История ИБ в Китае: начинаем разбираться с законами и регулированием

в 13:52, , рубрики: vas experts, Блог компании VAS Experts, ИБ, информационная безопасность, китай

В 2016 году в Китае представили современную версию национальный стратегии по кибербезопасности. Его основной посыл — использование любых средств для обеспечения суверенитета национального киберпространства. В новой серии статей мы расскажем о том, какие именно инструменты применяет Китай для обеспечения информационной безопасности в стране.

Начнем с общего обзора различных классификаций и законов.

История ИБ в Китае: начинаем разбираться с законами и регулированием - 1
/ Flickr / Surian Soosay / CC

Многоуровневая система защиты

В 2007 году Китай обновил свою «классификацию многоуровневой системы защиты» (MLPS). Она лежит в основе законов, охватывающих сферу кибербезопасности. Например, в соответствии с MLPS принимаются решения об уровне допуска иностранных продуктов в ту или иную сферу или систему. MLPS дает пять уровней ИБ с точки зрения потенциальных последствий:

1. Повреждение ИС наносит вред правам граждан и организаций.

2. Здесь к п.1 добавляется ущерб общественному порядку.

3. Помимо п.1 и п.2 — еще и ущерб национальной безопасности.

4. Значимый ущерб всех трех уровнях (п.1 — п.3).

5. Критический ущерб на уровне национальной безопасности.

Полагаясь на MLPS и законодательство, власти требуют доступ к протоколам шифрования и значительной части исходного кода от компаний, работающих в сфере финансов, телекома, медицины, образования и энергетики. Чем выше потенциальная угроза, тем выше требования.

Регулирование шифрования

Важный элемент обеспечения информационной безопасности в Китае — регулирование всего, что касается шифрования. Одна из первых директив в этом отношении вышла еще в 1999 году.

Она регламентировала работу с тематическим ПО и железом — производить и продавать продукты шифрования в коммерческом секторе стало возможно только с разрешения государственных органов и в соответствии с установленными правилами. Так, криптостойкость не могла превышать уровень, установленный государством. Позже власти разъяснили, что эти правила применяются к продуктам, основной функцией которых является шифрование. Например, для пользовательских гаджетов это — вторичная функция, и на них запрет не действует.

В следующие годы власти развивали идею контроля средств шифрования и развивали национальные стандарты. Например, в 2003 году правительство сделало WAPI обязательным для любого беспроводного продукта, продаваемого в Китае. Набор стандартов IEEE 802.11 временно оказался под запретом, но в процессе диалога с Международной организацией по стандартизации (ИСО) ограничение смягчили, а ряд вендров пошли по пути компромисса. Например, Apple с поддержкой WAPI в рамках 3GS iPhone.

История ИБ в Китае: начинаем разбираться с законами и регулированием - 2
/ Flickr / Jessica Spengler / CC

В 2009 году в Китае появился каталог импортеров продуктов шифрования. Его состав пересматривался позднее. Например, в 2013 году список покинули смарт-карты для цифрового ТВ и Bluetooth-модули. Судя по проекту нового закона о шифровании, Китай отказывается от строгих требований для иностранных компаний и стремится к унификации регулирования.

В сентябре прошлого года Госсовет КНР принял решение, которое освобождает производителей и пользователей продуктов шифрования от необходимости получать разрешение на поставки и распространение, но все еще требует сертификации. Без него ни одна компания или физическое лицо не сможет продавать коммерческие продукты шифрования в Китае.

Закон о кибербезопасности

В 2014 году за два года до публикации современной версии национальной стратегии по кибербезопасности в Китае прошла первая встреча Группы по вопросам безопасности и информатизации. На ней президент Си Цзиньпин дал напутствие сделать ИТ-безопасность приоритетом для страны. Это решение было продиктовано и тем, что годом ранее Китай вошел в число стран, понесших самые большие потери от киберпреступлений в мире.

В 2015 году в Китае был принят новый закон о национальной безопасности. Его положения распространялись на широкий круг сфер, и подчеркивали необходимость укрепления защиты национальных ИТ-систем и установления суверенитета киберпространства в Китае. Более подробно эти вопросы раскрыл черновик Закона о кибербезопасности. В числе прочего он предполагал обязательную регистрацию в интернет-сервисах, особенно в мессенджерах, под настоящими именами, привлечение операторов к участию в правительственных расследованиях, крупные инвестиции в сферу кибербезопасности, введение обязательства по хранению ПД в Китае.

В 2016 году закон был окончательно принят, а в 2017-м вступил в силу. Закон делает акцент на сборе, хранении и использовании ПД китайских гражданах и информации, имеющей отношение к национальной безопасности. Такие сведения должны храниться внутри страны.

Закон о кибербезопасности применяется ко всем операторам и предприятиям в критически важных секторах, и фактически к любым системам, состоящим из компьютеров и сопутствующего оборудования, которое собирает, хранит, передает и обрабатывает информацию. Регулирование также предусматривает обязательное тестирование и сертификацию оборудования сетевых операторов и запрещают экспорт за границу экономических, технологических или научных данных, которые представляют угрозу национальной безопасности или общественным интересам.

Последнее положение вызвало неоднозначную реакцию. Более 50 американских, европейских и японских компаний подписали коллективное письмо на имя премьер-министра Ли Кэцяна еще в июне 2016 года. Они утверждали, что новое законодательство будет препятствовать работе иностранных компаний в Китае. Уже после принятия закона США опубликовали официальный призыв к Китаю с просьбой не допустить полного ввода новых правил, так как они препятствуют международному обмену информацией.

История ИБ в Китае: начинаем разбираться с законами и регулированием - 3
/ Flickr / ChiralJon / CC

Тем временем закон продолжает поэтапно вступать в силу. Ожидается, что процесс завершится к концу 2018 года. В мае этого года в Китае обсудят спецификацию ПД, предложенную в январе.

Она станет важным дополнением к законодательству. Спецификация уточняет определение персональных данных и вводит различные составляющие таких сведений — финансовая, идентификационная информация и так далее. Документ содержит конкретные требования к сбору и использованию ПД в зависимости от их назначения.

На этом мы не заканчиваем тему правовой защиты информационной безопасности Китая. В следующих частях мы подложим знакомить вас с технологическими нюансами этой темы.

Другие материалы из нашего корпоративного блога:

Наш Network-дайджест на Хабре —20 материалов о сетях и битве за Net Neutrality.

Автор: VAS Experts

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js