С 1 июня 2017 г. в КНР вступили в силу новые «Правила проверки безопасности сетевых товаров и услуг (пробные)» (далее – Правила), требующие от китайских предприятий проводить проверку на интернет-безопасности важнейшие товары и услуги, закупаемые для использования в ключевых для государства сетях и информационных системах.
Новые Правила приняты в соответствии с Законом КНР «О сетевой безопасности», принятым в ноябре 2016 г. В соответствии со ст. 35 данного закона операторы ключевой информационной инфраструктуры при закупке сетевых товаров и услуг обязаны проходить проверку на соответствие требованиям государственной безопасности, если данные товары и услуги могут повлиять на состояние государственной безопасности. Проверка на соответствие требованиям государственной безопасности должна в соответствии с законом проводиться Государственной канцелярией по делам интернет-информации совместно с другими ведомствами Государственного совета КНР.
Ответственные органы
В соответствии с новыми Правилами Государственная канцелярия по делам интернет-информации совместно с другими ведомствами Госсовета КНР создала специальную комиссию для проведения проверок на соответствие требованиям сетевой безопасности. Данная комиссия несет ответственность за определение основных правил проверки, централизованную организацию работы по проверке сетевой безопасности товаров и услуг и проведение межведомственного согласования по важнейшим вопросам. Фактически проверки организуются и проводятся канцелярией по проверке на соответствие требованиям сетевой безопасности, созданной при комиссии.
Кроме того, комиссия наделяет сторонние организации правом на предоставление независимой оценки и создает комитет экспертов. Организации, получившие право на предоставление независимой оценки соответствия требованиям сетевой безопасности, несут ответственность за предоставление данной оценки при проведении проверок. В свою очередь комитет экспертов по проверке сетевой безопасности, созданных из числа приглашенных комиссией экспертов, на основе независимой оценки определяет риски использования сетевых товаров и услуг, а также безопасности и надежности поставщиков товаров и услуг.
Оценка сетевой безопасности сетевых товаров и услуг в сфере финансов, телекоммуникаций, энергетики, транспорта и других важнейших отраслях проводится соответствующими органами отраслевого регулирования.
Проведение оценки сетевой безопасности
При проверке на соответствие сетевых товаров и услуг требованиям сетевой безопасности в первую очередь оценивается их безопасность и контролируемость. В частности, оцениваются следующие риски:
- риски безопасности товара или услуги, а также риски незаконного перехвата контроля, вмешательства или прекращения функционирования;
- риски безопасности цепи поставок в процессе производства, тестирования, передачи и технического обслуживания товара или ключевых компонентов;
- риски незаконного сбора, хранения, обработки и использования пользовательской информации поставщиком товаров и услуг с использованием условий, создаваемых в результате поставки данных товаров и услуг;
- риски причинения вреда сетевой безопасности и интересам пользователей из-за зависимости пользователей от товаров и услуг поставщика;
- другие риски, которые могут создавать угрозу государственной безопасности.
Оценка сетевой безопасности товаров и услуг проводится канцелярией по проверке сетевой безопасности на основании предложений от общегосударственных отраслевых ассоциаций и пользователей, а также на основании ст. 35 Закона КНР «О сетевой безопасности» (обязательная оценка безопасности товаров и услуг, используемых операторами ключевой информационной инфраструктуры).
Для проведения проверки канцелярия организует проведение независимой оценки и проведение проверки комитетом экспертов. Результаты проверки сетевой безопасности могут быть опубликованы или распространены среди определенного круга лиц.
Организации, ответственные за проведение независимой оценки, обязаны проводить оценку в соответствии с законодательством и с учетом существующих стандартов. Независимая оценка, направляемая в госорганы, должна соответствовать принципам объективности, беспристрастности и справедливости. При проведении проверки организация несет ответственность за сохранение в тайне полученной в результате выполнения работы информации и не вправе использовать полученную информацию для деятельности, которая не имеет отношения к проверке товаров и услуг на соответствие требованиям сетевой безопасности.
Поставщики товаров и услуг обязаны оказывать содействие госорганам в проведении проверки сетевой безопасности. Кроме того, они несут ответственность за достоверность предоставляемых материалов.
Заключение
«Правила проверки безопасности сетевых товаров и услуг» усложняют процедуру закупки сетевого оборудования и услуг (сервисов) для китайских сетей и информационных систем, которые (по мнению государства) представляют интерес для обеспечения государственной безопасности. По новым правилам закупка товаров и услуг крупнейшими покупателями потребует прохождения довольно сложной и многоступенчатой процедуры оценки поставщиков и их товаров и услуг перед получением разрешения на приобретение.
Одной из основных проблем, связанных с введением новой процедуры проверки, является недостаточная детализация Правил: они предусматривают лишь общие нормы и не содержат подробного перечня товаров и услуг, подлежащих проверке, и детальных процедур/сроков проведения проверки. Скорее всего, перечни товаров и услуг и процедуры проверки на соответствие требованиям сетевой безопасности будут определены отдельными нормативными правовыми актами или документами, принятыми комиссией для проведения проверок на соответствие требованиям сетевой безопасности, или сформулированы в ходе выполнения работы на практике.
