Interpretación del Nuevo Estándar de Protección de Nivel 2.0
La siguiente es una introducción a los tres nuevos estándares principales de Equal Protection 2.0:
1 GB/T 22239-2019 Requisitos básicos para la protección del nivel de seguridad de la red de tecnología de seguridad de la información
Este estándar es el núcleo del sistema de estándares de protección jerárquica. Ha revisado y mejorado los requisitos básicos presentados en la versión 2008 del estándar para formar requisitos generales de seguridad en la nube, big data, Internet móvil e Internet; of Things, control industrial Para una expansión segura se necesitan nuevas tecnologías y nuevos campos de aplicación.
2.GB/T25070-2019 Tecnología de seguridad de la información Protección a nivel de red Requisitos técnicos de diseño de seguridad
Este estándar propone principalmente requisitos técnicos generales de diseño de seguridad para * * * objetivos de protección de seguridad. Este estándar es aplicable para guiar a las unidades operativas, empresas de seguridad de redes y organizaciones de servicios de seguridad de redes en el diseño e implementación de soluciones técnicas de seguridad de protección de nivel de seguridad de redes. También se puede utilizar como base para la supervisión, inspección y orientación de los departamentos funcionales de seguridad de redes.
3.GB/T28448-2019 "Requisitos de evaluación de protección del nivel de seguridad de la red de tecnología de seguridad de la información"
Este estándar cumple con los requisitos básicos para el nivel de protección y define principalmente objetos de evaluación y reglas de decisión de evaluación. . Esta norma proporciona orientación para que las agencias de servicios de evaluación de seguridad, los departamentos competentes de objetos de protección clasificados y las unidades operativas evalúen el estado de seguridad de los objetos de protección clasificados. Las autoridades reguladoras de seguridad de la información se refieren a esto cuando realizan supervisión e inspecciones sobre la protección del nivel de seguridad de la red.
Además, los principales cambios en el nivel de protección desde igualdad de protección 1.0 a igualdad de protección 2.0 son los siguientes:
1. Cambios de significado
Desde la seguridad de la información. Nivel de protección a la red Nivel de seguridad La protección enfatiza la seguridad del ciberespacio. Los artículos 21 y 31 de la "Ley de Ciberseguridad" estipulan claramente que los operadores de red y los operadores de infraestructura de información crítica protegerán los sistemas de acuerdo con los requisitos del sistema de protección gradual de seguridad de la red y determinarán el trabajo de protección gradual en forma de ley como ley nacional. La política nacional básica de seguridad de redes establece su base y posición central en el campo de la seguridad de redes a nivel legal.
2. Cambios en los objetos
La nueva seguridad consigue una cobertura total de los objetos protegidos y es más universal e instructiva. Tiene objetos ampliados (incluidas las redes básicas) y requisitos generales (control industrial, computación en la nube, big data, Internet de las cosas, Internet móvil) y es más adaptable a los nuevos problemas y desafíos que enfrenta el rápido desarrollo de la tecnología de la información.
3. Cambios de niveles
La clasificación del sistema de tres niveles ha añadido una nueva categoría de objetos infringidos: aquellos que han afectado gravemente a los derechos e intereses legítimos de los ciudadanos, legales. Las personas y otras organizaciones deben dividirse en tres niveles.
4. Cambios en los estándares de evaluación
Las unidades de evaluación requeridas para la evaluación han agregado elementos de objetos de evaluación, aclarando aún más los objetos de evaluación. Las condiciones de evaluación son más adaptables pero más estrictas (período de reevaluación, reducción de ítems de control de evaluación, línea base de cumplimiento aumentada en más de 75 puntos). Por supuesto, esta parte requiere que los estándares actuales de ciertas autoridades de la industria en ciertos campos también tengan requisitos de flexibilidad basados en la situación actual y los resultados esperados. Por ejemplo, algunas comisiones regionales de salud exigen que los hospitales y otras compañías de seguros tengan una base de 80 puntos para el primer examen y 85 puntos para el reexamen, y la base para la industria financiera en una determinada provincia es de 90 puntos. El período de reevaluación para los sistemas de nivel 4 y superiores se ha ampliado a un año, lo que tiene en cuenta las situaciones complejas que enfrenta el trabajo de protección de nivel real y está más en línea con los escenarios de trabajo reales.
5. Cambios en la implementación de la clasificación y presentación
La implementación de la presentación de clasificación también ha cambiado y el tiempo de presentación original de 30 días se ha reducido a 10 días hábiles. La clasificación de MLPS 2.0 no es una clasificación independiente. Antes de acudir al órgano de seguridad pública para su clasificación y archivo, se deben agregar dos vínculos claves para garantizar el rigor y exactitud de la clasificación y archivo. En primer lugar, la clasificación de los objetos clasificados debe ser revisada por expertos. En segundo lugar, debe ser aprobada por el departamento competente y luego presentada ante los órganos de seguridad pública para determinar el nivel final de los objetos protegidos. La calificación general es relativamente estricta. Los objetos calificados recién creados de nivel tres o superior sólo pueden ponerse en funcionamiento después de aprobar la evaluación de calificación, lo que fortalece el principio de "sincronización".
6. Otros
La idea de "un centro, triple protección" puede sublimarse desde el marco de la protección jerárquica 2.0. En comparación con el sistema de seguridad actual con estándares de protección iguales, el sistema estándar Equal Protection 2.0 presta más atención a la protección dinámica (cambiando la protección pasiva en protección activa, cambiando la protección estática en protección dinámica, cambiando la protección de un solo punto en prevención y control generales, y (cambiar la protección extensiva a protección de precisión), enfatizando la prevención de antemano, la respuesta durante el incidente y la auditoría posterior. De acuerdo con la política y los estándares de protección graduada de seguridad de la red nacional, el sistema de protección graduada 2.0 requiere gestión organizacional, construcción de mecanismos, planificación de seguridad, monitoreo de seguridad, notificación y alerta temprana, respuesta de emergencia, conciencia situacional, desarrollo de capacidades, supervisión e inspección, pruebas técnicas. , control de seguridad, equipo de construcción, educación y formación, garantía de financiación y otros trabajos.
Isosafeguard 2.0 agrega requisitos relevantes para la informática confiable por primera vez y propone requisitos para que la verificación confiable se pueda adoptar paso a paso. Tenga en cuenta que se puede utilizar y no se debe utilizar. Además, en términos de prevención de códigos maliciosos, el sistema de tercer nivel requiere o adopta un mecanismo de verificación inmune confiable activo. Se debe utilizar un mecanismo de verificación inmune activo y confiable para evitar códigos maliciosos por encima del nivel 4.
Equal Protection 2.0 añade el contenido de protección de la información personal La seguridad de la información personal, como contenido de la Ley de Ciberseguridad, también aparece de forma independiente entre los elementos de control exigidos para la igual protección. En el entorno empresarial y gubernamental actual, donde los asuntos gubernamentales están interconectados, las personas están interconectadas y la información personal se recopila ampliamente, significa la importancia y la necesidad de mejorar la protección de la información personal.