Cybersicherheit in China (Teil 1)

Cybersicherheit in China (Teil 1)

07/2019

 

Regelentwurf für "Critical Network Equipment Security Testing"

Details des chinesischen Cybersicherheitsrechts werden klarer

Das chinesische Cybersicherheitsgesetz, das am 1. Juni 2017 in Kraft getreten ist, bildet die Grundlage für mehrere Regelungen zur Sicherheitsüberprüfung und Zertifizierung der Informationstechnologie. In Artikel 23 heisst es:

 

Kritische Netzwerkgeräte und spezialisierte Cybersicherheitsprodukte müssen nationalen Normen und verbindlichen Anforderungen entsprechen und von einer qualifizierten Einrichtung sicherheitsbescheinigt sein oder den Anforderungen einer Sicherheitsinspektion entsprechen, bevor sie verkauft oder bereitgestellt werden. Die staatlichen Abteilungen für Cybersicherheit und Informatisierung werden zusammen mit den zuständigen Abteilungen des Staatsrates einen Katalog kritischer Netzwerkgeräte und spezialisierter Cybersicherheitsprodukte erstellen und freigeben und die gegenseitige Anerkennung von Sicherheitszertifikaten und Ergebnissen von Sicherheitsinspektionen fördern, um doppelte Zertifizierungen und Inspektionen zu vermeiden.

 

Nachfolgend finden Sie eine Übersetzung der Entwürfe von Durchführungsmassnahmen, die verdeutlichen sollen, wie die Anforderungen von Artikel 23 umgesetzt werden. Sie beziehen sich insbesondere auf zwei weitere Dokumente, den in Artikel 23 des Cybersicherheitsgesetzes und den Artikeln 1 und 2 genannten Katalog und eine oder mehrere separate "Normen, die die Grundlage für die Prüfung der Sicherheit kritischer Netzwerkgeräte bilden" in Artikel 7.

 

Zur Beachtung: Dies ist keine offizielle Übersetzung.

 


 

Der Entwurfstext

 

Öffentliche Einholung von Stellungnahmen zu den "Critical Network Equipment Security Testing Implementing Measures (Draft for Comment)".

 

Um das Cybersicherheitsgesetz der Volksrepublik China umzusetzen und die reibungslose Entwicklung kritischer Sicherheitstests für Netzwerkgeräte zu fördern, hat das Ministerium für Industrie und Informationstechnologie die "Critical Network Equipment Security Testing Implementing Measures (Draft for Comment)" entwickelt (siehe Text unten). Diese wurden als standardisiertes Dokument herausgegeben und steht der Gesellschaft nun zur Stellungnahme offen. Wenn Sie Kommentare oder Vorschläge haben, senden Sie uns bitte Ihr Feedback bis zum 4. Juli 2019. (Kontaktdetails ausgelassen)

 

Kritische Netzwerkgeräte: Umsetzungsmassnahmen für Sicherheitstests

 

Kapitel I

Allgemeine Grundsätze

 

Artikel 1: Zur Stärkung des Sicherheitsmanagements kritischer Netzwerkgeräte, zum Schutz der Cybersicherheit und zum Schutz der rechtmässigen Rechte und Interessen von Netzbetreibern und Nutzern sowie in Übereinstimmung mit dem Cybersicherheitsgesetz der Volksrepublik China und der Bekanntmachung über die Veröffentlichung des "Catalog of Critical Network Equipment and Specialized Cybersecurity Products (First Batch)" (Cyberspace Administration of China, Ministry of Industry and Information Technology, Ministry of Public Security, and the Certification and Accreditation Administration of China Announcement No. 1 von 2017, im Folgenden als Dokument Nr. 1 der vier Ministerien und Ausschüsse bezeichnet), werden diese Massnahmen formuliert.

