I. Законы
1. Закон Китая о кибербезопасности (2017 г.) 网络 安全 法
Этот Закон применяется к владельцам, менеджерам и поставщикам сетевых услуг (далее именуемые «операторы»), которые создают, эксплуатируют, поддерживают и используют сети в Китае. Ключевые положения этого Закона включают:
(1) Операторы должны проверять личность пользователя при предоставлении таких услуг, как доступ к сети, регистрация доменного имени, доступ к телефонной сети или выпуск информации и обмен мгновенными сообщениями для пользователя.
(2) Личная информация и важные данные должны храниться в Китае. Экспорт данных подлежит рассмотрению регулирующим органом.
(3) Операторы должны оказывать техническую поддержку и помощь органам общественной безопасности и органам национальной безопасности.
(4) Если какое-либо зарубежное учреждение, организация или отдельное лицо атакует, нарушает, нарушает, разрушает или иным образом повреждает критически важные информационные инфраструктуры Китая, вызывая серьезные последствия, нарушитель несет юридическую ответственность в соответствии с законом. Органы общественной безопасности и соответствующие департаменты могут принять решение о замораживании имущества или принять любые другие необходимые санкции против учреждения, организации или отдельного лица.
2. Решение об усилении защиты сетевой информации (2012 г.) 关于 加强 网络 信息 保护 的 决定
Решение впервые в Китае устанавливает правила сбора и использования личной информации, а также обязательства поставщиков сетевых услуг по защите личной информации.
Закон о кибербезопасности, впоследствии обнародованный в 2018 году, принял большую часть содержания Решения.
3. Решение о поддержании безопасности в Интернете (2000 г.) 关于 维护 互联网 安全 的 决定
Решение является первым правилом Китая по кибербезопасности, ключевые моменты которого заключаются в следующем:
(1) Взлом или уничтожение компьютерной системы является преступлением.
(2) Подрыв государственной власти, разрушение национального единства и единства национальностей, кража государственной тайны и участие в культовой деятельности путем публикации информации в Интернете являются преступлением.
(3) Нарушение законных прав других лиц в Интернете является преступлением.
II. Административные правила
Ключевые моменты мер включают:
(1) Министерство общественной безопасности отвечает за защиту соединения между компьютерной сетью в Китае и международным Интернетом.
(2) Ни одно лицо не должно использовать международный Интернет для публикации незаконного контента или угрозы компьютерной безопасности.
2. Положение о защите компьютерной информационной системы Китая (2011 г.) 计算机 信息 系统 安全 保护 条例
Ключевые моменты мер включают:
(1) Правила направлены на защиту безопасности компьютерных информационных систем на территории Китая.
(2) Министерство общественной безопасности является компетентным органом в этой области, функции и полномочия которого включают надзор за соответствующей защитой безопасности; расследование и наказание незаконных действий, угрожающих компьютерной безопасности.
27 июня 2018 года Министерство общественной безопасности на основании статьи 21 Закона о кибербезопасности разработало «Положение об уровнях защиты кибербезопасности» и объявило о своем проекте для сбора мнений общественности. На данный момент законопроект еще не стал официально принятым законом.
Основные моменты проекта заключаются в следующем:
(1) Сетевая система будет разделена на пять уровней защиты в зависимости от ее важности для национальной безопасности, экономического строительства и социальной жизни.
Важность сетевой системы постепенно возрастает от первого до пятого уровня. (Статья 15)
Сетевые системы разных уровней показывают степень, в которой соответствующие интересы могут быть ущемлены в случае инцидента сетевой безопасности сетевой системы на этом уровне, а именно:
Уровень 1: национальная безопасность, общественный порядок и общественные интересы не будут поставлены под угрозу;
Уровень 2: общественный порядок и общественные интересы будут поставлены под угрозу, а национальная безопасность не будет подвергнута угрозе;
Уровень 3: Социальный порядок и общественные интересы окажутся под серьезной угрозой или будет поставлена под угрозу национальная безопасность;
Уровень 4: Социальный порядок и общественные интересы окажутся под серьезной угрозой или национальная безопасность окажется под серьезной угрозой;
Уровень 5: Национальная безопасность находится под особенно серьезной угрозой.
(2) Оператор сети определяет уровень защиты сети на стадии планирования и проектирования, а эксперты и компетентные органы подтверждают ее уровень. После подтверждения уровня сетевой оператор также должен подать заявление в орган общественной безопасности. (Статьи 16, 17, 18)
(3) Сетевые операторы должны выполнять необходимые обязательства по безопасности, а операторы сетей выше Уровня 3 также должны выполнять особые обязательства по защите безопасности. (Статьи 20 и 21)
(4) Если сетевые продукты и услуги, приобретаемые сетевыми операторами, могут повлиять на национальную безопасность, такие продукты и услуги должны пройти экспертизу национальной безопасности, организованную регулирующими органами. (Статья 28)
(5) Сети уровня выше 3 должны поддерживаться внутри страны, а удаленное техническое обслуживание не допускается за границей. (Статья 29)
(6) Операторы сети должны сообщать контролирующим органам информацию о мониторинге сетевой безопасности и раннем предупреждении, а также об инцидентах сетевой безопасности, устанавливать механизмы защиты важных данных и личной информации, а также формулировать и выполнять планы действий в чрезвычайных ситуациях сетевой безопасности. (Статьи 30, 31, 32)
III. Ведомственные правила
1. Обзор мер по кибербезопасности Китая (2020 г.) 网络 安全 审查 办法
Меры призваны контролировать, влияет ли покупка сетевых продуктов и услуг операторами критически важной информационной инфраструктуры (далее именуемыми «операторами») на национальную безопасность. Ключевые моменты мер включают:
(1) Если покупка сетевых продуктов и услуг операторами влияет или может повлиять на национальную безопасность, операторы должны сообщить в отдел проверки сетевой безопасности, связанный с Администрацией киберпространства Китая, для проверки сетевой безопасности.
