BRICSPULSE
$1 = 71.01 $1 = 6.79 ¥$1 = 95.81
Back
in flagIndiaSoftwareDirectiveActive

CERT-In Directions 2022

Apr 28, 2022
EnglishRussian

Краткое резюме

Директивы CERT-In от 28 апреля 2022 года, изданные на основании пункта 6 статьи 70B Закона об информационных технологиях 2000 года, представляют собой решительное регуляторное вмешательство национального агентства Индии по кибербезопасности, направленное на укрепление реагирования на инциденты и повышение киберустойчивости всей цифровой экосистемы. Изданные Индийской группой реагирования на компьютерные чрезвычайные ситуации (CERT-In) при Министерстве электроники и информационных технологий, эти шесть директив устанавливают обязательные требования для широкого круга субъектов -- поставщиков услуг, посредников, центров обработки данных, государственных организаций, провайдеров VPN и облачных услуг, а также поставщиков виртуальных активов. Центральным требованием является жёсткое шестичасовое окно обязательного уведомления об инцидентах, одно из самых коротких в мировой практике. Наряду с требованиями синхронизации системных часов по NTP, хранения логов в течение 180 дней и пятилетнего хранения регистрационных данных клиентов инфраструктурных провайдеров, данные директивы радикально меняют ландшафт кибербезопасности в Индии.

Ключевые положения

Директива I -- Синхронизация часов по NTP. Все регулируемые субъекты обязаны синхронизировать системные часы своей ИКТ-инфраструктуры с NTP-серверами Национального информационного центра (NIC) или Национальной физической лаборатории (NPL), либо с NTP-серверами, привязанными к указанным источникам. Для организаций с инфраструктурой в нескольких географических зонах допускается использование альтернативных точных источников времени при условии соответствия стандартам NPL/NIC. Данное положение обеспечивает криминалистическую точность и позволяет проводить корреляционный анализ множественных инцидентов.

Директива II -- Шестичасовое обязательное уведомление об инцидентах. Все поставщики услуг, посредники, центры обработки данных, корпорации и государственные организации обязаны сообщать о киберинцидентах в CERT-In в течение шести часов с момента обнаружения или получения информации о них. Директива охватывает двадцать перечисленных категорий инцидентов (в Приложении I), от целевого сканирования и атак программ-вымогателей до утечек данных, компрометации IoT-устройств и атак на системы ИИ/МО.

Директива III -- Выполнение запросов на предоставление информации. При поступлении указания CERT-In о предоставлении информации или содействия в целях митигации кибербезопасности и ситуационной осведомлённости субъект обязан выполнить требование в установленный срок. Это наделяет CERT-In широкими полномочиями по оперативному взаимодействию при активных инцидентах.

Директива IV -- Хранение логов в течение 180 дней. Все регулируемые субъекты обязаны вести и надёжно хранить журналы всех ИКТ-систем на скользящей основе в течение 180 дней. Принципиально важно, что логи должны храниться в пределах индийской юрисдикции и предоставляться CERT-In при отчётности об инцидентах или по запросу.

Директива V -- Пятилетнее хранение данных клиентов инфраструктурных провайдеров. Центры обработки данных, провайдеры VPS, облачных и VPN-услуг обязаны собирать и хранить верифицированные данные подписчиков в течение пяти лет после прекращения обслуживания. Обязательные записи включают подтверждённые имена клиентов, периоды обслуживания, выделенные IP-адреса, адреса электронной почты и IP при регистрации с метками времени, цель использования сервиса, подтверждённые адреса, контактные номера и структуру владения.

Директива VI -- KYC для поставщиков услуг виртуальных активов. Биржи виртуальных активов, поставщики кастодиальных кошельков и иные поставщики услуг виртуальных активов обязаны хранить всю KYC-информацию и записи о финансовых операциях в течение пяти лет, включая данные идентификации клиентов, записи транзакций (тип, сумма, валюта, дата, стороны, IP-адреса, адреса кошельков) и информацию об отправителях/получателях при переводах виртуальных активов.

Цели и сроки

Директивы были изданы 28 апреля 2022 года со вступлением в силу через 60 дней (27 июня 2022 года). Цели прямые и конкретные: устранить выявленные пробелы в анализе инцидентов, препятствовавшие координации реагирования CERT-In. Установление шестичасового окна отчётности -- взамен прежних неформальных и непоследовательных практик -- было призвано кардинально сократить время между обнаружением инцидента и получением информации на национальном уровне. Требование хранения логов в течение 180 дней обеспечивает следователям достаточное криминалистическое окно, а пятилетнее хранение данных инфраструктурных провайдеров поддерживает долгосрочные расследования и атрибуцию.

Механизмы реализации

Централизованная система отчётности. CERT-In создал многоканальную систему приёма сообщений об инцидентах: электронная почта ([email protected]), телефон (1800-11-4949) и факс (1800-11-6969). Стандартизированная форма отчёта (Приложение II) требует указания общей информации об организации, деталей инцидента (дата, время, местоположение, затронутые системы, описание), принятых мер и соответствующих лог-файлов.

Широкая юрисдикция. Директивы распространяются на всех поставщиков услуг, посредников, центры обработки данных, корпорации и государственные организации, создавая всеобъемлющую сеть соответствия во всех секторах экономики, включая индийские дочерние предприятия иностранных компаний и зарубежные организации, оказывающие услуги на территории Индии.

Модель самостоятельного соответствия с механизмом принуждения. Устанавливая обязательные требования, директивы опираются на полномочия CERT-In по изданию обязывающих предписаний в соответствии с Законом об информационных технологиях. При несоблюдении требований применяются штрафные санкции согласно действующему законодательству. Право требовать информацию и содействие в установленные сроки обеспечивает CERT-In оперативные возможности правоприменения.

Инфраструктурные требования. Требования синхронизации NTP и хранения логов предписывают конкретные технические стандарты инфраструктуры, требующие от организаций инвестиций в системы, хранилища и процессы. Обязательное хранение логов в пределах индийской юрисдикции требует наличия локальных мощностей хранения данных.

Влияние на отрасль

Директивы CERT-In вызвали значительные потрясения в технологической отрасли Индии, затронув несколько ключевых областей.

VPN и облачные провайдеры. Требования хранения данных клиентов VPN-провайдеров оказались наиболее спорными. Ряд международных VPN-провайдеров, бизнес-модель которых основана на непренебрежении данных пользователей, объявили о выводе серверов из Индии. Это создало заметное противоречие между задачами кибербезопасности Индии и сектором сервисов, ориентированных на конфиденциальность.

Стартапы и малый бизнес. Шестичасовой срок уведомления и 180-дневное хранение логов возложили существенную операционную и финансовую нагрузку на небольшие организации. Многим не хватало технической инфраструктуры, экспертизы в области кибербезопасности и ёмкости хранения, что стимулировало спрос на управляемые услуги безопасности и решения «соответствие как услуга».

IT-сервисная отрасль. Крупные IT-компании, уже имевшие фреймворки управления инцидентами, адаптировались относительно легко, но столкнулись с трудностями распространения требований соответствия по цепочкам поставок и к клиентам, работающим в Индии.

Криптовалюты и виртуальные активы. Требования KYC и хранения записей о транзакциях для провайдеров виртуальных активов соответствуют глобальной тенденции к регулированию криптовалют и дополняют развивающуюся позицию Резервного банка Индии по цифровым активам.

Рост рынка кибербезопасности. Директивы катализировали рост индийского рынка кибербезопасности, стимулируя спрос на решения SIEM, услуги реагирования на инциденты, консалтинг по соответствию и управляемые сервисы обнаружения и реагирования (MDR).

Директивы также вызвали значительную общественную дискуссию о балансе между интересами национальной безопасности и индивидуальной конфиденциальностью, особенно в отношении требований хранения данных VPN-провайдерами и широты запросов CERT-In.

История изменений

Директивы CERT-In от 28 апреля 2022 года были изданы как самостоятельный нормативный акт на основании пункта 6 статьи 70B Закона об информационных технологиях 2000 года. После первоначального издания CERT-In в мае 2022 года опубликовал ответы на часто задаваемые вопросы для разъяснения отдельных требований соответствия, особенно в отношении применимости к VPN-сервисам и интерпретации шестичасового окна отчётности. Формальные поправки в сами директивы не вносились; однако последующие разъяснительные рекомендации CERT-In и принятие Закона о защите цифровых персональных данных 2023 года сформировали эволюционирующий нормативный контекст, в котором действуют данные директивы.

Связанные документы

  • Закон об информационных технологиях 2000 года -- базовый закон, наделяющий CERT-In полномочиями издавать директивы (статья 70B).
  • Правила CERT-In 2013 года -- операционные правила, регулирующие функции и обязанности CERT-In.
  • Закон о защите цифровых персональных данных 2023 года (DPDPA) -- дополнительное законодательство о защите персональных данных, обязательства по уведомлению об утечках которого пересекаются с требованиями отчётности CERT-In.
  • Правила о посредниках и цифровых медиа 2021 года -- смежные правила, устанавливающие обязательства «надлежащей осмотрительности» для посредников, включая хранение данных и сотрудничество с правоохранительными органами.
  • Циркуляры Резервного банка Индии по виртуальным цифровым активам -- нормативная база финансовых аспектов криптовалютных операций, дополняющая требования CERT-In к поставщикам виртуальных активов.
  • Директива ЕС NIS2 / Закон CIRCIA (США) -- международные аналоги обязательных систем отчётности об инцидентах для сравнительного анализа шестичасового окна CERT-In с мировыми стандартами.