Red de conocimientos turísticos - Conocimientos sobre calendario chino - Método de clasificación del nivel de seguridad nacional, objetos de clasificación

Método de clasificación del nivel de seguridad nacional, objetos de clasificación

El 27 de junio de 2018, el Ministerio de Seguridad Pública emitió oficialmente el "Reglamento de Protección del Nivel de Seguridad de la Red (Borrador para Comentarios)" (en adelante, el "Reglamento de Protección del Nivel"), marcando el inicio de la Ley de Ciberseguridad (El sistema de protección del nivel de seguridad de la red establecido en el artículo 21 de la "Ley de Ciberseguridad" (en adelante, la "Ley de Ciberseguridad") tiene una base de implementación específica y puntos de partida sólidos. El Capítulo 8 y el Artículo 73 del "Reglamento de Seguridad Clasificados" incluyen disposiciones generales, soporte y garantías, protección de la seguridad de la red, protección de la seguridad de las redes confidenciales, gestión, supervisión y gestión de contraseñas, responsabilidades legales y disposiciones complementarias. En comparación con el sistema Level Protection 1.0 establecido por las "Medidas de gestión de protección del nivel de seguridad de la información" (en adelante, las "Medidas administrativas") implementadas en 2007, las "Regulaciones de protección de niveles" incluyen soporte nacional, clasificación, gestión de contraseñas, etc. Se ha actualizado y mejorado en todos los aspectos para adaptarse a la nueva situación, los nuevos cambios y los requisitos de desarrollo de las nuevas tecnologías y nuevas aplicaciones en seguridad de redes en esta etapa, marcando la entrada oficial de la protección jerárquica en la era 2.0.

Las disposiciones específicas del "Reglamento de Protección de Clasificación"

Las "Medidas Administrativas" fueron dictadas conjuntamente por el Ministerio de Seguridad Pública, la Administración Estatal del Secreto, la Administración Estatal de Criptografía, y la Oficina de Información del Consejo de Estado como Las disposiciones básicas del sistema de Protección de Clasificación 1.0 tienen el efecto legal de ser documentos normativos departamentales. Además, según el artículo 1 de las "Medidas Administrativas", la base para su formulación es el "Reglamento de Protección de la Seguridad del Sistema de Información Informática", un reglamento administrativo del Consejo de Estado.

Aunque el "Reglamento de Protección de Clasificación" aún se encuentra en etapa de borrador para la solicitud de opiniones, según el artículo 5 del "Reglamento sobre el Procedimiento para la Formulación de Reglamentos Administrativos", la denominación de reglamento administrativo generalmente se denomina Los "Reglamentos", que son formulados por varios departamentos del Consejo de Estado y los gobiernos populares locales, no pueden denominarse "reglamentos". Por lo tanto, los "Reglamentos sobre la protección de la clasificación" deben entrar en el ámbito del derecho administrativo. Además, el artículo 1 del "Reglamento de Protección Clasificada" estipula que la base para su formulación es la "Ley de Seguridad Cibernética" y la "Ley de Protección de Secretos de Estado".

En resumen, se puede observar que las “Medidas Administrativas” son documentos normativos departamentales formulados de acuerdo con normas administrativas, mientras que los “Reglamentos de Protección de Clasificación” son normas administrativas formuladas de acuerdo con las leyes nacionales. Tanto por su propio efecto jurídico como por el nivel de validez de la base jurídica, MLPS 2.0 es superior a MLPS 1.0.

El ámbito de aplicación de la Protección de Nivel

En cuanto al ámbito de aplicación, el "Reglamento de Protección de Nivel" generalmente estipula que es aplicable a la construcción, operación, mantenimiento y uso de redes por operadores de red dentro del territorio de mi país Llevar a cabo trabajos de protección, supervisión y administración del nivel de seguridad de la red, excepto para redes construidas y utilizadas por individuos y familias, y el contenido es relativamente simple. El 19 de enero de 2018, el Comité Técnico Nacional de Normalización de la Seguridad de la Información emitió la "Guía de calificación 2.0 de protección del nivel de seguridad de la red de tecnología de seguridad de la información (borrador para comentarios)" (en lo sucesivo, la "Guía de calificación 2.0"), que es una guía. previstos para aplicaciones específicas.

En el sistema de Clasificación Protección 1.0, el Artículo 10 de las "Medidas de Gestión" menciona claramente que los operadores y usuarios de sistemas de información deben seguir estas Medidas y las "Directrices para la Clasificación del Nivel de Protección de Seguridad del Sistema de Información" (en adelante denominada ""Guía de calificación 1.0》") determina el nivel de protección de seguridad de los sistemas de información. Por lo tanto, la introducción de la "Guía de calificaciones 2.0" se benefició en gran medida de las disposiciones existentes de la "Guía de calificaciones 1.0".

