Правительственный законопроект: Закон о борьбе с серьезными кибератаками в секторе цифровых услуг и услуг хранения (временное положение - Железные мечи), 5783-2024

Закон о противодействии тяжёлым кибератакам в секторе цифровых услуг и услуг хранения данных (временное положение — «Железные мечи»), 5784-2023

Определения

Статья 1.

В настоящем Законе:

«Компьютерный материал», «компьютер», «вывод» и «программное обеспечение» — в значениях, определённых в Законе о компьютерах;

«Закон о компьютерах» — Закон о компьютерах (חוק המחשבים), 5755-1995;

«Закон о регулировании безопасности» — Закон о регулировании безопасности в государственных органах (חוק להסדרת הביטחון בגופים ציבוריים), 5758-1998;

«МАЛМАБ» — ответственный за безопасность в системе обороны;

«Уполномоченный руководитель» — одно из следующих лиц или лицо, его замещающее:

(1) Начальник подразделения разведки и наведения в отделе киберугроз ШАБАКа;

(2) Начальник центра реагирования (IR) в Национальном кибернетическом центре;

(3) Начальник технологического подразделения МАЛМАБ;

«Национальный кибернетический центр» — Национальный кибернетический центр в значении Закона о регулировании безопасности;

«Поставщик» — одно из следующих лиц:

(1) Лицо, занимающееся предоставлением услуг хранения данных или цифровых услуг, при наличии физического или логического подключения, постоянного или периодического, или при осуществлении постоянной или периодической передачи компьютерного материала с его компьютеров на компьютеры получателя его услуг;

(2) Лицо, занимающееся предоставлением услуг по обслуживанию, управлению или контролю услуг хранения данных или цифровых услуг;

«Уполномоченный сотрудник» — каждое из следующих лиц:

(1) Сотрудник Службы в значении Закона об Общей службе безопасности (חוק שירות הביטחון הכללי), 5762-2002, уполномоченный в письменной форме начальником отдела киберугроз ШАБАКа или лицом, его замещающим, для целей настоящего Закона;

(2) Сотрудник Национального кибернетического центра, уполномоченный в письменной форме начальником отдела защиты Национального кибернетического центра для целей настоящего Закона;

(3) В отношении поставщика органов, перечисленных в пунктах 2 и 3 Первого приложения к Закону о регулировании безопасности, — сотрудник МАЛМАБ, уполномоченный в письменной форме начальником технологического подразделения МАЛМАБ для целей настоящего Закона;

«Действие по киберзащите в отношении компьютерного материала» — передача инструкций компьютеру на машиночитаемом языке в целях киберзащиты, включая инструкции на сканирование, обработку, удаление компьютерного материала, связанного с кибератакой, установку типа программного обеспечения, действие которого ограничено исключительно сетью поставщика, блокировку или отключение компьютера либо создание копии компьютерного материала;

«Значительные военные действия» — значительные военные действия, о которых приняла решение Комиссия министров по вопросам национальной безопасности в соответствии со статьёй 40 Основного закона: Правительство, и о которых она уведомила Комиссию по иностранным делам и обороне Кнессета 23 тишрея 5784 года (8 октября 2023 г.);

«ЦАХАЛ» — Армия обороны Израиля;

«ШАБАК» — Общая служба безопасности;

«Услуги хранения данных» — услуги по хранению компьютерного материала, предоставляемые для другого лица, или услуги по предоставлению инфраструктуры для хранения или обработки компьютерного материала;

«Цифровые услуги» — услуга, являющаяся одной из следующих, предоставляемая для другого лица:

(1) Услуги в области программного обеспечения, включая написание, адаптацию, изменение, тестирование, поддержку, исследование и разработку программного обеспечения;

(2) Услуги по управлению или эксплуатации компьютерных систем, объединяющих аппаратное обеспечение, программное обеспечение и коммуникационные технологии;

(3) Услуги по обработке данных, их вводу или восстановлению, установка и настройка конфигурации компьютеров, установка программного обеспечения или услуги киберзащиты;

(4) Поставка или установка компьютеров или оборудования управления, составляющих часть промышленных машин и оборудования;

«Кибератака» — действие или реальная угроза действия, направленного на незаконное нарушение использования компьютера или хранящегося в нём компьютерного материала, включая:

(1) Нарушение нормального функционирования компьютера или создание помех его использованию;

(2) Удаление компьютерного материала, его изменение, нарушение или создание помех его использованию;

(3) Хранение или отображение ложной информации или вывода, либо информации или вывода, способных ввести в заблуждение, в соответствии с целями их использования;

(4) Проникновение в компьютерный материал в значении статьи 4 Закона о компьютерах;

(5) Тайное прослушивание связи между компьютерами в значении Закона о тайном прослушивании (חוק האזנת סתר), 5739-1979;

(6) Доступ неуполномоченного лица к информации, хранящейся в компьютере, в том числе путём нарушения процесса аутентификации, или незаконное извлечение информации, в том числе путём её копирования, таким лицом;

(7) Создание помех или предотвращение подключения компьютера к сети связи.

