Правила сбора и распространения сведений об уязвимостях и дефектах безопасности в КНР

С 1 сентября 2021 г. в КНР вступили в силу Положения «Об уязвимостях безопасности сетевой продукции» (далее – Положения), регулирующие деятельность по выявлению и сбору уязвимостей и дефектов безопасности в программном и аппаратном обеспечении, а также распространении сведений об обнаруженных уязвимостях. Новые правила предусматривают ряд обязанностей для поставщиков товаров, организаций и физических лиц, занимающихся сбором и анализом уязвимостей, а также ограничивают возможность свободного распространения сведений об уязвимостях и определяют ответственность за нарушение правил.

Обязанности поставщиков товаров

В соответствии с новыми правилами поставщики оборудования и ПО обязаны создавать каналы для приема сведений об уязвимостях в собственной продукции и вести логи для учета поступающих сообщений. Срок хранения логов не может быть меньше шести месяцев.

В случае самостоятельного выявления или получения сведений об уязвимости поставщик обязаны незамедлительно организовать проведение проверки и оценить степень возможного ущерба и пределы распространения проблемы. Кроме того, в течение 2 дней поставщик обязан подготовить и направить сведения об уязвимости на платформу для сбора сведений об угрозах и уязвимостях, созданную Министерством промышленности и информации КНР (MIIT Network Security Threat Information Sharing Platform), которая передает полученные сведения в Китайскую национальную систему уязвимостей (CNNVD) и платформу по сбору уязвимостей CNCERT/CC.

После выявления уязвимости поставщик оборудования или ПО обязан в соответствии с Положениями предпринять меры для устранения проблемы. Если для этого пользователям необходимо обновить оборудование или ПО, поставщик обязан своевременно сообщить пользователям о существовании уязвимости, способах устранения проблемы, а также предоставить пользователям необходимую техническую поддержку.

Обязанности организаций и физических лиц, занимающихся выявлением уязвимостей

Новые правила допускают ведение деятельности по выявлению уязвимостей при условии соблюдения законодательства (например, Положение «О защите безопасности ключевой информационной инфраструктуры», вступившее в силу одновременно с новыми правилами сбора и распространения сведений об уязвимостях, запрещает деятельность по выявлению уязвимостей в системах, которые отнесены в КНР к «ключевой информационной инфраструктуре», при отсутствии разрешения от компетентных органов или оператора ключевой информационной инфраструктуры), а также поощряет информирование о существующих уязвимостях поставщиков оборудования и ПО и операторов информационных сетей и отправку сведений на платформы для сбора сведений об уязвимостях.

Вместе с тем, Положения ограничивают возможность самостоятельного распространения сведений об уязвимостях и дефектах безопасности на интернет-платформах, конференциях, в СМИ и другими способами, позволяющими получить сведения об уязвимости неограниченному кругу лиц, и содержат детальный перечень запретов и требований:

  1. По общему правилу запрещена открытая публикация сведений об уязвимостях до их устранения. Исключение может быть сделано только с согласия поставщика оборудования или ПО, в котором выявлена уязвимость, и разрешения, полученного от Министерства промышленности и информатизации КНР или Министерства общественной безопасности КНР.
  2. Запрещается публикация детальных сведений об уязвимостях и дефектах в безопасности в оборудовании, ПО и информационных сетях, которые используются операторами сетей.
  3. Запрещается умышленное преувеличение вреда и угрозы, возникающей от выявленной уязвимости, и использование сведений об уязвимости для умышленного раскручивания проблемы в СМИ или вымогательства, шантажа и другой противоправной деятельности.
  4. Запрещается распространение и предоставление приложений и инструментов, созданных с использованием уязвимости (эксплойтов), для ведения деятельности, причиняющей вред интернет-безопасности.
  5. При распространении сведений об уязвимости необходимо вместе с ней указывать способы устранения или предотвращения угрозы интернет-безопасности.
  6. Запрещается публикация сведений об уязвимостях оборудования и ПО в период проведения важнейших государственных мероприятий (публикация разрешена только с разрешения Министерства общественной безопасности КНР).
  7. Запрещается предоставление нераскрытых сведений об уязвимостях оборудования и ПО зарубежным организациям и физическим лицам (за исключением поставщиков оборудования и ПО).
  8. При публикации сведений об уязвимостях необходимо соблюдать положения соответствующих законов и подзаконных актов (если ими предусмотрены отдельные правила).

Организации, занимающиеся сбором и анализом уязвимостей, обязаны усилить внутренний контроль и не допускать раскрытия и незаконной публикации сведений об уязвимостях.

В случае несоблюдения запретов и требований организации и физические лица, занимающиеся распространением сведений об уязвимостях, могут быть привлечены к ответственности. При наличии отягчающих обстоятельств правонарушение может быть наказано штрафом в размере от 10 тыс. до 100 тыс. юаней жэньминьби.

Заключение

Помимо платформы для сбора сведений об уязвимостях, созданной Министерством промышленности и информации КНР, и других государственных проектов, новые правила допускают создание организациями и физическими лицами частных платформ для сбора сведений. При создании частной платформы необходимо уведомить Министерство промышленности и информации КНР.

Положения «Об уязвимостях безопасности сетевой продукции» вступили в силу с 1 сентября 2021 г. (одновременно с новым Законом КНР «О безопасности данных» и Положением «О защите безопасности ключевой информационной инфраструктуры»). Новые правила детальнее определяют обязанности поставщиков аппаратного и программного обеспечения по выявлению и устранению уязвимостей и дефектов безопасности, предусмотренные законодательством, и впервые определяют перечень ограничений и запретов на открытую публикацию сведений об уязвимостях.

 

Об авторе

Павел Бажанов

Специалист и автор книг по законодательству КНР. Павел Бажанов занимается юридическим сопровождением российского бизнеса в Китае.

Просмотреть все сообщения
Подписаться
Уведомить о
guest
0 Комментарий
Межтекстовые Отзывы
Посмотреть все комментарии