(2) Сетевые продукты или услуги включают компьютеры, серверы, устройства хранения, базы данных, программное обеспечение и облачные сервисы.
(3) Отдел проверки сетевой безопасности рассмотрит следующие риски: не будут ли повреждены объекты, использующие такие продукты или услуги; не произойдет ли утечка данных; является ли канал поставки таких продуктов или услуг безопасным и стабильным; соблюдает ли поставщик таких продуктов или услуг китайское законодательство.
2. Методы оценки безопасности для служб облачных вычислений (2019 г.) 云 计算 服务 安全 评估 办法
Эти методы оценки безопасности направлены на оценку безопасности и управляемости услуг облачных вычислений, приобретаемых Стороной и государственными органами, а также ключевыми операторами информационной инфраструктуры. Ключевые моменты заключаются в следующем:
(1) Оценка безопасности услуг облачных вычислений будет сосредоточена на следующем: (i) основная информация операторов облачных платформ; (ii) опыт и стабильность поставщиков облачных услуг; (ii) безопасность технологии облачной платформы, продуктов и цепочки поставок услуг; (vi) возможности управления безопасностью и меры безопасности поставщиков облачных услуг; (v) возможность и удобство переноса данных о клиентах; (iv) непрерывность бизнеса поставщиков облачных услуг.
(2) Поставщики облачных услуг могут подавать заявки на оценку безопасности на облачных платформах, которые предоставляют услуги облачных вычислений Стороне и правительственным органам, а также ключевым операторам информационной инфраструктуры.
Целью настоящего Регламента является определение того, как органы общественной безопасности должны проводить надзор и проверку выполнения поставщиками Интернет-услуг и пользователями Интернета своих обязательств по кибербезопасности.
Ключевые моменты мер включают:
(1) Министерство общественной безопасности отвечает за защиту соединения между компьютерной сетью в Китае и международным Интернетом.
(2) Ни одно лицо не должно использовать международный Интернет для публикации незаконного контента или угрозы компьютерной безопасности.
5.Положение о технических мерах по обеспечению кибербезопасности (2006 г.) 互联网 安全 保护 技术 措施 规定
Настоящие Правила направлены на надзор за поставщиками услуг Интернета и пользователями Интернета с целью принятия технических мер по обеспечению кибербезопасности и обеспечения нормального функционирования технических мер по обеспечению кибербезопасности. Отдел по надзору за безопасностью общественной информационной сети органа общественной безопасности отвечает за надзор за осуществлением технических мер по кибербезопасности.
IV. Политики
Эти планы действий в чрезвычайных ситуациях направлены на создание системы организации чрезвычайных ситуаций и рабочего механизма для чрезвычайных ситуаций в области общественной безопасности в Интернете.
Меры нацелены на усиление мониторинга и обработки работ по устранению угроз кибербезопасности общедоступного Интернета, устранение рисков безопасности, остановку атак, предотвращение ущерба и снижение рисков безопасности. Угрозы кибербезопасности общедоступного Интернета относятся к сетевым ресурсам, вредоносным программам, угрозам безопасности или инцидентам безопасности, которые существуют или распространяются в общедоступном Интернете и могут причинить или уже причинили вред общественности.
В каталоге представлены 15 видов оборудования и продукции. Закон Китая о кибербезопасности требует защиты критически важной информационной инфраструктуры от атак, вторжений, вмешательства и ущерба. В Каталоге указано, какое оборудование и продукты относятся к критической информационной инфраструктуре.
Эти меры направлены на руководство административной работой для местных регулирующих органов и предприятий, занимающихся доступом к Интернету, которые задействованы в центрах обработки данных Интернета (включая службы совместной работы с Интернет-ресурсами), службах доступа в Интернет, сетях доставки контента и других службах при управлении использованием и оперативном обслуживании Интернета. системы управления информационной безопасностью.
Это Мнение направлено на содействие созданию единой и авторитетной системы стандартов национальной сетевой безопасности и механизма стандартизации. Ключевые моменты заключаются в следующем:
(1) Создавайте и постоянно улучшайте стандартную систему сетевой безопасности.
(2) Активно участвовать в разработке международных правил и международных стандартных правил для киберпространства.
Это мнение направлено на усиление развития дисциплины и обучения талантов Китайской академии кибербезопасности.
Это Уведомление призвано призвать все правительственные ведомства улучшить защиту своих официальных веб-сайтов.
Настоящее Уведомление разделено на 3 части с целью помочь Китаю создать систему промышленной безопасности в Интернете к концу 2020 года.
V. Технический стандарт
1. Требования к оценке уровня защиты сети 信息 安全 技术 网络 安全 等级 保护 测评 要求
2. Основные требования к защите уровня сетевой безопасности 信息 安全 技术 网络 安全 安全 等级 保护 基本 要求
3. Уровень сетевой безопасности Защита Требования к дизайну безопасности 信息 安全 技术 网络 安全 等级 保护 安全 设计 要求
Фото Жеана Беллера (https://unsplash.com/@jeanbeller) на Unsplash