(Окончание)
Готовящийся стандарт «Руководство по обеспечению кибербезопасности» (речь, как я понимаю, идёт о документе 《信息安全技术 网络安全等级保护基本要求 第1部分:安全通用要求》- «Технологии информационной безопасности – Базовые требования к обеспечению кибербебезопасности», см. и – Н.Х.) должен заменить документ, опубликованный NISSTC в 2010 году (возможно, имеется в виду стандарт GB/T 25058-2010 信息安全技术信息系统安全等级保护实施指南 - Information security technology - Guidelines for implementation of information system security level protection – Н.Х.). Этот документ определяет процесс выявления и классификации объектов защиты, требующих повышенного внимания в плане кибербезопасностит, такие, как большие данные, платформы облачных вычислений, продуктов и услуг, использующих «интернет вещей», системы управления промышленными объектами и мобильные информационные системы на основе Интернета.
Существует специальная категория поставщиков услуг платформ облачных вычислений, от которых ожидается повышенный уровень защиты от киберугроз. К крупным платформам облачных вычислений, поставщикам услуг инфраструктуры и сопутствующих услуг устанавливаются различные цели защиты с учетом различных требований к безопасности. В то же время мобильные информационные системы на основе Интернета должны защищаться как единое целое в рамках единого набора стратегий и мер по защите безопасности.
Проект стандарта требований по безопасности к услугам обработки больших данных (《信息安全技术 大数据服务安全能力要求》- «Требования к технологии информационной безопасности для средств обеспечения безопасности при оказании услуг обработки больших данных, см.
, прямая ссылка ) содержит рекомендации по безопасности для поставщиков услуг по обработке больших данных, в части проектирования и эксплуатации соответствующих систем. Стандарт также содержат рекомендации третьим сторонам по оценке безопасности услуг обработки больших данных.
Данный проект является первым всеобъемлющим нормативно-правовым документом в Китае, специально посвященным безопасности больших данных. Установлен целый комплекс 2-уровневых требований к безопасности, в том числе 90 требований базового уровня (и 30 требований повышенного уровня), 214 требований к управлению жизненным циклом больших данных (92 усиленных требования), а также 288 требований к безопасности платформ больших данных и соответствующих приложений (92 усиленных требования).
Проект Тестирование и методы оценки для безопасности устройств обеспечивает стандарты для тестирования и оценки устройств, таких как принтеры, сканеры, факсы и копировальные машины для покупателей и дистрибьюторов.
Проект стандарта методов оценки и тестирования безопасности таких устройств, как принтеры, копиры, факс-аппараты и сканеры ( «《信息安全技术 硬拷贝设备安全测试评价方法》» - «Технологии информационной безопасности – тестирование и оценка методов обеспечения безопасности устройств создания твердых копий», см. , прямая ссылка ) содержит соответствующие рекомендации для покупателей и распространителей подобных устройств.
Остальные три проекта стандартов касаются систем управления промышленными объектами – это одна из нарождающихся технологий – и охватывают такие вопросы, как оценка рисков, выявление уязвимостей, а также сетевой мониторинг.
Общественное обсуждение проектов продлится до 2 февраля 2017 года. Замечания и предложения можно разместить на официальном сайте NISSTC, где они будут собраны и сведены для дальнейшего анализа.
Хотя стандарты проливают некоторый свет на ряд проблем, но они также затуманивают многие вопросы за счет введения новых нечетких требований (например, о проведении аудита безопасности, уведомления субъектов ПДн об утечках) и понятий (статистическая информация). Можно добиваться разъяснения этих понятий и требований посредством представления своих замечаний в NISSTC в рамках публичного обсуждения.
Габриэла Кеннеди (Gabriela Kennedy) и Джан Сяоянь (Xiaoyan Zhang)
Источник: сайт Mondaq
