среда, 18 января 2017 г.

Китай: Начато обсуждение проектов добровольных стандартов информационной безопасности, часть 2


(Окончание)

Готовящийся стандарт «Руководство по обеспечению кибербезопасности» (речь, как я понимаю, идёт о документе 《信息安全技术 网络安全等级保护基本要求 第1部分:安全通用要求》- «Технологии информационной безопасности – Базовые требования к обеспечению кибербебезопасности», см. http://www.tc260.org.cn/zyjfb.jsp?norm_id=20140228131400&recode_id=20376&idea_id=20161103144020&t=0.367828574321329  и http://www.tc260.org.cn/zyjfb.jsp?norm_id=20160818091318&recode_id=20380&idea_id=20161103144401&t=0.9448082092684977Н.Х.)  должен заменить документ, опубликованный NISSTC в 2010 году (возможно, имеется в виду стандарт GB/T 25058-2010 信息安全技术信息系统安全等级保护实施指南 - Information security technology - Guidelines for implementation of information system security level protection – Н.Х.). Этот документ определяет процесс выявления и классификации объектов защиты, требующих повышенного внимания в плане кибербезопасностит, такие, как большие данные, платформы облачных вычислений, продуктов и услуг, использующих «интернет вещей», системы управления промышленными объектами и мобильные информационные системы на основе Интернета.

Существует специальная категория поставщиков услуг платформ облачных вычислений,  от которых ожидается повышенный уровень защиты от киберугроз. К крупным платформам облачных вычислений, поставщикам услуг инфраструктуры и сопутствующих услуг устанавливаются различные цели защиты с учетом различных требований к безопасности. В то же время мобильные информационные системы на основе Интернета должны защищаться как единое целое в рамках единого набора стратегий и мер по защите безопасности.

Проект стандарта требований по безопасности к услугам обработки больших данных (《信息安全技术 大数据服务安全能力要求》- «Требования к технологии информационной безопасности для средств обеспечения безопасности при оказании услуг обработки больших данных, см.
http://www.tc260.org.cn/zyjfb.jsp?norm_id=20160628132340&recode_id=21040&idea_id=20161221091431&t=0.6472740921435681 , прямая ссылка http://www.tc260.org.cn/file/20161215221704776913.doc ) содержит рекомендации по безопасности для поставщиков услуг по обработке больших данных, в части проектирования и эксплуатации соответствующих систем. Стандарт также содержат рекомендации третьим сторонам по оценке безопасности услуг обработки больших данных.

Данный проект является первым всеобъемлющим нормативно-правовым документом в Китае, специально посвященным безопасности больших данных. Установлен целый комплекс 2-уровневых требований к безопасности, в том числе 90 требований базового уровня (и 30 требований повышенного уровня), 214 требований к управлению жизненным циклом больших данных (92 усиленных требования), а также 288 требований к безопасности платформ больших данных и соответствующих приложений (92 усиленных требования).

Проект Тестирование и методы оценки для безопасности устройств обеспечивает стандарты для тестирования и оценки устройств, таких как принтеры, сканеры, факсы и копировальные машины для покупателей и дистрибьюторов.

Проект стандарта методов оценки и тестирования безопасности таких устройств, как принтеры, копиры, факс-аппараты и сканеры ( «《信息安全技术 硬拷贝设备安全测试评价方法》» - «Технологии информационной безопасности – тестирование и оценка методов обеспечения безопасности устройств создания твердых копий», см. http://www.tc260.org.cn/zyjfb.jsp?norm_id=20131217162102&recode_id=21054&idea_id=20161221101046&t=0.4471248985804571 , прямая ссылка http://www.tc260.org.cn/file/20161201084137764363.docx ) содержит соответствующие рекомендации для покупателей и распространителей подобных устройств.

Остальные три проекта стандартов касаются систем управления промышленными объектами – это одна из нарождающихся технологий – и охватывают такие вопросы, как оценка рисков, выявление уязвимостей, а также сетевой мониторинг.

Общественное обсуждение проектов продлится до 2 февраля 2017 года. Замечания и предложения можно разместить на официальном сайте NISSTC, где они будут собраны и сведены для дальнейшего анализа.

Хотя стандарты проливают некоторый свет на ряд проблем, но они также затуманивают многие вопросы за счет введения новых нечетких требований (например, о проведении  аудита безопасности, уведомления субъектов ПДн об утечках) и понятий (статистическая информация). Можно добиваться разъяснения этих понятий и требований посредством представления своих замечаний в NISSTC в рамках публичного обсуждения.

Габриэла Кеннеди (Gabriela Kennedy) и Джан Сяоянь (Xiaoyan Zhang)

Источник: сайт Mondaq
http://www.mondaq.com/hongkong/x/557926/Security/China+Releases+Draft+Voluntary+Information+Security+Standards+For+Public+Comment

Комментариев нет:

Отправить комментарий