 

Artikel 2: Der in diesen Massnahmen erwähnte Begriff "kritische Netzwerkgeräte" bezieht sich auf die kritischen Netzwerkgeräte, die im "Katalog der kritischen Netzwerkgeräte und spezialisierten Cybersicherheitsprodukte" aufgeführt sind, der von der Cyberspace Administration of China, dem Ministerium für Industrie und Informationstechnologie, dem Ministerium für öffentliche Sicherheit und der Zertifizierungs- und Akkreditierungsbehörde von China herausgegeben wird.

 

Artikel 3: Diese Massnahmen gelten für Unternehmen, die Sicherheitstestmethoden für ihre kritischen Netzwerkgeräte wählen.

 

Artikel 4: Die Sicherheitsprüfung kritischer Netzwerkgeräte folgt den Prinzipien der Unabhängigkeit, Fairness, Wissenschaft und Integrität.

 

Artikel 5: Das Ministerium für Industrie und Informationstechnologie ist verantwortlich für die Organisation und Durchführung von Tests zur Sicherheit von kritischen Netzwerkgeräten.

Dem Serviceportal des Ministeriums für Industrie und Informationstechnologie für kritische Netzwerkgeräte-Sicherheitstests (nachfolgend "Serviceportal" genannt) werden zentral die relevanten Materialien für kritische Netzwerkgeräte-Sicherheitstests zur Verfügung gestellt.

 

Kapitel II

Managementprozess

 

Artikel 6: Wenn sich ein Hersteller für Sicherheitstests von kritischen Netzwerkgeräten entscheidet, meldet er sich beim Serviceportal an und reicht die folgenden Materialien ein:

  1. Registrierungsformular für Sicherheitstests kritischer Netzwerkgeräte. Das Registrierungsformular sollte vom gesetzlichen Vertreter des Herstellers oder seiner autorisierten Person unterzeichnet werden. Ein ausländischer Hersteller sollte eine Niederlassung oder Agentur in China mit der Einreichung des Registrierungsformulars beauftragen und eine Vertretungsvollmacht ausstellen;
  2. Die grundlegenden Informationen des Herstellers, einschliesslich einer
    Einführung in das Hauptgeschäft des Unternehmens und der Geschäftslizenz des Unternehmens (Kopie). Inländische Hersteller müssen Geschäftslizenzen für juristische Personen bereitstellen. Eine Niederlassung oder Agentur, die von einem ausländischen Hersteller beauftragt wurde, stellen ihre eigene gültige Lizenz zur Verfügung;
  3. Grundlegende Informationen über die kritische Netzwerkausrüstung, einschliesslich Sicherheitsmerkmale (wie Identitätsauthentifizierung, Zugangskontrolle, Datenverschlüsselung, Sicherheitsaudits, Redundanzen und Backups usw.), wichtige Komponenteninformationen, Fotos der Geräte usw.;
  4. Eine Erklärung, dass die Leistungsparameter der Geräte mit den technischen Zielen für kritische Netzwerkgeräte übereinstimmen;
  5. Materialien im Zusammenhang mit den Fähigkeiten zur Sicherung der
    Unternehmenssicherheit, einschliesslich Zertifikaten (Kopien) des
    Qualitätssicherungssystems, und beschreibende Materialien über die Fähigkeiten des Herstellers zur Sicherung der Systeme und Organisationen, Design und Entwicklung, Prüfung, Produktion und Lieferung, Betrieb und Wartung usw.

Die Titelseiten müssen mit amtlichen Siegeln versehen sein. Mit Ausnahme von Zertifikaten und Lizenzmaterialien müssen andere Materialien auf Chinesisch sein.

 

Artikel 7: Der Hersteller sollte Muster auswählen und qualifizierte Unternehmen mit der Durchführung von Sicherheitstests beauftragen. (Normen, die die Grundlage für die Prüfung der Sicherheit kritischer Netzwerkgeräte bilden, sind separat zur Verfügung zu stellen.) Nachdem die Anforderungen der Sicherheitstests erfüllt sind, legt die Prüforganisation einen Bericht über die Sicherheitstests kritischer Netzwerkgeräte an das Serviceportal vor.