---

Тяжёлая кибератака

Статья 2.

(а) Уполномоченный руководитель вправе определить, что происходящая кибератака или кибератака, в отношении которой существует реальная угроза её совершения, является тяжёлой кибератакой, если он установил, что существует реальная угроза нанесения ею ущерба безопасности государства, общественной безопасности или обеспечению жизненно важного снабжения и услуг, и в силу всего следующего (далее в настоящем Законе — тяжёлая кибератака):

(1) Она происходит в период значительных военных действий;

(2) Существует реальная угроза того, что она оказывает значительное воздействие, не ограниченное атакованным поставщиком;

(3) Её характеристики, включая профиль атаки или личность атакующего.

(б) Полномочие, предоставленное уполномоченному руководителю по подпункту (а), предоставляется начальнику отдела киберзащиты в ЦАХАЛ в отношении кибератаки, которую он установил как происходящую или в отношении которой существует реальная угроза её совершения, если он установил, что существует реальная угроза нанесения ею ущерба непрерывности оперативного функционирования ЦАХАЛ, в силу оснований, указанных в пунктах (1)–(3) того же подпункта.

---

Противодействие тяжёлой кибератаке

Статья 3.

Если уполномоченный руководитель или начальник отдела киберзащиты в ЦАХАЛ определил в соответствии с положениями статьи 2, что происходящая или предстоящая кибератака против поставщика является тяжёлой кибератакой, и уполномоченный сотрудник уведомил об этом поставщика, предварительно представившись ему, применяются следующие положения:

(1) Уполномоченный сотрудник изложит поставщику фактическую и профессиональную основу для такого определения, в той мере, в какой это не приведёт к раскрытию источников информации, методов или средств;

(2) Уполномоченный сотрудник предоставит поставщику возможность надлежащим образом действовать по обнаружению атаки, её предотвращению или пресечению в разумный срок, который будет сообщён поставщику, с учётом характеристик кибератаки;

(3) Поставщик сообщит уполномоченному сотруднику о действиях, предпринятых им для обнаружения атаки, её предотвращения или пресечения, либо представит уполномоченному сотруднику заявление по форме, опубликованной начальником Национального кибернетического центра на интернет-сайте Национального кибернетического центра, о предоставлении услуг хранения данных или цифровых услуг своим клиентам или о предоставлении услуг по обслуживанию, управлению или контролю таких услуг с применением указаний по безопасности в соответствии со стандартом, указанным в Приложении, или на его основании, в отношении всех предоставляемых им услуг или в отношении тех услуг, против которых была совершена атака, и всё это в разумный срок, указанный в пункте (2);

(4) Если поставщик не представил заявление, указанное в пункте (3), и уполномоченный сотрудник установил, что поставщик не действовал надлежащим образом для обнаружения атаки, её предотвращения или пресечения, как указано в пункте (2), уполномоченный сотрудник вправе, если он установил, что это необходимо для обнаружения атаки, её предотвращения или пресечения, и после того как он уведомил поставщика о намерении дать ему указания по настоящему пункту и предоставил ему возможность изложить свои доводы, дать поставщику указания, в письменной или устной форме, которые поставщик обязан выполнить, включая указания о выполнении действий по киберзащите в отношении компьютерного материала или указания о передаче сведений или документа, включая копию компьютерного материала, уполномоченному сотруднику;

(5) При даче указаний поставщику по пункту (4):

(а) Уполномоченный сотрудник рассмотрит их возможное воздействие на право на частную жизнь, на деятельность поставщика и на третью сторону, а также предполагаемые экономические затраты на выполнение указаний и их возможное воздействие на функциональную непрерывность поставщика, насколько это известно уполномоченному сотруднику, а если поставщик представил оценку в этом отношении — с учётом представленной оценки;

(б) Уполномоченный сотрудник укажет применить средство, причиняющее меньший ущерб, для обнаружения атаки, её предотвращения или пресечения;

(в) Уполномоченный сотрудник укажет последний срок выполнения указания;

(6) Если уполномоченный сотрудник дал поставщику указание по пункту (4), поставщик действует в соответствии с ним до последнего срока, установленного для его выполнения согласно пункту (5)(в), и отчитывается о порядке его выполнения уполномоченному сотруднику до указанного срока.

---

Документирование

Статья 4.

Уполномоченный сотрудник задокументирует в письменной форме указания, данные им поставщику по статье 3, и передаст ему письменный текст указаний, не содержащий засекреченной информации, в кратчайший возможный срок после дачи указания; в настоящей статье «засекреченная информация» — информация, уровень секретности которой установлен Национальным кибернетическим центром, ШАБАКом, ЦАХАЛ или МАЛМАБ, соответственно, на уровне «хранить» и выше.

---

Порядок осуществления полномочий

Статья 5.

