- PVSM.RU - https://www.pvsm.ru -

История ИБ в Китае: начинаем разбираться с законами и регулированием

В 2016 году в Китае представили современную версию национальный стратегии по кибербезопасности. Его основной посыл — использование любых средств для обеспечения суверенитета национального киберпространства. В новой серии статей мы расскажем о том, какие именно инструменты применяет Китай для обеспечения информационной безопасности в стране.

Начнем с общего обзора различных классификаций и законов.

История ИБ в Китае: начинаем разбираться с законами и регулированием - 1 [1]
/ Flickr / Surian Soosay [2] / CC [3]

Многоуровневая система защиты

В 2007 году Китай обновил свою «классификацию многоуровневой системы защиты» (MLPS). Она лежит в основе законов, охватывающих сферу кибербезопасности. Например, в соответствии с MLPS принимаются решения об уровне допуска иностранных продуктов в ту или иную сферу или систему. MLPS дает пять уровней ИБ с точки зрения потенциальных последствий:

1. Повреждение ИС наносит вред правам граждан и организаций.

2. Здесь к п.1 добавляется ущерб общественному порядку.

3. Помимо п.1 и п.2 — еще и ущерб национальной безопасности.

4. Значимый ущерб всех трех уровнях (п.1 — п.3).

5. Критический ущерб на уровне национальной безопасности.

Полагаясь на MLPS и законодательство, власти требуют доступ к протоколам шифрования и значительной части исходного кода от компаний, работающих в сфере финансов, телекома, медицины, образования и энергетики. Чем выше потенциальная угроза, тем выше требования.

Регулирование шифрования

Важный элемент обеспечения информационной безопасности в Китае — регулирование всего, что касается шифрования. Одна из первых директив в этом отношении вышла еще в 1999 году.

Она регламентировала работу с тематическим ПО и железом — производить и продавать продукты шифрования в коммерческом секторе стало возможно только с разрешения государственных органов и в соответствии с установленными правилами. Так, криптостойкость не могла превышать уровень, установленный государством. Позже власти разъяснили, что эти правила применяются к продуктам, основной функцией которых является шифрование. Например, для пользовательских гаджетов это — вторичная функция, и на них запрет не действует.

В следующие годы власти развивали идею контроля средств шифрования и развивали национальные стандарты. Например, в 2003 году правительство сделало WAPI обязательным для любого беспроводного продукта, продаваемого в Китае. Набор стандартов IEEE 802.11 временно оказался под запретом, но в процессе диалога с Международной организацией по стандартизации (ИСО) ограничение смягчили, а ряд вендров пошли по пути компромисса. Например, Apple с поддержкой WAPI в рамках 3GS iPhone.

История ИБ в Китае: начинаем разбираться с законами и регулированием - 2
/ Flickr / Jessica Spengler [4] / CC [3]

В 2009 году в Китае появился каталог импортеров продуктов шифрования. Его состав пересматривался [5] позднее. Например, в 2013 году список покинули смарт-карты для цифрового ТВ и Bluetooth-модули. Судя по проекту нового закона о шифровании, Китай отказывается [6] от строгих требований для иностранных компаний и стремится к унификации регулирования.

В сентябре прошлого года Госсовет КНР принял решение, которое освобождает производителей и пользователей продуктов шифрования от необходимости получать разрешение на поставки и распространение, но все еще требует сертификации. Без него ни одна компания или физическое лицо не сможет продавать коммерческие продукты шифрования в Китае.

Закон о кибербезопасности

В 2014 году за два года до публикации современной версии национальной стратегии по кибербезопасности в Китае прошла первая встреча Группы [7] по вопросам безопасности и информатизации. На ней президент Си Цзиньпин дал напутствие [8] сделать ИТ-безопасность приоритетом для страны. Это решение было продиктовано и тем, что годом ранее Китай вошел [9] в число стран, понесших самые большие потери от киберпреступлений в мире.

В 2015 году в Китае был принят новый закон о национальной безопасности. Его положения распространялись на широкий круг сфер, и подчеркивали необходимость укрепления защиты национальных ИТ-систем и установления суверенитета киберпространства в Китае. Более подробно эти вопросы раскрыл черновик [10] Закона о кибербезопасности. В числе прочего он предполагал обязательную регистрацию в интернет-сервисах, особенно в мессенджерах, под настоящими именами, привлечение операторов к участию в правительственных расследованиях, крупные инвестиции в сферу кибербезопасности, введение обязательства по хранению ПД в Китае.

В 2016 году закон был окончательно принят, а в 2017-м вступил в силу [11]. Закон делает акцент на сборе, хранении и использовании ПД китайских гражданах и информации, имеющей отношение к национальной безопасности. Такие сведения должны храниться внутри страны.

Закон о кибербезопасности применяется [12] ко всем операторам и предприятиям в критически важных секторах, и фактически к любым системам, состоящим из компьютеров и сопутствующего оборудования, которое собирает, хранит, передает и обрабатывает информацию. Регулирование также предусматривает обязательное тестирование и сертификацию оборудования сетевых операторов и запрещают экспорт за границу экономических, технологических или научных данных, которые представляют угрозу национальной безопасности или общественным интересам.

Последнее положение вызвало неоднозначную реакцию. Более 50 американских, европейских и японских компаний подписали коллективное письмо на имя премьер-министра Ли Кэцяна еще в июне 2016 года. Они утверждали, что новое законодательство будет препятствовать работе иностранных компаний в Китае. Уже после принятия закона США опубликовали [13] официальный призыв к Китаю с просьбой не допустить полного ввода новых правил, так как они препятствуют международному обмену информацией.

История ИБ в Китае: начинаем разбираться с законами и регулированием - 3
/ Flickr / ChiralJon [14] / CC [3]

Тем временем закон продолжает поэтапно вступать в силу. Ожидается, что процесс завершится к концу 2018 года. В мае этого года в Китае обсудят спецификацию ПД, предложенную в январе.

Она станет важным дополнением к законодательству. Спецификация уточняет определение персональных данных и вводит различные составляющие таких сведений — финансовая, идентификационная информация и так далее. Документ содержит конкретные требования к сбору и использованию ПД в зависимости от их назначения.

На этом мы не заканчиваем тему правовой защиты информационной безопасности Китая. В следующих частях мы подложим знакомить вас с технологическими нюансами этой темы.

Другие материалы из нашего корпоративного блога:

Наш Network-дайджест на Хабре [21] —20 материалов о сетях и битве за Net Neutrality.

Автор: VAS Experts

Источник [22]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/277820

Ссылки в тексте:

[1] Image: https://habrahabr.ru/company/vasexperts/blog/353516/

[2] Surian Soosay: https://www.flickr.com/photos/ssoosay/6213585575/

[3] CC: https://creativecommons.org/licenses/by/2.0/

[4] Jessica Spengler: https://www.flickr.com/photos/wordridden/6184944792

[5] пересматривался: http://www.internationaltradecomplianceupdate.com/2014/01/17/china-semb-adjusts-catalogue-for-administration-of-import-of-encryption-products-and-equipment-containing-encryption-technology/

[6] отказывается: https://www.debrauw.com/newsletter/trends-china-moves-away-strict-encryption-regulations-foreign-companies/

[7] Группы: https://en.wikipedia.org/wiki/Central_Internet_Security_and_Informatization_Commission

[8] дал напутствие: https://thediplomat.com/2014/03/xi-jinping-china-should-become-a-cyber-power/

[9] вошел: https://www.reuters.com/article/us-cybersecurity-mcafee-csis/cyber-crime-costs-global-economy-445-billion-a-year-report-idUSKBN0EK0SV20140609

[10] черновик: https://www.cfr.org/blog/chinas-new-cybersecurity-law

[11] вступил в силу: https://www.cnbc.com/2017/05/31/chinas-new-cybersecurity-law-takes-effect-today.html

[12] применяется: https://thediplomat.com/2017/06/chinas-cybersecurity-law-what-you-need-to-know/

[13] опубликовали: https://www.reuters.com/article/us-usa-china-cyber-trade/u-s-asks-china-not-to-enforce-cyber-security-law-idUSKCN1C11D1

[14] ChiralJon: https://www.flickr.com/photos/69057297@N04/34964971213/

[15] Кейсы: https://vasexperts.ru/cases/

[16] вебинары и выступления VAS Experts: https://vasexperts.ru/webinars/

[17] Интернет в деревню — строим радиорелейную Wi-Fi-сеть: https://vasexperts.ru/blog/telekom/internet-v-derevnyu-stroim-radiorelejnuyu-wi-fi-set/

[18] Способы эффективного распределения полосы пропускания: https://vasexperts.ru/blog/qos/sposoby-effektivnogo-raspredeleniya-polosy-propuskaniya/

[19] Основные сервисы в сетях интернет-провайдера: https://vasexperts.ru/blog/seti/osnovnye-servisy-v-setyax-internet-provajdera/

[20] Будущее услуг операторов связи: https://vasexperts.ru/blog/telekom/budushhee-uslug-operatorov-svyazi/

[21] Network-дайджест на Хабре: https://habrahabr.ru/company/vasexperts/blog/351368/

[22] Источник: https://habrahabr.ru/post/353516/?utm_source=habrahabr&utm_medium=rss&utm_campaign=353516