En comparación con la "Guía de calificación 1.0", que generalmente define el objeto de protección de nivel como la información y los sistemas de información específicos que afectan directamente el trabajo de protección del nivel de seguridad de la información, la "Guía de calificación 2.0" detalla la seguridad de la red. El alcance específico de los objetos clasificados del sistema de protección clasificado incluye principalmente múltiples plataformas de sistemas, como redes de información básica, sistemas de control industrial, plataformas de computación en la nube, Internet de las cosas, redes que utilizan tecnología de Internet móvil, otras redes y big data. Además, la red objeto de clasificación también debe cumplir tres características básicas: primero, tiene un organismo principal de responsabilidad de seguridad determinado; segundo, transporta aplicaciones comerciales relativamente independientes, tercero, contiene múltiples recursos interrelacionados;

De acuerdo con las "Pautas de calificación 2.0", los objetos de calificación aún deben cumplir con los requisitos relevantes después de cumplir con las características básicas anteriores. Para las redes de información básica, como las redes de telecomunicaciones, las redes de transmisión de radio y televisión e Internet, deben dividirse en diferentes objetos de clasificación según factores como el tipo de servicio, el área de servicio y los temas de responsabilidad de seguridad. Las redes privadas comerciales interprovinciales pueden. Puede tratarse como un todo. La clasificación también se puede dividir en varios objetos según el área. Para los sistemas de control industrial, elementos como la adquisición/ejecución en campo, el control de campo y el control de procesos deben calificarse como un objeto completo, mientras que los elementos de gestión de producción pueden calificarse individualmente. En el caso de las plataformas de computación en la nube, deberían dividirse en proveedores de servicios e inquilinos, cada uno de los cuales debería calificarse por separado.

Para Internet de las cosas, aunque incluye una variedad de factores característicos como la percepción, la transmisión de red y las aplicaciones de procesamiento, los factores anteriores aún deben considerarse como un objeto de calificación general y cada factor no se califica individualmente. Las redes que utilizan tecnología de Internet móvil son similares a la Internet de las cosas: los terminales móviles, las aplicaciones móviles, las redes inalámbricas y otros elementos y los sistemas empresariales de redes cableadas relacionados deben considerarse objetos generales. Para big data, salvo que las plataformas y aplicaciones con las mismas responsabilidades de seguridad puedan calificarse en su conjunto, deben calificarse individualmente.

Niveles de red

El "Reglamento de Protección de Clasificación" hereda el sistema de niveles de protección de seguridad de cinco niveles establecido en las "Medidas Administrativas", pero fortalece aún más la protección legal de los ciudadanos y personas jurídicas. y otras organizaciones. Protección de derechos e intereses. Las "Medidas administrativas" no estipulan en el texto principal cómo se deben calificar los sistemas de información que causarán daños particularmente graves a los derechos e intereses legítimos de los ciudadanos, personas jurídicas y otras organizaciones después de sufrir daños. La "Guía de calificación 1.0" sólo estipula. los factores de clasificación posteriores y la seguridad La tabla de relaciones jerárquicas muestra que el sistema de información anterior debe clasificarse como de segundo nivel, y el "Reglamento de protección de clasificación" se ha modificado en consecuencia. Cuando los objetos de protección jerárquica estén dañados, tendrá particular importancia. graves consecuencias para los derechos e intereses legítimos de los ciudadanos, personas jurídicas y otras organizaciones. En caso de daño, el sistema correspondiente debe designarse como objeto de protección de tercer nivel. Consulte la siguiente tabla para conocer los niveles específicos:

Obligaciones de protección de la seguridad de la red

El artículo 5 de las "Medidas administrativas" estipula que los operadores y usuarios del sistema de información deben cumplir con las Medidas y las normas pertinentes. estándares y regulaciones Cumplir con las obligaciones y responsabilidades de protección del nivel de seguridad de la información, pero no se especifican las obligaciones correspondientes. Como norma de apoyo a la "Ley de Seguridad Cibernética", el "Reglamento de Protección Clasificada" sigue las disposiciones existentes de la "Ley de Seguridad Cibernética" y regula las obligaciones generales y especiales de protección de la seguridad de los operadores de red, la adquisición de redes. productos y servicios, y formulación de planes de emergencia, etc. normativa detallada.