 

Für kritische Netzwerkgeräte, die zum Management des Lizenzsystems für die Installation von Telekommunikationsgeräten zugelassen sind (im Folgenden "Installationsmanagement" genannt), wenn das Installationsmanagement zeigt, dass es von qualifizierten Organisationen einen Implementierungstest gemäss den Standards der Sicherheitstests für kritische Netzwerkgeräte durchlaufen hat, und wenn die Installationslizenz nicht abgelaufen ist, wird sie nicht wiederholt getestet. Dem Serviceportal ist von der Prüfungsorganisation einen Bericht über die Sicherheitstests kritischer Netzwerkgeräte zur Verfügung stellen.

 

Eine qualifizierte Organisation bezieht sich auf eine Organisation, die gemeinsam von der Certification and Accreditation Administration of China, dem Ministry of Industry and Information Technology, dem Ministry of Public Security und der Cyberspace Administration of China gemäss dem Cybersecurity Law anerkannt ist, um die Aufgabe der Prüfung der Sicherheit kritischer Netzwerkgeräte zu übernehmen.

 

Artikel 8: Das Ministerium für Industrie und Informationstechnologie überprüft und verifiziert Sicherheitstestberichte und -materialien für kritische Netzwerkgeräte und erstellt eine Liste kritischer Netzwerkgeräte, die die Sicherheitstests bestanden haben (nachstehend "Ausrüstungsliste" genannt), in Übereinstimmung mit den einschlägigen staatlichen Vorschriften, gültig für 3 Jahre. Für kritische Netzwerkgeräte, die zum Management des Systems der Installationslizenz für Telekommunikationsgeräte zugelassen und verifiziert sind, läuft die Gültigkeit mit dem Ablauf der Installationslizenz für Geräte ab.

 

Wenn es notwendig ist, weiterhin kritische Netzwerkgeräte zu verkaufen oder bereitzustellen, die Sicherheitstests bestanden haben, werden sie im Serviceportal neu registriert und Sicherheitstests innerhalb von drei Monaten vor Ablauf der Gültigkeitsdauer durchgeführt.

 

Artikel 9: Wenn sich nicht-technische Informationen wie die Modellnummer des Geräts oder die grundlegenden Informationen des Herstellers (wie Firmenname, Adresse, Art des Unternehmens, gesetzlicher Vertreter, Produktionsort des Geräts, Kontaktperson usw.) für kritische Netzwerkgeräte ändern, sollte der Hersteller nach bestandener Sicherheitsprüfung innerhalb von 10 Werktagen eine Erklärung der Änderungen an das Serviceportal übermitteln.

 

Wenn die Informationsänderung Ausrüstungsliste-Informationen wie die Modellnummer oder den Firmennamen betrifft, wird nach Prüfung und Genehmigung durch das Ministerium für Industrie und Informationstechnologie ein Informationsänderungsbericht veröffentlicht.

 

Wenn ein Hersteller eine nicht-technische Änderung an kritischen Netzwerkgeräten vornimmt, die Sicherheitstests bestanden haben, bleibt das Ablaufdatum der Gültigkeitsdauer unverändert.

 

Kapitel III

Verantwortlichkeiten und Pflichten von Herstellern und Prüfinstituten

 

Artikel 10: Hersteller von kritischen Netzwerkgeräten sollten:

  1. Sicherstellen, dass die Wirksamkeit von Qualitätssicherungssystemen und After-Sales-Servicemassnahmen erhalten bleiben;
  2. Innerhalb des Gültigkeitszeitraums die Einheitlichkeit kritischer Netzwerkgeräte, die Sicherheitstests bestanden haben, sicherstellen. Sicherstellen, dass die Infrastruktur weiterhin den Anforderungen der einschlägigen Normen entspricht und dass ihre Qualität stabil, sicher und zuverlässig ist;
  3. Sicherstellen, dass die eingereichten Unterlagen echt und wirksam sind;
  4. Die Aufsicht und Verwaltung des Ministeriums für Industrie und Informationstechnologie akzeptieren und mit ihnen zusammenarbeiten.

 

Artikel 11: Prüforganisationen müssen Inspektionsaufgaben in Übereinstimmung mit den Anforderungen der Prüfnormen und den in diesen Massnahmen enthaltenen Bestimmungen durchführen. Prüforganisationen und ihre Mitarbeiter dürfen die Hersteller nicht betrügen oder deren Produkte plagiieren, Geschäftsgeheimnisse der, die geistigen Eigentumsrechte der Hersteller verletzen usw.

 

Kapitel IV

Aufsicht und Management

 

Artikel 12: Das Ministerium für Industrie und Informationstechnologie überwacht weiterhin kritische Netzwerkgeräte, die Sicherheitstests bestanden haben, indem sie Stichproben durchführen, Berichte empfangen und andere Mittel einsetzen.

 

Artikel 13: Verstösst ein Hersteller gegen die Bestimmungen dieser Massnahmen und sind die Umstände relativ geringfügig, so ordnet das Ministerium für Industrie und Informationstechnologie an, innerhalb einer bestimmten Frist Korrekturen vorzunehmen. Wenn der Hersteller die folgenden Verhaltensweisen aufweist, wird das Ministerium für Industrie und Informationstechnologie unter anderem die Sicherheitstests aussetzen oder die Genehmigung der Tests widerrufen:

  1. Unfähigkeit, die Anforderungen der einschlägigen Normen während der Gültigkeitsdauer kontinuierlich zu erfüllen; Unfähigkeit, die Einheitlichkeit kritischer Netzwerkgeräte, die Sicherheitstests bestanden haben, zu gewährleisten.
  2. Bestehen von Sicherheitstests durch unangemessene Mittel wie Täuschung oder Bestechung;
  3. Nichtakzeptieren oder Verweigerung der Zusammenarbeit mit der Aufsicht und Verwaltung durch das Ministerium für Industrie und Informationstechnologie;
  4. Andere Umstände, die durch Gesetze und Vorschriften festgelegt sind.

 

Artikel 14: Verstösst ein Prüforganisation gegen die Bestimmungen dieser Massnahmen und sind die Umstände relativ geringfügig, so ordnet das Ministerium für Industrie und Informationstechnologie an, innerhalb einer bestimmten Frist Korrekturen vorzunehmen. Wenn die Testorganisation folgende Verhaltensweisen aufweist, wird das Ministerium für Industrie und Informationstechnologie unter anderem die Annahme der Testergebnisse der Organisation vorübergehend einstellen:

  1. Nichterfüllung von Prüfaufgaben in Übereinstimmung mit den Anforderungen der Prüfnormen und den Bestimmungen des Ministeriums für Industrie und Informationstechnologie;
  2. Die Prüfstelle und ihre Mitarbeiter erstellen gefälschte Inspektionsdaten oder -ergebnisse oder nehmen andere betrügerische Handlungen vor.
  3. Die Prüfstelle und ihre Mitarbeiter plagiieren oder offenbaren Betriebsgeheimnisse von Herstellern oder verletzen die geistigen Eigentumsrechte von Herstellern.
  4. Andere Umstände, die durch Gesetze und Vorschriften festgelegt sind.

 

Artikel 15: Personen und Organisationen, die Verstösse gegen einschlägige Gesetze,
Vorschriften und die Bestimmungen dieser Massnahmen durch Hersteller kritischer Netzwerkgeräte, Prüforganisationen usw. festgestellt haben, haben das Recht, dem Ministerium für Industrie und Informationstechnologie einen Bericht vorzulegen.

 

Kapitel V

Ergänzende Bestimmungen

 

Artikel 16: Diese Massnahmen werden ab dem Tag[Anzahl] des Monats[Monat],[Jahr] durchgeführt.

 

Newamerica.org; Cindy L, Kevin Neville, Graham Webster; 12.06.2019
Übersetzung bow
www.newamerica.org
https://creativecommons.org/licenses/by/4.0/

 

cyber security

 

Cyber Security


Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr
Hinweis zur Verwendung von Cookies
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Sie können die Verwendung von Cookies annehmen oder ablehnen. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung