, изменение, нарушение компьютерного материала или вмешательство в его использование;
3. Хранение или отображение ложной информации или вывода;
4. Несанкционированное проникновение в компьютерный материал;
5. Перехват компьютерных коммуникаций;
6. Доступ неуполномоченного лица к информации;
7. Блокировка или прекращение подключения компьютера к сети связи.

Статья 2. Серьёзная кибератака

(а) Уполномоченный руководитель вправе определить, что кибератака происходит или существует реальная угроза её совершения, и квалифицировать её как серьёзную кибератаку, если установит наличие реальной угрозы безопасности государства, общественной безопасности или непрерывности жизненно важных поставок и услуг, при одновременном наличии следующих условий:

1. Она происходит в период значительных военных операций;
2. Существует реальная угроза значительного воздействия, не ограниченного одним поставщиком;
3. С учётом характеристик атаки, включая её профиль или личность атакующего.

(б) Полномочия по подпункту (а) в отношении кибератак, угрожающих оперативной непрерывности ЦАХАЛ, принадлежат начальнику отдела киберзащиты ЦАХАЛ.

Статья 3. Противодействие серьёзной кибератаке

При установлении факта серьёзной кибератаки уполномоченный сотрудник обязан:

1. Изложить поставщику фактические и профессиональные основания квалификации, если это не раскрывает источники информации;
2. Предоставить поставщику разумный срок для самостоятельного обнаружения, предотвращения или пресечения атаки;
3. Информировать поставщика о предпринятых мерах;
4. Если поставщик не представил декларацию или не предпринял надлежащих мер, уполномоченный сотрудник вправе, уведомив поставщика и предоставив ему возможность высказаться, дать поставщику указания, в том числе о выполнении действий по киберзащите или передаче документов и компьютерных материалов.

Статья 4. Документирование

Уполномоченный сотрудник обязан документировать указания в письменной форме и передать поставщику несекретную письменную версию указаний в кратчайшие сроки.

Статья 5. Порядок осуществления полномочий

Полномочия в отношении конкретного поставщика осуществляются сотрудником только одного ведомства.

Статья 6. Ограничения конфиденциальности, использования и удаления

(а) Лицо, получившее информацию от поставщика в соответствии с настоящим Законом, обязано хранить её в тайне и использовать исключительно для обнаружения, предотвращения или пресечения серьёзной кибератаки.

(б) Информация подлежит удалению вскоре после завершения реагирования на кибератаку, за исключением случаев, когда уполномоченный руководитель определит, что информация необходима для идентификации характеристик кибератаки; такая информация хранится в минимально необходимом объёме.

(г) Публичное раскрытие данных поставщика — только с разрешения уполномоченного руководителя после предоставления поставщику возможности высказаться.

Статья 7. Уголовная ответственность

Лицо, разгласившее информацию, полученную от поставщика, или использовавшее её в нарушение статьи 6(а), подлежит наказанию в виде лишения свободы сроком до трёх лет.

Статья 8. Отчётность

Национальное киберуправление, ШАБАК и МАЛМАБ ежемесячно отчитываются перед юридическим советником правительства и Комиссией по иностранным делам и обороне Кнессета.

Статья 9. Сохранение действия иных законов

Положения настоящего Закона дополняют положения иных законов. В случае противоречия положения настоящего Закона имеют преимущественную силу.

Статья 10. Поправка к Закону об административных судах (временное положение No 140)

В период действия настоящего Закона в Первое приложение к Закону об административных судах 5760-2000 добавляется пункт 6: «Решение органа власти согласно Закону о противодействии серьёзным кибератакам в секторе цифровых услуг и услуг хранения данных (временное положение — «Железные мечи») 5784-2023».

Статья 11. Отмена чрезвычайных постановлений

Чрезвычайные постановления (Железные мечи) (Противодействие серьёзным кибератакам в секторе цифровых услуг и услуг хранения данных) 5784-2023 — отменяются.

Статья 12. Срок действия

Статьи 1–10 настоящего Закона действуют в течение семи месяцев с даты публикации.

Статья 13. Переходные положения

Указания и действия, предпринятые в соответствии с отменяемыми чрезвычайными постановлениями до дня вступления в силу настоящего Закона, рассматриваются как совершённые согласно настоящему Закону.

Приложение (статья 3(3))

1. Стандарт NIST 800-53 Security and Privacy Controls for Information Systems and Organizations;
2. Стандарт, опубликованный начальником Национального киберуправления с согласия ШАБАК и МАЛМАБ, обеспечивающий с высокой степенью вероятности ограничение воздействия серьёзной кибератаки и надлежащее реагирование.