Полномочия по статье 3 в отношении определённой кибератаки на поставщика или нескольких таких атак, происходящих одновременно, осуществляются в отношении поставщика уполномоченным сотрудником только одного органа.

---

Секретность, ограничение использования и удаление

Статья 6.

(а) Лицо, к которому поступила информация, полученная от поставщика по настоящему Закону, обязано хранить её в тайне, не раскрывать другому лицу и не использовать каким-либо образом, кроме как для обнаружения тяжёлой кибератаки, её предотвращения или пресечения.

(б) Информация, полученная от поставщика по настоящему Закону, подлежит удалению вскоре после завершения обработки тяжёлой кибератаки, если только уполномоченный руководитель не определил, что такая информация необходима для идентификации характеристик кибератаки; информация, в отношении которой принято такое определение, хранится в минимально необходимом объёме.

(в) Публичное обнародование личности поставщика, полученной по настоящему Закону, допускается только с разрешения уполномоченного руководителя после предоставления поставщику возможности изложить свои доводы.

(г) В настоящей статье «информация» — за исключением информации об атакующем, атаке, характеристиках атаки или средствах обработки атаки.

---

Уголовная ответственность

Статья 7.

Лицо, раскрывшее информацию, полученную от поставщика по настоящему Закону, или использовавшее информацию, полученную от поставщика по настоящему Закону, при исполнении своих обязанностей или в ходе их исполнения, в нарушение положений статьи 6(а), подлежит наказанию в виде лишения свободы сроком на три года.

---

Отчётность

Статья 8.

(а) Национальный кибернетический центр, ШАБАК и МАЛМАБ отчитываются перед Юридическим советником Правительства и Комиссией по иностранным делам и обороне Кнессета ежемесячно обо всём следующем:

(1) Случаи, в которых поставщику были даны указания по статье 3(4), обоснование для дачи указаний и их виды, а также количество случаев, в которых поставщик не выполнил указания;

(2) Количество случаев, в которых уполномоченный сотрудник оказал содействие поставщику в выполнении данных ему указаний по статье 3;

(3) Виды поставщиков, в отношении атаки на которых уполномоченный руководитель определил, что она является тяжёлой кибератакой по статье 2(а);

(4) Количество случаев, в которых уполномоченный руководитель определил, что кибератака является тяжёлой кибератакой по статье 2(а), в разбивке по ущербу безопасности государства, ущербу общественной безопасности или ущербу обеспечению жизненно важного снабжения и услуг.

(б) Отчётность по настоящему Закону является конфиденциальной, и её публикация запрещена.

---

Сохранение действия законов

Статья 9.

(а) Положения настоящего Закона дополняют положения любого иного закона и не умаляют их.

(б) Без ущерба для положений подпункта (а), положения настоящего Закона дополняют любое положение, касающееся киберзащиты, в соответствии с решением Правительства или соглашением, однако в случае противоречия положения настоящего Закона имеют преимущественную силу.

---

Поправка к Закону об административных судах — временное положение — № 140

Статья 10.

В период действия настоящего Закона, как указано в статье 12, Закон об административных судах (חוק בתי משפט לעניינים מינהליים), 5760-2000, читается так, что в Первом приложении, в конце добавлено:

«65. Решение органа власти по Закону о противодействии тяжёлым кибератакам в секторе цифровых услуг и услуг хранения данных (временное положение — «Железные мечи»), 5784-2023.»

---

Отмена постановлений чрезвычайного времени (Железные мечи) (противодействие тяжёлым кибератакам в секторе цифровых услуг и услуг хранения данных)

Статья 11.

Постановления чрезвычайного времени (Железные мечи) (противодействие тяжёлым кибератакам в секторе цифровых услуг и услуг хранения данных), 5784-2023 — отменяются.

---

Срок действия

Статья 12.

Статьи 1–10 настоящего Закона действуют до истечения семи месяцев со дня его опубликования.

---

Переходное положение

Статья 13.

Указания, данные, и действия, совершённые в соответствии с Постановлениями чрезвычайного времени (Железные мечи) (противодействие тяжёлым кибератакам в секторе цифровых услуг и услуг хранения данных), 5784-2023, до дня вступления настоящего Закона в силу, рассматриваются как сделанные по настоящему Закону, и его положения распространяются на них.

---

Приложение

(Статья 3(3))

1. Стандарт NIST 800-53 Security and Privacy Controls for Information Systems and Organizations;

2. Стандарт, опубликованный начальником Национального кибернетического центра с согласия начальника ШАБАКа и МАЛМАБ в «Решумот» и на интернет-сайте Национального кибернетического центра, если такой стандарт был опубликован, при условии что он обеспечивает с высокой степенью вероятности ограничение воздействия тяжёлой кибератаки за пределами атакованного поставщика и надлежащую обработку тяжёлых кибератак.

---

Биньямин Нетаньяху — Премьер-министр

Ицхак Герцог — Президент Государства

Амир Охана — Председатель Кнессета