Правителството казва, че ще изясни определението за критични информационни инфраструктури и задълженията на такива оператори, както и изискванията за лицензиране на доставчиците на услуги, в новия законопроект, който трябва да бъде въведен в началото на 2018 г.
Правителството на Сингапур ще прецизира няколко разпоредби в предстоящия законопроект за киберсигурността на страната през отговор на обществената обратна връзка относно предложената лицензионна рамка и определяне на отговорностите.
Планиран да бъде внесен в парламента в началото на 2018 г., законопроектът за киберсигурността беше първият представен през юли тази година и се рекламира като необходима стъпка, която да позволи на съответните органи да предприемат проактивни действия мерки за защита локални критични информационни инфраструктури (CII) и бързо реагиране на заплахи и инциденти. Той изброява 11 сектора, за които се смята, че притежават CII, включително вода, здравеопазване, правителство, мореплаване, енергетика и авиация.
Вижте също
Предложеният от Сингапур законопроект за киберсигурността трябва да привлече вниманието на мнозина
Прочетете сегаСред предложени нови закони беше регулаторна рамка, която формализира задълженията на доставчиците на CII за осигуряване на системи под тяхна отговорност, включително преди да е настъпила киберсигурност. Ако нарушат мандат, посочен в законодателството, CII операторите са изправени пред глоба до 100 000 сингапурски долара или лишаване от свобода до две години, или и двете.
Законопроектът също така ще въведе лицензионен модел за регулиране на избрани доставчици на услуги за киберсигурност, както и лица, включително тези, които предлагат тестове за проникване, както и услуги на управляван център за операции по сигурността (SOC).
Беше потърсена обществена обратна връзка относно предложеното законодателство и те сега ще бъдат разглеждани като част от усилията за „усъвършенстване“ няколко аспекта на законопроекта, според съвместно изявление на Министерството на съобщенията и информацията (MCI) и Агенция за киберсигурност (CSA), който са получени 92 предложения от индустрията. Сред тях бяха адвокатски кантори като Allen & Gledhill, които казаха, че са изпратили своите отзиви от името на девет финансови институции, и трите местни оператора – M1, StarHub, и Singtel - консултантски фирми като PricewaterhouseCoopers Risk Services и KPMG и доставчици на технологии като Amazon Web Services, FireEye, Microsoft и Palo Alto мрежи.
Сред обратната връзка имаше искания за по-ясно определение на системите, които се считат за част от CII, за които CSA каза, че ще изключат компютърните системи „във веригата за доставки, поддържащи работата на a CII'. Като такива, изпълнителите на трети страни няма да се считат за собственици на CII.
Задълженията на собствениците на CII също ще бъдат рационализирани и приведени в съответствие с други съществуващи кодекси и стандарти за които тези оператори вече трябва да спазват в съответствие със съответния си сектор регламенти.
Освен това бяха изразени резерви по отношение на лицензирането на доставчиците на услуги за киберсигурност, което според някои ще повлияе на развитието на местната индустрия. За да „постигнат баланс“ между нуждите от сигурност и развитието на индустрията, MCI и CSA казаха, че отделните специалисти по киберсигурност вече няма да се нуждаят от лиценз.
Освен това законопроектът няма да прави разлика между „разследващи“ и „неразследващи“ услуги, които трябва да бъдат лицензирани. „В този момент възнамеряваме да лицензираме само тестване за проникване и управлявана услуга за наблюдение на SOC доставчици, тъй като такива услуги вече са масови и широко възприети“, правителствените организации казах.
Те добавиха, че продължителността на воденето на служебни записи ще бъде намалена от пет години на три години отговор на отзивите, че новата рамка ще наложи административна тежест върху лицензираната услуга доставчици.
Разяснявайки това, CSA и MCI казаха: „Възнамеряваме да запазим лицензионните такси минимални, а изискванията прости, за да минимизираме оперативните разходи за бизнеса. Рамката за лицензиране ще бъде лека, когато бъде въведена и ще бъде подобна на режим на регистрация. Не предвиждаме значителни оперативни разходи за бизнеса."
Освен това правителствените органи отбелязаха подкрепата на индустрията за разпоредби за защита на доброволното разкриване на информация добросъвестно, за което те се съгласиха, че ще подобри навременността на споделянето на информация по отношение на кибер заплахи.
Те казаха, че законопроектът вече включва защита на информаторите, като добавиха, че CSA не е задължена да разкрива самоличността на такива информатори по време на наказателно производство. Освен това агенцията за киберсигурност отбеляза, че проучва други „административни договорености“ за улесняване и насърчаване на споделянето на информация.