I. חוקים
1. חוק אבטחת הסייבר של סין (2017) 网络 安全 法
חוק זה חל על בעלים, מנהלים ונותני שירותי רשת (להלן "מפעילים") הבונים, מפעילים, מתחזקים ומשתמשים ברשתות בסין. נקודות עיקריות בחוק זה כוללות:
(1) מפעילים יוודאו את זהות המשתמש בעת מתן שירותים כגון גישה לרשת, רישום שמות מתחם, גישה לרשת הטלפון או שחרור מידע והעברת הודעות מיידיות למשתמש.
(2) יש לאחסן מידע אישי ונתונים חשובים בסין. ייצוא נתונים יהיה כפוף לבדיקת הרגולטור.
(3) מפעילים יעניקו תמיכה טכנית וסיוע לגופי ביטחון הציבור ולרשויות הביטחון הלאומיות.
(4) כאשר מוסד, ארגון או פרט כלשהו בחו"ל תוקפים, חודרים, מפריעים, הורסים או פוגעים בדרך אחרת בתשתיות המידע הקריטיות בסין, מה שגורם לתוצאה חמורה כלשהי, המפר יהיה אחראי על החוק על פי החוק. גופי הביטחון הציבורי והמחלקות הרלוונטיות עשויים להחליט להקפיא את רכושם או לנקוט בכל אמצעי סנקציה נחוצים אחרים נגד המוסד, הארגון או הפרט.
2. החלטה על חיזוק הגנת המידע ברשת (2012) 关于 加强 网络 信息 保护 的 决定
ההחלטה קובעת, לראשונה בסין, את הכללים לאיסוף ושימוש במידע האישי ואת חובות ספקי שירותי הרשת להגנה על מידע אישי.
חוק אבטחת הסייבר, שהוכרז לאחר מכן בשנת 2018, אימץ את מרבית תוכן ההחלטה.
3. החלטה על שמירה על אבטחת אינטרנט (2000) 关于 维护 互联网 安全 的 决定
ההחלטה היא הכלל הראשון של סין בנושא אבטחת סייבר, עם נקודות מפתח כדלקמן:
(1) פריצה או השמדת מערכת המחשב מהווה פשע.
(2) חתרנות הכוח הממלכתי, השמדת האחדות הלאומית ואחדות הלאומים, גניבת סודות המדינה ופעילות הכוללת כת באמצעות פרסום מידע באינטרנט מהווים פשע.
(3) פגיעה בזכויות הלגיטימיות של אחרים באינטרנט מהווה פשע.
II. תקנות ניהול
נקודות המפתח של הצעדים כוללות:
(1) המשרד לביטחון פנים אחראי על הגנת החיבור בין רשת המחשבים בסין לאינטרנט הבינלאומי.
(2) אף ישות לא תשתמש באינטרנט הבינלאומי כדי לפרסם תוכן לא חוקי או לסכן את אבטחת המחשב.
2. התקנות בנושא הגנת האבטחה של מערכת המידע הממוחשבת בסין (2011) 计算机 信息 系统 安全 保护 条例
נקודות המפתח של הצעדים כוללות:
(1) התקנות נועדו להגן על אבטחת מערכות מידע ממוחשבות בשטח סין.
(2) המשרד לביטחון פנים הוא הרשות המוסמכת בתחום זה, שתפקידיה וסמכויותיה כוללים פיקוח על ההגנה הביטחונית הרלוונטית; חקירה והענשת המעשים הבלתי חוקיים המסכנים את אבטחת המחשב.
3. תקנות לרמות הגנת אבטחת סייבר (טיוטה לבקשת תגובות) (לא הוכרזה רשמית) (2018) (网络 安全 等级 保护 条例)
ב- 27 ביוני 2018, המשרד לביטחון פנים בהתבסס על סעיף 21 לחוק אבטחת הסייבר, ניסח את "התקנות על רמות הגנת אבטחת הסייבר" והודיע על טיוטה לבקשת חוות דעת מהציבור. נכון לעכשיו הטיוטה עדיין לא הפכה לחוק שהוכרז רשמית.
נקודות הליבה של הטיוטה הן כדלקמן:
(1) מערכת הרשת תחולק לחמש רמות הגנה ביטחוניות על פי חשיבותה בביטחון לאומי, בבנייה הכלכלית ובחיי החברה.
חשיבותה של מערכת הרשת עולה בהדרגה מהרמה הראשונה לרמה החמישית. (סעיף 15)
מערכות רשת ברמות שונות מציינות את מידת הפגיעה באינטרסים הרלוונטיים במקרה של אירוע אבטחת רשת של מערכת הרשת באותה רמה, כדלקמן:
רמה 1: הביטחון הלאומי, הסדר החברתי ואינטרסים הציבוריים לא יסכנו;
רמה 2: הסדר החברתי והאינטרסים הציבוריים יימצאו בסכנה, וביטחון המדינה לא יסכן;
רמה 3: הסדר החברתי והאינטרסים הציבוריים יהיו בסכנה קשה, או ביטחון המדינה ייסכן;
רמה 4: הסדר החברתי ואינטרסים ציבוריים יימצאו בסכנה קשה במיוחד, או שביטחון המדינה ייסכן קשה;
דרגה 5: הביטחון הלאומי נמצא בסכנה קשה במיוחד.
