«Правила проверки сетевой безопасности»: краткий обзор

13 апреля 2020 г. в КНР приняты «Правила проверки сетевой безопасности», определяющие порядок проведения проверки на соответствие требованиям сетевой безопасности продукции и услуг, приобретаемых операторами ключевой информационной инфраструктуры. Новые правила вступают в силу с 1 июня 2020 г. и заменяют существующие сейчас правила проверки безопасности, действующие в пробном порядке с 2017 г.

Проверка на безопасность продукции и услуг, приобретаемых операторами ключевой информационной инфраструктуры, предусмотрена ст. 35 Закона КНР «О сетевой безопасности». В соответствии с законом операторы ключевой информационной инфраструктуры обязаны проводить проверку приобретаемой продукции и услуг на соответствие требованиям сетевой безопасности, если использование приобретаемой продукции и услуг может повлиять на состояние государственной безопасности. Проверка на соответствие требованиям государственной безопасности должна в соответствии с законом проводиться Государственной канцелярией по делам интернет-информации совместно с другими ведомствами Государственного совета КНР.

К сетевой продукции и услугам, подлежащим проверке на сетевую безопасность, в основном относится сетевое оборудование, высокофункциональные компьютеры и серверы, оборудование для хранения данных высокой емкости, оборудование для обеспечения сетевой безопасности, услуги облачных вычислений и другие товары и услуги, использование которых может существенно повлиять на состояние информационной безопасности.

Ответственные государственные органы

В соответствии с новыми правилами общее руководство работой осуществляется Комиссией Центрального комитета Компартии по вопросам сетевой безопасности и информатизации (далее – Комиссия ЦК КПК), выступающей в качестве последней инстанции при вынесении решений по результатам проверки. Основная работа осуществляется от имени Государственной канцелярии по делам интернет-информации (далее – CAC) совместно с остальными министерствами и ведомствами Госсовета КНР, которые могут участвовать в принятии решений в зависимости от отрасли и сферы деятельности оператора ключевой информационной инфраструктуры.

Организация проверок сетевой безопасности находится в ведении Канцелярии по проверке сетевой безопасности, созданной при CAC. Канцелярия несет ответственность за разработку правил проведения проверки сетевой безопасности и взаимодействует со всеми лицами, вовлеченными в процесс проверки.

Процедура проверки сетевой безопасности

В отличии от прежних правил «Правила проверки сетевой безопасности» предусматривают детальные правила проведения проверок и их сроки.

При закупке сетевой продукции и услуг операторы ключевой информационной инфраструктуры обязаны самостоятельно оценивать риски, возникающие в области сетевой безопасности, и при необходимости обращаться в Канцелярию по проверке сетевой безопасности с заявлением о проведении проверки. Для упрощения оценки новые правила позволяют отраслевым министерствам и ведомствам разработать руководства по оценке рисков в соответствующих отраслях и сферах деятельности.

При подаче заявления оператор ключевой информационной инфраструктуры обязан направить в Канцелярию по проверке сетевой безопасности заявление, отчет-анализ риска в области сетевой безопасности, а также проекты договоров или других документов для проведения закупки. Канцелярия вправе требовать предоставления дополнительных документов от оператора ключевой информационной инфраструктуры и поставщика товаров и услуг.

После получения документов Канцелярия по проверке сетевой безопасности обязана в течение 10 рабочих дней проверить заявление и принять решение о необходимости проведения проверки сетевой безопасности. По общему правилу при оценке необходимости проверки учитываются:

  • риск использования поставщиком возможности для незаконного получения контроля или вмешательства в работу ключевой информационной инфраструктуры, а также риск хищения, раскрытия или повреждения важнейших цифровых данных;
  • риск причинения длительного ущерба ключевой информационной инфраструктуре в случае прекращения поставки товаров и услуг;
  • безопасность, открытость, прозрачность, многообразие источников продукции и услуг, надежность каналов поставки, а также риск прекращения поставки в силу политических, дипломатических, торговых и других причин;
  • законопослушность поставщика товаров и услуг (соблюдение им законодательства КНР);
  • другие факторы, способные создать угрозу для безопасности ключевой информационной инфраструктуры и государственной безопасности КНР.

Если Канцелярия по проверке сетевой безопасности сочтет, что проверка сетевой безопасности необходима, она обязана уведомить оператора ключевой информационной инфраструктуры и в течение 30 рабочих дней подготовить проект заключения и направить проект для получения рекомендаций в соответствующие государственные органы и организации. В свою очередь, государственные органы и организации, участвующие в принятии решения, обязаны в течение 15 рабочих дней направить канцелярии письменные ответы с рекомендациями.

Если полученные рекомендации одинаковы, Канцелярия по проверке сетевой безопасности завершает проверку, составляет заключение по результатам проверки и направляет заключение оператору ключевой информационной инфраструктуры. В противном случае Канцелярия переходит к процедуре выработки решения в особом порядке.

При проведении проверки сетевой безопасности в особом порядке Канцелярия по проверке сетевой безопасности обязана провести углубленный анализ, повторно подготовить проект заключения для согласования и запросить рекомендации от соответствующих госорганов и организаций, после чего внести проект на утверждение в Комиссию ЦК КПК, принимающую окончательное решение. Проверка в особом порядке по общему правилу проводится в течение 45 рабочих дней.

Помимо проверки сетевой безопасности по заявлению оператора ключевой информационной инфраструктуры с разрешения Комиссии ЦК КПК проверка сетевой безопасности может проводиться по инициативе любого государственного органа или организации, участвующей в работе по проверке сетевой безопасности.

Обязанности участников проверки

Все структуры и их служащие, участвующие в проверке сетевой безопасности, не вправе раскрывать сведения, составляющие коммерческую тайну предприятий, и закрытую информацию, предоставленную в ходе проведения проверки, а также обязаны защищать права на результаты интеллектуальной деятельности. Без согласия лиц, предоставивших информацию, запрещается предоставление сведений другим лицам, которые не имеют отношения к проведению проверки, или использование сведений в целях, которые не имеют отношения к проверке сетевой безопасности.

Проверка сетевой безопасности должна быть объективной и беспристрастной. Если оператор ключевой информационной инфраструктуры или поставщик товаров и услуг сочтет, что проверки лишена объективности и беспристрастности, он вправе обратиться с жалобой в CAC.

В свою очередь операторы ключевой информационной инфраструктуры и поставщики товаров и услуг обязаны оказывать содействие в проведении проверки сетевой безопасности и по требованию предоставлять дополнительные материалы.

Вступление в силу

«Правила проверки сетевой безопасности» вступают в силу с 1 июня 2020 г. и заменяют принятые в мае 2017 г. «Правила проверки безопасности сетевой продукции и услуг (пробные)».

 

Об авторе

Павел Бажанов

Специалист и автор книг по законодательству КНР. Павел Бажанов занимается юридическим сопровождением российского бизнеса в Китае.

Просмотреть все сообщения
Подписаться
Уведомить о
guest
0 Комментарий
Межтекстовые Отзывы
Посмотреть все комментарии