История ИБ в Китае: начинаем разбираться с законами и регулированием
В 2016 году в Китае представили современную версию национальный стратегии по кибербезопасности. Его основной посыл — использование любых средств для обеспечения суверенитета национального киберпространства. В новой серии статей мы расскажем о том, какие именно инструменты применяет Китай для обеспечения информационной безопасности в стране.
Начнем с общего обзора различных классификаций и законов.
/ Flickr / Surian Soosay / CC
Многоуровневая система защиты
В 2007 году Китай обновил свою «классификацию многоуровневой системы защиты» (MLPS). Она лежит в основе законов, охватывающих сферу кибербезопасности. Например, в соответствии с MLPS принимаются решения об уровне допуска иностранных продуктов в ту или иную сферу или систему. MLPS дает пять уровней ИБ с точки зрения потенциальных последствий:
1. Повреждение ИС наносит вред правам граждан и организаций.
2. Здесь к п.1 добавляется ущерб общественному порядку.
3. Помимо п.1 и п.2 — еще и ущерб национальной безопасности.
4. Значимый ущерб всех трех уровнях (п.1 — п.3).
5. Критический ущерб на уровне национальной безопасности.
Полагаясь на MLPS и законодательство, власти требуют доступ к протоколам шифрования и значительной части исходного кода от компаний, работающих в сфере финансов, телекома, медицины, образования и энергетики. Чем выше потенциальная угроза, тем выше требования.
Регулирование шифрования
Важный элемент обеспечения информационной безопасности в Китае — регулирование всего, что касается шифрования. Одна из первых директив в этом отношении вышла еще в 1999 году.
Она регламентировала работу с тематическим ПО и железом — производить и продавать продукты шифрования в коммерческом секторе стало возможно только с разрешения государственных органов и в соответствии с установленными правилами. Так, криптостойкость не могла превышать уровень, установленный государством. Позже власти разъяснили, что эти правила применяются к продуктам, основной функцией которых является шифрование. Например, для пользовательских гаджетов это — вторичная функция, и на них запрет не действует.
В следующие годы власти развивали идею контроля средств шифрования и развивали национальные стандарты. Например, в 2003 году правительство сделало WAPI обязательным для любого беспроводного продукта, продаваемого в Китае. Набор стандартов IEEE 802.11 временно оказался под запретом, но в процессе диалога с Международной организацией по стандартизации (ИСО) ограничение смягчили, а ряд вендров пошли по пути компромисса. Например, Apple с поддержкой WAPI в рамках 3GS iPhone.
/ Flickr / Jessica Spengler / CC
В 2009 году в Китае появился каталог импортеров продуктов шифрования. Его состав пересматривался позднее. Например, в 2013 году список покинули смарт-карты для цифрового ТВ и Bluetooth-модули. Судя по проекту нового закона о шифровании, Китай отказывается от строгих требований для иностранных компаний и стремится к унификации регулирования.
В сентябре прошлого года Госсовет КНР принял решение, которое освобождает производителей и пользователей продуктов шифрования от необходимости получать разрешение на поставки и распространение, но все еще требует сертификации. Без него ни одна компания или физическое лицо не сможет продавать коммерческие продукты шифрования в Китае.
Закон о кибербезопасности
В 2014 году за два года до публикации современной версии национальной стратегии по кибербезопасности в Китае прошла первая встреча Группы по вопросам безопасности и информатизации. На ней президент Си Цзиньпин дал напутствие сделать ИТ-безопасность приоритетом для страны. Это решение было продиктовано и тем, что годом ранее Китай вошел в число стран, понесших самые большие потери от киберпреступлений в мире.
В 2015 году в Китае был принят новый закон о национальной безопасности. Его положения распространялись на широкий круг сфер, и подчеркивали необходимость укрепления защиты национальных ИТ-систем и установления суверенитета киберпространства в Китае. Более подробно эти вопросы раскрыл черновик Закона о кибербезопасности. В числе прочего он предполагал обязательную регистрацию в интернет-сервисах, особенно в мессенджерах, под настоящими именами, привлечение операторов к участию в правительственных расследованиях, крупные инвестиции в сферу кибербезопасности, введение обязательства по хранению ПД в Китае.
В 2016 году закон был окончательно принят, а в 2017-м вступил в силу. Закон делает акцент на сборе, хранении и использовании ПД китайских гражданах и информации, имеющей отношение к национальной безопасности. Такие сведения должны храниться внутри страны.
Закон о кибербезопасности применяется ко всем операторам и предприятиям в критически важных секторах, и фактически к любым системам, состоящим из компьютеров и сопутствующего оборудования, которое собирает, хранит, передает и обрабатывает информацию. Регулирование также предусматривает обязательное тестирование и сертификацию оборудования сетевых операторов и запрещают экспорт за границу экономических, технологических или научных данных, которые представляют угрозу национальной безопасности или общественным интересам.
Последнее положение вызвало неоднозначную реакцию. Более 50 американских, европейских и японских компаний подписали коллективное письмо на имя премьер-министра Ли Кэцяна еще в июне 2016 года. Они утверждали, что новое законодательство будет препятствовать работе иностранных компаний в Китае. Уже после принятия закона США опубликовали официальный призыв к Китаю с просьбой не допустить полного ввода новых правил, так как они препятствуют международному обмену информацией.
/ Flickr / ChiralJon / CC
Тем временем закон продолжает поэтапно вступать в силу. Ожидается, что процесс завершится к концу 2018 года. В мае этого года в Китае обсудят спецификацию ПД, предложенную в январе.
Она станет важным дополнением к законодательству. Спецификация уточняет определение персональных данных и вводит различные составляющие таких сведений — финансовая, идентификационная информация и так далее. Документ содержит конкретные требования к сбору и использованию ПД в зависимости от их назначения.
На этом мы не заканчиваем тему правовой защиты информационной безопасности Китая. В следующих частях мы подложим знакомить вас с технологическими нюансами этой темы.
Другие материалы из нашего корпоративного блога:
- Кейсы, вебинары и выступления VAS Experts
- Интернет в деревню — строим радиорелейную Wi-Fi-сеть
- Способы эффективного распределения полосы пропускания
- Основные сервисы в сетях интернет-провайдера
- Будущее услуг операторов связи
Наш Network-дайджест на Хабре —20 материалов о сетях и битве за Net Neutrality.