Новые правила превращают каждого местного CISO в заложника собственной профессии.
Китай ужесточает правила реагирования на и вводит самые жёсткие в мире сроки для отчётности. С 1 ноября операторы сетей в стране будут обязаны сообщать о серьёзных инцидентах в течение одного часа после их обнаружения. Новые меры в «Положении об управлении сообщениями о киберинцидентах», подготовленном Государственным управлением по делам киберпространства КНР (CAC). Более того, для «особо крупных» происшествий срок снижается до 30 минут.
Под действие правил подпадает широкий круг организаций — фактически все владельцы, администраторы и поставщики сетевых услуг. Нарушение сроков или попытка скрыть факт атаки грозит наказанием не только компаниям, но и ответственным должностным лицам. Ведомство подчёркивает, что за задержку, неполное или искажённое уведомление наказание будет максимально строгим.
Для классификации происшествий вводится четырёхуровневая шкала, где наивысший уровень предполагает наиболее жёсткие требования. К категории «особо крупных» относятся критически важных или секретных данных, затрагивающие национальную безопасность или общественную стабильность, разглашение сведений о более чем 100 миллионах граждан, сбои, из-за которых правительственные либо новостные сайты остаются недоступными свыше суток, а также прямые экономические потери свыше 100 миллионов юаней (около 10,3 миллиона фунтов стерлингов).
Начальный отчёт об инциденте должен включать полный перечень сведений: затронутые системы, хронологию атаки, тип происшествия, характер ущерба, предпринятые меры по локализации, выявленные уязвимости, сумму выкупа, если речь идёт о вымогательстве, и прогноз возможных последствий. Дополнительно требуется указать, какая помощь со стороны государства необходима для восстановления. Спустя 30 дней обязателен итоговый отчёт с анализом причин, выводами и распределением ответственности.
Для уведомлений предусмотрено несколько каналов: телефонная горячая линия 12387, сайт, WeChat, электронная почта и другие. Такой выбор должен исключить оправдания о невозможности оперативно выйти на контакт. По сравнению с европейскими нормами, где компании имеют до 72 часов на сообщение о нарушении, китайский подход радикально сокращает временной лаг. В результате организациям придётся вкладываться в круглосуточный мониторинг и создавать специализированные команды, способные принимать решения за минуты.
Появление новых правил совпало с громким штрафом, который был наложен на подразделение Dior в Шанхае. Компания передавала данные клиентов во Францию без обязательной проверки безопасности, уведомления пользователей и даже без шифрования. Этот случай китайские власти рассматривают как показатель необходимости ужесточения контроля.
Подробнее:
Китай ужесточает правила реагирования на и вводит самые жёсткие в мире сроки для отчётности. С 1 ноября операторы сетей в стране будут обязаны сообщать о серьёзных инцидентах в течение одного часа после их обнаружения. Новые меры в «Положении об управлении сообщениями о киберинцидентах», подготовленном Государственным управлением по делам киберпространства КНР (CAC). Более того, для «особо крупных» происшествий срок снижается до 30 минут.
Под действие правил подпадает широкий круг организаций — фактически все владельцы, администраторы и поставщики сетевых услуг. Нарушение сроков или попытка скрыть факт атаки грозит наказанием не только компаниям, но и ответственным должностным лицам. Ведомство подчёркивает, что за задержку, неполное или искажённое уведомление наказание будет максимально строгим.
Для классификации происшествий вводится четырёхуровневая шкала, где наивысший уровень предполагает наиболее жёсткие требования. К категории «особо крупных» относятся критически важных или секретных данных, затрагивающие национальную безопасность или общественную стабильность, разглашение сведений о более чем 100 миллионах граждан, сбои, из-за которых правительственные либо новостные сайты остаются недоступными свыше суток, а также прямые экономические потери свыше 100 миллионов юаней (около 10,3 миллиона фунтов стерлингов).
Начальный отчёт об инциденте должен включать полный перечень сведений: затронутые системы, хронологию атаки, тип происшествия, характер ущерба, предпринятые меры по локализации, выявленные уязвимости, сумму выкупа, если речь идёт о вымогательстве, и прогноз возможных последствий. Дополнительно требуется указать, какая помощь со стороны государства необходима для восстановления. Спустя 30 дней обязателен итоговый отчёт с анализом причин, выводами и распределением ответственности.
Для уведомлений предусмотрено несколько каналов: телефонная горячая линия 12387, сайт, WeChat, электронная почта и другие. Такой выбор должен исключить оправдания о невозможности оперативно выйти на контакт. По сравнению с европейскими нормами, где компании имеют до 72 часов на сообщение о нарушении, китайский подход радикально сокращает временной лаг. В результате организациям придётся вкладываться в круглосуточный мониторинг и создавать специализированные команды, способные принимать решения за минуты.
Появление новых правил совпало с громким штрафом, который был наложен на подразделение Dior в Шанхае. Компания передавала данные клиентов во Францию без обязательной проверки безопасности, уведомления пользователей и даже без шифрования. Этот случай китайские власти рассматривают как показатель необходимости ужесточения контроля.
Подробнее:
