С 1 сентября 2021 г. в КНР вступили в силу Положения «Об уязвимостях безопасности сетевой продукции» (далее – Положения), регулирующие деятельность по выявлению и сбору уязвимостей и дефектов безопасности в программном и аппаратном обеспечении, а также распространении сведений об обнаруженных уязвимостях. Новые правила предусматривают ряд обязанностей для поставщиков товаров, организаций и физических лиц, занимающихся сбором и анализом уязвимостей, а также ограничивают возможность свободного распространения сведений об уязвимостях и определяют ответственность за нарушение правил.
Обязанности поставщиков товаров
В соответствии с новыми правилами поставщики оборудования и ПО обязаны создавать каналы для приема сведений об уязвимостях в собственной продукции и вести логи для учета поступающих сообщений. Срок хранения логов не может быть меньше шести месяцев.
В случае самостоятельного выявления или получения сведений об уязвимости поставщик обязаны незамедлительно организовать проведение проверки и оценить степень возможного ущерба и пределы распространения проблемы. Кроме того, в течение 2 дней поставщик обязан подготовить и направить сведения об уязвимости на платформу для сбора сведений об угрозах и уязвимостях, созданную Министерством промышленности и информации КНР (MIIT Network Security Threat Information Sharing Platform), которая передает полученные сведения в Китайскую национальную систему уязвимостей (CNNVD) и платформу по сбору уязвимостей CNCERT/CC.
После выявления уязвимости поставщик оборудования или ПО обязан в соответствии с Положениями предпринять меры для устранения проблемы. Если для этого пользователям необходимо обновить оборудование или ПО, поставщик обязан своевременно сообщить пользователям о существовании уязвимости, способах устранения проблемы, а также предоставить пользователям необходимую техническую поддержку.
Обязанности организаций и физических лиц, занимающихся выявлением уязвимостей
Новые правила допускают ведение деятельности по выявлению уязвимостей при условии соблюдения законодательства (например, Положение «О защите безопасности ключевой информационной инфраструктуры», вступившее в силу одновременно с новыми правилами сбора и распространения сведений об уязвимостях, запрещает деятельность по выявлению уязвимостей в системах, которые отнесены в КНР к «ключевой информационной инфраструктуре», при отсутствии разрешения от компетентных органов или оператора ключевой информационной инфраструктуры), а также поощряет информирование о существующих уязвимостях поставщиков оборудования и ПО и операторов информационных сетей и отправку сведений на платформы для сбора сведений об уязвимостях.
Вместе с тем, Положения ограничивают возможность самостоятельного распространения сведений об уязвимостях и дефектах безопасности на интернет-платформах, конференциях, в СМИ и другими способами, позволяющими получить сведения об уязвимости неограниченному кругу лиц, и содержат детальный перечень запретов и требований:
- По общему правилу запрещена открытая публикация сведений об уязвимостях до их устранения. Исключение может быть сделано только с согласия поставщика оборудования или ПО, в котором выявлена уязвимость, и разрешения, полученного от Министерства промышленности и информатизации КНР или Министерства общественной безопасности КНР.
- Запрещается публикация детальных сведений об уязвимостях и дефектах в безопасности в оборудовании, ПО и информационных сетях, которые используются операторами сетей.
- Запрещается умышленное преувеличение вреда и угрозы, возникающей от выявленной уязвимости, и использование сведений об уязвимости для умышленного раскручивания проблемы в СМИ или вымогательства, шантажа и другой противоправной деятельности.
- Запрещается распространение и предоставление приложений и инструментов, созданных с использованием уязвимости (эксплойтов), для ведения деятельности, причиняющей вред интернет-безопасности.
- При распространении сведений об уязвимости необходимо вместе с ней указывать способы устранения или предотвращения угрозы интернет-безопасности.
- Запрещается публикация сведений об уязвимостях оборудования и ПО в период проведения важнейших государственных мероприятий (публикация разрешена только с разрешения Министерства общественной безопасности КНР).
- Запрещается предоставление нераскрытых сведений об уязвимостях оборудования и ПО зарубежным организациям и физическим лицам (за исключением поставщиков оборудования и ПО).
- При публикации сведений об уязвимостях необходимо соблюдать положения соответствующих законов и подзаконных актов (если ими предусмотрены отдельные правила).
Организации, занимающиеся сбором и анализом уязвимостей, обязаны усилить внутренний контроль и не допускать раскрытия и незаконной публикации сведений об уязвимостях.
В случае несоблюдения запретов и требований организации и физические лица, занимающиеся распространением сведений об уязвимостях, могут быть привлечены к ответственности. При наличии отягчающих обстоятельств правонарушение может быть наказано штрафом в размере от 10 тыс. до 100 тыс. юаней жэньминьби.
Заключение
Помимо платформы для сбора сведений об уязвимостях, созданной Министерством промышленности и информации КНР, и других государственных проектов, новые правила допускают создание организациями и физическими лицами частных платформ для сбора сведений. При создании частной платформы необходимо уведомить Министерство промышленности и информации КНР.
Положения «Об уязвимостях безопасности сетевой продукции» вступили в силу с 1 сентября 2021 г. (одновременно с новым Законом КНР «О безопасности данных» и Положением «О защите безопасности ключевой информационной инфраструктуры»). Новые правила детальнее определяют обязанности поставщиков аппаратного и программного обеспечения по выявлению и устранению уязвимостей и дефектов безопасности, предусмотренные законодательством, и впервые определяют перечень ограничений и запретов на открытую публикацию сведений об уязвимостях.
Регистрация юридических лиц в Китае, составление и экспертиза договоров, защита интеллектуальной собственности, юридический консалтинг.
