История ИБ в Китае.

Начнем с общего обзора различных классификаций и законов.

Многоуровневая система защиты

В 2007 году Китай обновил свою «классификацию многоуровневой системы защиты» (MLPS). Она лежит в основе законов, охватывающих сферу кибербезопасности. Например, в соответствии с MLPS принимаются решения об уровне допуска иностранных продуктов в ту или иную сферу или систему.

MLPS дает пять уровней ИБ с точки зрения потенциальных последствий:

1. Повреждение ИС наносит вред правам граждан и организаций.
2. Здесь к п.1 добавляется ущерб общественному порядку.
3. Помимо п.1 и п.2 — еще и ущерб национальной безопасности.
4. Значимый ущерб всех трех уровнях (п.1 — п.3).
5. Критический ущерб на уровне национальной безопасности.

Полагаясь на MLPS и законодательство, власти требуют доступ к протоколам шифрования и значительной части исходного кода от компаний, работающих в сфере финансов, телекома, медицины, образования и энергетики. Чем выше потенциальная угроза, тем выше требования.

Регулирование шифрования.

Важный элемент обеспечения информационной безопасности в Китае — регулирование всего, что касается шифрования.

Одна из первых директив в этом отношении вышла еще в 1999 году.

Она регламентировала работу с тематическим ПО и железом — производить и продавать продукты шифрования в коммерческом секторе стало возможно только с разрешения государственных органов и в соответствии с установленными правилами. Так, криптостойкость не могла превышать уровень, установленный государством. Позже власти разъяснили, что эти правила применяются к продуктам, основной функцией которых является шифрование. Например, для пользовательских гаджетов это — вторичная функция, и на них запрет не действует.

В следующие годы власти развивали идею контроля средств шифрования и развивали национальные стандарты.

Например, в 2003 году правительство сделало WAPI обязательным для любого беспроводного продукта, продаваемого в Китае. Набор стандартов IEEE 802.11 временно оказался под запретом, но в процессе диалога с Международной организацией по стандартизации (ИСО) ограничение смягчили, а ряд вендров пошли по пути компромисса. Например, Apple с поддержкой WAPI в рамках 3GS iPhone.

В 2009 году в Китае появился каталог импортеров продуктов шифрования.

Его состав пересматривался позднее. Например, в 2013 году список покинули смарт-карты для цифрового ТВ и Bluetooth-модули. Судя по проекту нового закона о шифровании, Китай отказывается от строгих требований для иностранных компаний и стремится к унификации регулирования.

В сентябре прошлого года Госсовет КНР принял решение, которое освобождает производителей и пользователей продуктов шифрования от необходимости получать разрешение на поставки и распространение, но все еще требует сертификации.

Без него ни одна компания или физическое лицо не сможет продавать коммерческие продукты шифрования в Китае.

Закон о кибербезопасности.

В 2014 году за два года до публикации современной версии национальной стратегии по кибербезопасности в Китае прошла первая встреча Группы по вопросам безопасности и информатизации. На ней президент Си Цзиньпин дал напутствие сделать ИТ-безопасность приоритетом для страны. Это решение было продиктовано и тем, что годом ранее Китай вошел в число стран, понесших самые большие потери от киберпреступлений в мире.

В 2015 году в Китае был принят новый закон о национальной безопасности.

Его положения распространялись на широкий круг сфер, и подчеркивали необходимость укрепления защиты национальных ИТ-систем и установления суверенитета киберпространства в Китае. Более подробно эти вопросы раскрыл черновик Закона о кибербезопасности. В числе прочего он предполагал обязательную регистрацию в интернет-сервисах, особенно в мессенджерах, под настоящими именами, привлечение операторов к участию в правительственных расследованиях, крупные инвестиции в сферу кибербезопасности, введение обязательства по хранению ПД в Китае.

В 2016 году закон был окончательно принят, а в 2017-м вступил в силу.

Закон делает акцент на сборе, хранении и использовании ПД китайских гражданах и информации, имеющей отношение к национальной безопасности. Такие сведения должны храниться внутри страны.

Закон о кибербезопасности применяется ко всем операторам и предприятиям в критически важных секторах, и фактически к любым системам, состоящим из компьютеров и сопутствующего оборудования, которое собирает, хранит, передает и обрабатывает информацию. Регулирование также предусматривает обязательное тестирование и сертификацию оборудования сетевых операторов и запрещают экспорт за границу экономических, технологических или научных данных, которые представляют угрозу национальной безопасности или общественным интересам.

Последнее положение вызвало неоднозначную реакцию.

Более 50 американских, европейских и японских компаний подписали коллективное письмо на имя премьер-министра Ли Кэцяна еще в июне 2016 года. Они утверждали, что новое законодательство будет препятствовать работе иностранных компаний в Китае. Уже после принятия закона США опубликовали официальный призыв к Китаю с просьбой не допустить полного ввода новых правил, так как они препятствуют международному обмену информацией.

Тем временем закон продолжает поэтапно вступать в силу.

Ожидается, что процесс завершится к концу 2018 года. В мае этого года в Китае обсудят спецификацию ПД, предложенную в январе.

Она станет важным дополнением к законодательству. Спецификация уточняет определение персональных данных и вводит различные составляющие таких сведений — финансовая, идентификационная информация и так далее. Документ содержит конкретные требования к сбору и использованию ПД в зависимости от их назначения.

На этом мы не заканчиваем тему правовой защиты информационной безопасности Китая. В следующих частях мы подложим знакомить вас с технологическими нюансами этой темы.

LIVE X - в этом канале собраны рассказы людей, которые пережили опыт, о котором невозможно молчать. Идите на этот маячок, тогда вы не заблудитесь в море информации.

Zdislav Group - канал с уникальным контентом из Нью-Йорка! Рубрика "Книга в день" - это выжимка самой сути из бизнес книг, многие из которых даже не были опубликованы в России!

Digital Gold - канал о цифровых валютах, интернет активах и будущем денег, а также дайджест актуальных статей из Нью-Йорка.

Другой Telegram - Тут я рассказываю, как зарабатываю в Telegram. Публикую кейсы, делюсь информацией, которой нигде не найти. Информация полезна для тех, кто интересуется заработком на каналах в Telegram.