(2) מפעיל הרשת יקבע את רמת הגנת האבטחה של הרשת בשלב התכנון והעיצוב, והמומחים והרשויות המוסמכות יאשרו את רמתה. לאחר אישור הרמה, על מפעיל הרשת להגיש גם את הגורם לביטחון הציבור. (סעיפים 16, 17, 18)
(3) על מפעילי הרשת לבצע חובות אבטחה הכרחיות, ומפעילי רשתות מעל רמה 3 צריכים לבצע חובות הגנה אבטחה מיוחדות. (סעיפים 20 ו- 21)
(4) אם מוצרי ושירותי רשת שנרכשו על ידי מפעילי רשת עשויים להשפיע על הביטחון הלאומי, מוצרים ושירותים אלה צריכים לעבור ביקורות ביטחון לאומיות שמארגנות רשויות הרגולציה. (סעיף 28)
(5) רשתות מעל רמה 3 יישמרו בתוך המדינה, ותחזוקה טכנית מרחוק לא תותר בחו"ל. (סעיף 29)
(6) על מפעילי הרשת לדווח על ניטור אבטחת הרשת ועל מידע על אזהרות מוקדמות ועל תקריות אבטחת רשת לרשויות הרגולטוריות, להקים נתונים חשובים ומנגנוני הגנת אבטחת מידע אישי, ולגבש ולהפעיל תכניות חירום לאבטחת רשת. (סעיף 30, 31, 32)
III. תקנות מחלקות
1. אמצעי סקירת אבטחת סייבר של סין (2020) 网络 安全 审查 办法
הצעדים נועדו לפקח האם רכישת מוצרי רשת ושירותים על ידי מפעילי תשתיות מידע קריטיות (להלן "מפעילים") משפיעה על הביטחון הלאומי. נקודות המפתח של הצעדים כוללות:
(1) אם רכישת מוצרי רשת ושירותים על ידי מפעילים משפיעה או עלולה להשפיע על הביטחון הלאומי, המפעילים ידווחו למשרד לבדיקת אבטחת הרשת המסונף למנהל הסייבר בסין לבדיקת אבטחת הרשת.
(2) מוצרי הרשת ושירותיה כוללים מחשבים, שרתים, התקני אחסון, מאגרי מידע, תוכנה ושירותי ענן.
(3) המשרד לבדיקת אבטחת רשת יבדוק את הסיכונים הבאים: האם המתקנים המשתמשים במוצרים או שירותים כאמור ייפגעו; האם הנתונים יודלפו; האם ערוץ האספקה של מוצרים או שירותים כאלה הוא בטוח ויציב; בין אם הספק של מוצרים או שירותים כאלה עומד בחוקים הסיניים.
2. שיטות הערכת אבטחה עבור שירותי מחשוב ענן (2019) 云 计算 服务 安全 评估 办法
שיטות הערכת אבטחה זו נועדו להעריך את האבטחה והשליטה של שירותי מחשוב ענן שנרכשו על ידי המפלגה וגופי ממשל ומפעילי תשתיות מידע מרכזיים. נקודות המפתח הן כדלקמן:
(1) הערכת האבטחה של שירותי מחשוב ענן תתמקד בדברים הבאים: (i) המידע הבסיסי של מפעילי פלטפורמת ענן; (ii) הרקע והיציבות של נותני שירותי הענן; (ii) האבטחה של טכנולוגיית פלטפורמת ענן, מוצרים ושרשרת אספקת שירותים; (vi) יכולת ניהול האבטחה ואמצעי האבטחה של נותני שירותי הענן; (v) ההיתכנות והנוחות של העברת נתוני לקוחות; (iv) המשכיות עסקית של נותני שירותי ענן.
(2) ספקי שירותי ענן יכולים להגיש בקשה להערכת אבטחה בפלטפורמות ענן המספקות שירותי מחשוב ענן למפלגה ולאורגני הממשלה ולמפעילי תשתיות מידע מרכזיים.
3. תקנות פיקוח וביקורת על אבטחת סייבר על ידי ארגוני הביטחון הציבורי (2018) 公安 机关 互联网 安全 监督 检查 规定
תקנות אלה נועדו לפרט כיצד על גופי אבטחה ציבוריים לבצע פיקוח ובדיקה ביטחונית על מילוי חובות אבטחת הסייבר על ידי ספקי שירותי האינטרנט ומשתמשי האינטרנט.