En cuanto a las obligaciones de protección de la seguridad, además del contenido ya especificado en el artículo 21 de la Ley de Ciberseguridad, los operadores generales de redes también deberán: 1. Establecer sistemas de gestión de la seguridad y protección técnica, establecer sistemas de gestión de personal, educación y capacitación, construcción de seguridad del sistema, operación y mantenimiento de seguridad del sistema y otros sistemas. 2. Implementar la gestión de seguridad de la sala de computadoras, la gestión de seguridad de equipos y medios, la gestión de seguridad de la red y otros sistemas, y formular especificaciones operativas y procedimientos de trabajo; y procesamiento de información personal Adoptar medidas de protección para evitar su fuga, daño, manipulación, robo, pérdida y abuso 4. Implementar medidas para descubrir, bloquear y eliminar información ilegal, e implementar medidas para prevenir la difusión a gran escala de información ilegal; la pérdida de pruebas ilegales y criminales; 5. Implementar información ilegal Se adoptan medidas como el descubrimiento, bloqueo y eliminación para prevenir la difusión masiva de información ilegal y la pérdida de pruebas de delitos ilegales. Además de las obligaciones mencionadas anteriormente, los operadores de redes de nivel 3 y superiores también deben centrarse en implementar el sistema de certificación y revisión de antecedentes de seguridad para los líderes de gestión de seguridad de redes y el personal técnico clave, y realizar evaluaciones de nivel periódicas.

Para la adquisición de productos y servicios de red, los operadores de red deben comprar y utilizar productos y servicios de red que cumplan con las leyes, regulaciones y estándares y especificaciones relevantes nacionales. Los operadores de red de Nivel 3 y superior deben adoptar protección de seguridad. Los productos y servicios de red adaptables deben cumplir con estándares que sean consistentes con su nivel de protección de seguridad, y para los productos de red utilizados en partes importantes, también se debe confiar a agencias de evaluación profesionales la realización de pruebas especiales. El "Catálogo de Productos Especiales de Equipos de Red Críticos y Seguridad de Redes (Primer Lote)" que entró en vigor el 1 de junio de 2017, y el "Catálogo de Productos Especiales de Equipos de Red Críticos y Seguridad de Redes" emitido por la Administración Nacional de Certificación y Acreditación. y otros cuatro departamentos el 15 de marzo de 2018, la "Lista de agencias de pruebas de seguridad y certificación de seguridad de productos (primer lote)" estipula en detalle los requisitos para los productos de red utilizados por los operadores de red. Por lo tanto, se recomienda que los operadores de red exijan a los proveedores que proporcionen certificados. emitido por organizaciones profesionales al comprar productos y servicios de red. Certificación de seguridad o certificado de prueba para reducir los riesgos legales operativos.

En cuanto a la formulación de planes de emergencia, los operadores de redes de nivel 3 y superiores deben formular planes de emergencia de seguridad de la red y realizar simulacros de emergencia de seguridad de la red periódicamente de acuerdo con las regulaciones nacionales pertinentes. Además de registrar y conservar rápidamente datos e información sobre incidentes, e informar a los órganos de seguridad pública y a las autoridades de la industria, los operadores de red también deben brindar apoyo y asistencia para el manejo y recuperación de incidentes importantes de seguridad de la red. Según el "Plan de Respuesta a Emergencias de Seguridad de la Red Pública de Internet" del Ministerio de Industria y Tecnología de la Información, al reportar información sobre incidentes de seguridad de la red, también se debe explicar el momento del incidente, el alcance del impacto y los peligros determinados inicialmente, las medidas de respuesta a emergencias que han sido tomadas y sugerencias relevantes.

Requisitos de protección de seguridad de la red

En los últimos años, con el rápido desarrollo de la inteligencia artificial, big data, Internet de las cosas, computación en la nube, etc., las tendencias y situaciones de seguridad han cambiado rápidamente. Publicado en 2008 Los "Requisitos básicos GB/T22239-2008 para la protección del nivel de seguridad del sistema de información de la tecnología de seguridad de la información" (denominado Nivel 1.0) ya no se aplican a los requisitos de seguridad actuales. A partir de 2015, los requisitos de seguridad para la protección de nivel han comenzado gradualmente a formularse estándares 2.0, que incluyen cinco partes: requisitos de seguridad generales, requisitos de expansión de seguridad de computación en la nube, requisitos de expansión de seguridad de Internet móvil, requisitos de expansión de seguridad de Internet de las cosas y expansión de seguridad de control industrial. requisitos. En agosto de 2017, basándose en las opiniones de la Administración del Ciberespacio de China y el Comité de Estándares de Seguridad, el Centro de Evaluación del Ministerio de Seguridad Pública fusionó los cinco requisitos básicos para la protección graduada en un solo estándar, los Requisitos Básicos para la Protección Graduada de la Ciberseguridad. El estándar MLPS 1.0 se centra más en los requisitos de protección, mientras que el estándar MLPS 2.0 se adapta mejor al desarrollo de la situación actual de seguridad de la red. Combina los requisitos de monitoreo continuo, inteligencia de amenazas y respuesta rápida establecidos en la "Ley de Ciberseguridad". presentar una medida de aplicación específica.

上篇: Imita el código fuente de Alibaba Cloud 下篇: El viernes pasado, ¿cuánto tiempo le tomó a mi amigo transferir dinero de la Banca en Línea del Banco de Desarrollo de Shenzhen al Banco Agrícola de China de Shanghai?