Министерство промышленности и информационных технологий Китая (MIIT) в пятницу представило проекты предложений, подробно описывающие его планы по борьбе с событиями, связанными с безопасностью данных в стране, с использованием системы с цветовой кодировкой.
Усилия направлены на "улучшение возможностей комплексного реагирования на инциденты безопасности данных, обеспечение своевременного и эффективного контроля, смягчения последствий и устранения опасностей и потерь, вызванных инцидентами безопасности данных, для защиты законных прав и интересов отдельных лиц и организаций, а также для защиты национальной безопасности и общественных интересов, заявило министерство.
25-страничный документ охватывает все инциденты, в ходе которых к данным был получен незаконный доступ, произошла утечка, они были уничтожены или подделаны, и классифицирует их по четырем иерархическим уровням в зависимости от масштаба и степени причиненного ущерба -
"Если местный департамент отраслевого регулирования изначально определит, что это особо крупный инцидент безопасности данных, он должен сообщить об этом в офис Механизма в соответствии с требованиями "10 минут по телефону и 30 минут в письменной форме" после обнаружения инцидента", - говорится в проекте правил.
Ожидается, что в зависимости от активированного уровня реагирования – красного или оранжевого – офис Механизма сообщит об этом MIIT. Проект правил открыт для общественного обсуждения до 15 января 2024 года.
Усилия направлены на "улучшение возможностей комплексного реагирования на инциденты безопасности данных, обеспечение своевременного и эффективного контроля, смягчения последствий и устранения опасностей и потерь, вызванных инцидентами безопасности данных, для защиты законных прав и интересов отдельных лиц и организаций, а также для защиты национальной безопасности и общественных интересов, заявило министерство.
25-страничный документ охватывает все инциденты, в ходе которых к данным был получен незаконный доступ, произошла утечка, они были уничтожены или подделаны, и классифицирует их по четырем иерархическим уровням в зависимости от масштаба и степени причиненного ущерба -
- Красный: Уровень I ("особо значительный"), который применяется к массовым отключениям, существенной потере возможностей бизнес-обработки, перерывам, возникающим из-за серьезных аномалий продолжительностью более 24 часов, возникновению серьезных радиопомех продолжительностью более 24 часов, экономическим потерям в размере 1 миллиарда юаней или затрагивает личную информацию более 100 миллионов человек или конфиденциальную личную информацию более 10 миллионов человек.
- Оранжевый: Уровень II ("значительный"), который применяется к отключениям и перерывам в работе продолжительностью более 12 часов, возникновению серьезных радиопомех на срок более 12 часов, экономическим потерям от 100 до 1 миллиарда юаней или затрагивает личную информацию более 10 миллионов человек или конфиденциальную личную информацию более 1 миллиона человек.
- Желтый: Уровень III ("крупный"), который применяется к перебоям в работе продолжительностью более восьми часов, возникновению серьезных радиопомех на протяжении более восьми часов, экономическим потерям от 50 до 100 миллионов юаней или затрагивает личную информацию более 1 миллиона человек или конфиденциальную личную информацию более 100 000 человек.
- Синий: Уровень IV ("общий"), который применяется к незначительным событиям, которые вызывают сбои в работе продолжительностью менее восьми часов, экономические потери в размере менее 50 миллионов юаней или затрагивают личную информацию менее 1 миллиона человек или конфиденциальную личную информацию менее 100 000 человек.
"Если местный департамент отраслевого регулирования изначально определит, что это особо крупный инцидент безопасности данных, он должен сообщить об этом в офис Механизма в соответствии с требованиями "10 минут по телефону и 30 минут в письменной форме" после обнаружения инцидента", - говорится в проекте правил.
Ожидается, что в зависимости от активированного уровня реагирования – красного или оранжевого – офис Механизма сообщит об этом MIIT. Проект правил открыт для общественного обсуждения до 15 января 2024 года.