נקודות המפתח של הצעדים כוללות:
(1) המשרד לביטחון פנים אחראי על הגנת החיבור בין רשת המחשבים בסין לאינטרנט הבינלאומי.
(2) אף ישות לא תשתמש באינטרנט הבינלאומי כדי לפרסם תוכן לא חוקי או לסכן את אבטחת המחשב.
5. תקנות אמצעים טכניים לאבטחת סייבר (2006) 互联网 安全 保护 技术 措施 规定
תקנות זה מטרתם לפקח על ספקי שירותי האינטרנט ומשתמשי האינטרנט לנקוט באמצעים טכניים לאבטחת סייבר, ולהבטיח את התפקוד הרגיל של אמצעים טכניים לאבטחת סייבר. מחלקת הפיקוח על אבטחת רשת המידע הציבורית בגוף הביטחון הציבורי אחראית על פיקוח על יישום האמצעים הטכניים לאבטחת סייבר.
IV. מדיניות
1. תוכניות מגירה בנושא חירום לבטיחות באינטרנט באינטרנט (2017) 公共 互联网 网络 安全 突发 事件 应急 预案
תכניות מגירה זו שואפות להקים מערכת לארגון חירום ומנגנון עבודה למקרי חירום לבטיחות באינטרנט.
הצעדים נועדו לשפר את הניטור והטיפול בעבודות לאיומים על אבטחת הסייבר של האינטרנט הציבורי, לבטל סיכוני אבטחה, לעצור התקפות, למנוע פגיעה ולהפחית סיכוני אבטחה. איומים על אבטחת הסייבר של האינטרנט הציבורי מתייחסים למשאבי רשת, תוכניות זדוניות, סיכוני אבטחה או אירועי אבטחה שקיימים או מתפשטים באינטרנט ציבורי, ועלולים לגרום או שכבר גרמו נזק לציבור.
הקטלוג מפרט 15 סוגי ציוד ומוצרים. חוק אבטחת הסייבר של סין מחייב הגנה על תשתית מידע קריטית מפני התקפות, חדירה, הפרעה ונזק. הקטלוג מציין איזה סוג ציוד ומוצרים שייכים לתשתית מידע קריטית.
צעדים אלה נועדו להנחות את העבודה הניהולית עבור רשויות רגולטוריות מקומיות וארגוני גישה לאינטרנט העוסקים במרכזי נתונים באינטרנט (כולל שירותי שיתוף פעולה במשאבי אינטרנט), שירותי גישה לאינטרנט, רשתות מסירת תוכן ושירותים אחרים בניהול השימוש והתחזוקה התפעולית של האינטרנט מערכות ניהול אבטחת מידע.
5. כמה דעות בנושא חיזוק התקינה הלאומית לאבטחת רשתות (2016) 关于 加强 国家 网络 安全 标准化 工作 的 若干 意见
חוות דעת זו נועדה לקדם הקמת מערכת תקן אבטחת רשת מאוחדת וסמכותית ומנגנון סטנדרטיזציה. נקודות המפתח הן כדלקמן:
(1) להקים ולשפר באופן רציף את מערכת תקן האבטחה ברשת.
(2) השתתף באופן פעיל בניסוח כללים בינלאומיים וכללי תקן בינלאומיים למרחב הסייבר.
6. חוות דעת על פיתוח משמעת והכשרת כישרונות לאבטחת סייבר (2016) 关于 加强 网络 安全 学科 建设 和 人才 培养 的 意见
דעות אלה נועדו לחזק את פיתוח המשמעת והכשרת הכישרונות של האקדמיה לסייבר לאבטחה בסין.
7. הודעה על חיזוק ניהול הבטיחות באתרי המפלגה וארגוני הממשלה (2014) 关于 加强 党政 机关 网站 安全 管理 的 通知
הודעה זו נועדה לדחוק בכל משרדי הממשלה לשפר את ההגנה הביטחונית על אתריהם הרשמיים.
8. הודעה על חוות דעת מנחות לחיזוק אבטחת אינטרנט תעשייתית (2019) 加强 工业 互联网 安全 工作 的 指导 意见 的 通知
הודעה זו מחולקת לשלושה חלקים, במטרה לקדם את סין להקים בתחילה מערכת אבטחת אינטרנט תעשייתית עד סוף 3.
V. תקן טכני
1. דרישות הערכת הגנת רמת אבטחת הרשת 信息 安全 技术 网络 安全 等级 保护 测评 要求
2. דרישות בסיסיות להגנת רמת אבטחת רשת 信息 安全 技术 网络 安全 安全 等级 保护 基本 要求
3. דרישות תכנון אבטחת הגנה על רמת האבטחה ברשת 信息 安全 技术 网络 安全 等级 保护 安全 设计 要求
תמונה של ג'אן בלר (https://unsplash.com/@jeanbeller) ב- Unsplash