Multi-Level Protection Scheme 2.0
Multi-Level Protection Scheme 2.0 (MLPS 2.0, «Схема многоуровневой защиты 2.0») — это государственный стандарт Китайской Народной Республики, регламентирующий требования к информационной безопасности (ИБ) и классификации систем, обрабатывающих данные. Он представляет собой обновлённую версию предыдущего стандарта MLPS 1.0, разработанного в 2007 году, и вступил в силу 1 декабря 2019 года. MLPS 2.0 является обязательным для всех организаций, работающих на территории КНР, включая государственные учреждения, частные компании и иностранные предприятия, обрабатывающие персональные данные граждан Китая.
История и предпосылки создания
Первая версия MLPS (Multi-Level Protection Scheme, также известная как «Классифицированная защита информационной безопасности» или «Dengbao») была введена в Китае в 2007 году как стандарт GB/T 22239-2008. Она устанавливала базовые требования к защите информации в зависимости от уровня критичности системы. Однако с развитием облачных технологий, Интернета вещей (IoT), больших данных и мобильных вычислений, а также с ростом числа кибератак, существующая система перестала отвечать современным вызовам.
В 2017 году в Китае вступил в силу «Закон о кибербезопасности», который закрепил обязательность применения MLPS для всех операторов сетей и информационных систем. Это потребовало пересмотра стандарта. Разработка MLPS 2.0 велась под руководством Министерства общественной безопасности КНР и Государственного управления по стандартизации. Новая версия была опубликована в мае 2019 года, а с 1 декабря того же года стала обязательной для исполнения.
Классификация уровней защиты
MLPS 2.0, как и его предшественник, делит информационные системы на пять уровней защиты в зависимости от потенциального ущерба в случае нарушения безопасности:
- Первый уровень — минимальный. Применяется к системам, утечка или нарушение работы которых не нанесёт существенного ущерба гражданам, обществу или государству. Требования включают базовую аутентификацию и контроль доступа.
- Второй уровень — для систем, нарушение работы которых может нанести серьёзный ущерб гражданам или организациям, но не угрожает национальной безопасности. Требует регулярного аудита и резервного копирования.
- Третий уровень — для систем, чьё нарушение может нанести значительный ущерб общественным интересам или государственной безопасности. Включает обязательное шифрование данных, многофакторную аутентификацию и мониторинг инцидентов.
- Четвёртый уровень — для критически важных систем, нарушение которых может привести к серьёзному ущербу национальной безопасности. Требует физической изоляции, круглосуточного мониторинга и обязательного резервирования.
- Пятый уровень — высший, для систем особой важности, связанных с государственной тайной. Применяется в ограниченном числе государственных структур. Требования включают полную изоляцию, использование только сертифицированного оборудования и строгий кадровый контроль.
Ключевые изменения в MLPS 2.0 по сравнению с MLPS 1.0
MLPS 2.0 внёс несколько принципиальных новшеств, расширив сферу действия и ужесточив требования.
Расширение области применения
Если MLPS 1.0 в основном касался традиционных информационных систем (серверов, баз данных, локальных сетей), то MLPS 2.0 охватывает новые технологические среды:
- Облачные вычисления (включая публичные, частные и гибридные облака).
- Мобильные приложения и мобильные операционные системы.
- Платформы Интернета вещей (IoT) — от «умных» домов до промышленных датчиков.
- Системы больших данных (Big Data), включая хранение, обработку и анализ массивов данных.
- Промышленные системы управления (SCADA, PLC), используемые в критической инфраструктуре.
Усиление требований к безопасности
В MLPS 2.0 введены новые категории требований:
- Физическая безопасность — защита серверных помещений от несанкционированного доступа, пожаров, затоплений.
- Сетевая безопасность — сегментация сетей, межсетевые экраны, системы обнаружения вторжений (IDS/IPS).
- Безопасность хостов — защита операционных систем, антивирусная защита, управление обновлениями.
- Безопасность приложений — тестирование кода, защита от SQL-инъекций, XSS-атак.
- Безопасность данных — шифрование при передаче и хранении, контроль целостности, резервное копирование.
- Безопасность управления — политики ИБ, обучение персонала, управление инцидентами, аудит.
Процедура сертификации и аттестации
Для подтверждения соответствия MLPS 2.0 организации обязаны пройти процедуру оценки, которая включает:
- Самооценку — организация самостоятельно определяет уровень защиты своей системы.
- Аттестацию — проводится уполномоченной аккредитованной организацией (например, China Information Security Certification Center). Аттестация включает технический аудит, тестирование на проникновение и проверку документации.
- Регистрацию — результаты аттестации направляются в местный орган Министерства общественной безопасности.
- Периодический аудит — системы третьего и выше уровней должны проходить повторную аттестацию не реже одного раза в год.
Применение и последствия для бизнеса
MLPS 2.0 обязателен для всех организаций, работающих в Китае, независимо от формы собственности. Иностранные компании, обрабатывающие персональные данные граждан КНР (например, через облачные сервисы, мобильные приложения или веб-сайты), также обязаны соблюдать требования стандарта.
Штрафы и санкции
За невыполнение требований MLPS 2.0 предусмотрена административная и уголовная ответственность в соответствии с «Законом о кибербезопасности» КНР:
- Штраф для юридических лиц — от 10 000 до 1 000 000 юаней (примерно от 140 000 до 14 000 000 рублей по курсу 2024 года).
- Приостановление деятельности или блокировка доступа к системе.
- Уголовная ответственность для должностных лиц в случае утечки данных, повлёкшей тяжкие последствия.
Примеры внедрения
Крупные китайские компании, такие как Alibaba, Tencent, Huawei, Baidu, а также государственные банки и операторы связи, прошли сертификацию по MLPS 2.0 для своих ключевых систем. Иностранные компании, например, Apple, Amazon Web Services (AWS) и Microsoft Azure, также адаптировали свои облачные сервисы для соответствия требованиям китайского законодательства.
Критика и сложности
MLPS 2.0 подвергается критике со стороны международного бизнеса и экспертов по безопасности по нескольким причинам:
- Высокие затраты — полная сертификация может стоить миллионы долларов для крупных организаций, особенно для тех, кто использует распределённые облачные инфраструктуры.
- Сложность интерпретации — требования стандарта сформулированы обобщённо, что приводит к разночтениям и необходимости привлекать китайских консультантов.
- Потенциальный доступ к данным — некоторые эксперты отмечают, что требования MLPS 2.0 могут быть использованы для предоставления доступа к данным китайским правоохранительным органам, что вызывает опасения по поводу конфиденциальности.
- Несовместимость с международными стандартами — MLPS 2.0 не полностью гармонизирован с ISO 27001, что создаёт дополнительные сложности для транснациональных компаний.
Влияние на международные отношения
MLPS 2.0 является частью более широкой китайской стратегии киберсуверенитета, которая включает также «Закон о кибербезопасности» (2017), «Закон о защите персональной информации» (2021) и «Закон о безопасности данных» (2021). Эти нормативные акты усиливают контроль государства над информационными потоками и данными, что вызывает напряжённость в торговых отношениях с США, Европейским союзом и другими странами.
Источники
- Закон Китайской Народной Республики «О кибербезопасности» (2017).
- Стандарт GB/T 22239-2019 «Требования к многоуровневой защите информационной безопасности».
- Официальные разъяснения Министерства общественной безопасности КНР (2019).
- Публикации China Information Security Certification Center (2019–2023).
- Аналитические статьи международных консалтинговых компаний (KPMG, Deloitte) по вопросам соответствия китайскому законодательству.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →