Правительство заявляет, что разъяснит определение критически важных информационных инфраструктур и обязанностей таких операторов, а также лицензионные требования к поставщикам услуг, в новом законопроекте, который планируется внести в начало 2018 года.
Правительство Сингапура доработает несколько положений будущего законопроекта о кибербезопасности в стране. ответ на отзывы общественности относительно предлагаемой структуры лицензирования и определения обязанностей.
Законопроект о кибербезопасности, который планируется внести в парламент в начале 2018 года, был первым. представлен в июле в этом году и рекламируется как необходимый шаг, позволяющий соответствующим органам принять активные меры меры по защите локальные критически важные информационные инфраструктуры (CII) и оперативно реагировать на угрозы и инциденты. В нем перечислены 11 секторов, которые, как считается, владеют CII, включая воду, здравоохранение, правительство, морское судоходство, энергетику и авиацию.
Смотрите также
Предложенный Сингапуром законопроект о кибербезопасности должен привлечь внимание многих
Прочитай сейчасСреди предложил новые законы представляла собой нормативную базу, которая формализовала обязанности поставщиков CII по обеспечению безопасности систем, находящихся под их ответственностью, в том числе до того, как возникла кибербезопасность. В случае нарушения какого-либо мандата, изложенного в законодательстве, операторам CII грозил штраф в размере до 100 000 сингапурских долларов или тюремное заключение на срок до двух лет, или и то, и другое.
Законопроект также введет модель лицензирования для регулирования отдельных поставщиков услуг кибербезопасности, а также частные лица, в том числе те, которые предлагали тестирование на проникновение, а также услуги центра управления безопасностью (SOC).
Были запрошены отзывы общественности о предлагаемом законодательстве, и теперь они будут рассматриваться как часть усилий по «усовершенствованию» некоторые аспекты законопроекта, согласно совместному заявлению Министерства связи и информации (MCI) и Агентство кибербезопасности (CSA), который получили 92 заявки из промышленности. В их число входили такие юридические фирмы, как Allen & Gledhill, которые заявили, что представили свои отзывы от имени девяти финансовых учреждений, всех трех местных операторов связи - M1, StarHub, и Singtel — консалтинговые фирмы, такие как PricewaterhouseCoopers Risk Services и KPMG, а также поставщики технологий, такие как Amazon Web Services, FireEye, Microsoft и Palo Alto. Сети.
Среди отзывов были просьбы дать более четкое определение систем, которые считались частью CII, которые, по словам CSA, исключат компьютерные системы «в цепочке поставок, поддерживающих работу CII'. Таким образом, сторонние подрядчики не будут считаться владельцами CII.
Обязанности владельцев CII также будут упрощены и приведены в соответствие с другими существующими кодексами и стандартами, чтобы которые эти операторы уже должны будут соблюдать в соответствии со своими отраслевыми нормативно-правовые акты.
Кроме того, были высказаны сомнения в отношении лицензирования поставщиков услуг кибербезопасности, что, по мнению некоторых, повлияет на развитие местной отрасли. Чтобы «найти баланс» между потребностями безопасности и развитием отрасли, MCI и CSA заявили, что отдельным специалистам по кибербезопасности больше не нужно будет получать лицензии.
Кроме того, в законопроекте не будет проводиться различие между «расследовательскими» и «нерасследовательскими» услугами, которые необходимо лицензировать. «На данный момент мы намерены лицензировать только сервис тестирования на проникновение и управляемый сервис мониторинга SOC. провайдеров, поскольку такие услуги уже стали массовыми и широко распространены», - говорят правительственные организации. сказал.
Они добавили, что продолжительность служебного учета будет сокращена с пяти до трех лет. ответ на отзыв о том, что новая структура наложит административное бремя на лицензированные услуги провайдеры.
Развивая эту тему, CSA и MCI заявили: «Мы намерены сохранить минимальные лицензионные сборы и простые требования, чтобы минимизировать эксплуатационные расходы предприятий. После введения система лицензирования будет упрощенной и будет сродни режиму регистрации. Мы не прогнозируем значительных операционных затрат для бизнеса».
Государственные учреждения также отметили поддержку со стороны отрасли положений, защищающих добровольное раскрытие информации. добросовестную информацию, что, по их мнению, улучшит своевременность обмена информацией в отношении киберугрозы.
Они заявили, что законопроект уже предусматривает защиту информаторов, добавив, что CSA не обязано раскрывать личности таких информаторов в ходе уголовного разбирательства. Агентство кибербезопасности далее отметило, что изучает другие «административные механизмы» для облегчения и поощрения обмена информацией.