新版等保标准GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》将于2020年11月1日正式实施,本期小编继续带您一起学习新版等保标准与旧版等保标准GB/T 22240-2008 《信息安全技术 信息系统安全保护等级定级指南》的差异、等保定级工作如何开展以及新版标准中需要重点关注的内容。
新版标准: 安全保护等级初步确定为第二级及以上的等级保护对象,其网络运营者依据本标准组织进行专家评审、主管部门核准和备案审核,最终确定其安全保护等级。 1、新版标准中的“定级流程”与旧版标准中的定级流程内容完全不同,旧版标准中的“定级流程”对应的是新版标准中“定级方法”部分的内容。旧版标准中无“定级流程”(主要是针对定级级别合理性评估环节)方面的内容。新版中的“定级流程”与2017年实施的公安部推荐标准GA/T 1389-2017《信息安全技术 网络安全等级保护定级指南》一致。 2、定级为第一级的等保对象,对应的防护级别为“自主保护”,即根据相关等保要求(如:GB∕T 22239-2019 《信息安全技术 网络安全等级保护基本要求》、GB∕T 28448-2019 《信息安全技术 网络安全等级保护测评要求》)中的防护措施自行进行防护。 旧版标准: 5.2 确定定级对象 新版标准: 5.1信息系统 5.3数据资源 1、定级对象基本特征由: a)具有唯一确定的安全责任单位; b)具有信息系统的基本要素; c)承载单一或相对独立的业务应用。(旧版标准)。 修改为: a)具有确定的主要安全责任主体; b)承载相对独立的业务应用; c)包含相互关联的多个资源。(新版标准)。 明确了“安全责任主体”包含的范围:包括但不限于企业、机关和事业单位等法人,以及不具备法人资格的社会团体等其他组织。旧版标准中的“单位”的概念描述更接近“法人”,但在新版中明确了不具备法人资格的社会团体等其他组织也需要对自己管理的符合定级对象描述的目标进行定级。 删除了定级对象基本特征中“单一”的描述,避免将“单一”的业务应用和“单一”的系统组件混淆,后者不能作为定级对象。 “具有信息系统的基本要素”(旧版标准)修改为“包含相互关联的多个资源(新版标准)”,措辞更加严谨。 2、旧版标准中定级对象只有信息系统,新版标准中的定级对象包括:“信息系统”、“通信网络设施”、“数据资源”三大类,其中“信息系统”包括:传统信息系统、云计算平台/系统、物联网、工业控制系统、移动互联技术的系统等类型。 并且在新版标准中,根据新技术的复杂性差异,对每种类型的定级对象作为一个整体定级还是独立定级都有相应的描述。 旧版标准: 新版标准: 定级对象的定级方法按照以下描述进行。对于通信网络设施、云计算平台/系统等起支撑作用的定级对象和数据资源,还需参照6.6。 具体流程如下: 主要变化:
注:安全保护等级初步确定为第一级的等级保护对象,其网络运营者可依据本标准自行确定最终安全保护等级,可不进行专家评审,主管部门核准和备案审核。
主要变化:
一个单位内运行的信息系统可能比较庞大,为了体现重要部分重点保护,有效控制信息安全建设成本,优化信息安全资源配置的等级保护原则,可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。作为定级对象的信息系统应具有如下基本特征:
a)具有唯一确定的安全责任单位。作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的单位。
b)具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象。
c)承载单一或相对独立的业务应用。定级对象承载“单一”的业务应用是指该业务应用的业务流程独立,且与其他业务应用没有数据交换,且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立,同时与其他业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。
5.1.1定级对象的基本特征
作为定级对象的信息系统应具有如下基本特征:
a)具有确定的主要安全责任主体;
b)承载相对独立的业务应用;
c)包含相互关联的多个资源。
注1:主要安全责任主体包括但不限于企业、机关和事业单位等法人,以及不具备法人资格的社会团体等其他组织。
注2:避免将某个单一的系统组件,如服务器,终端或网络设备作为定级对象。
在确定定级对象时,云计算平台/系统、物联网、工业控制系统以及采用移动互联技术的系统在满足以上基本特征的基础上,还需分别遵循5.1.2,5.1.3,5.1.4,5.1.5的相关要求。
5.1.2云计算平台/系统
在云计算环境中,云服务客户侧的等级保护对象和云服务商侧的云计算平台/系统需分别作为单独的定级对象定级,并根据不同服务模式将云计算平台/系统划分为不同的定级对象。
对于大型云计算平台,宜将云计算基础设施和有关辅助服务系统划分为不同的定级对象。
5.1.3物联网
物联网主要包括感知,网络传输和处理应用等特征要素,需将以上要素作为一个整体对象定级,各要素不单独定级。
5.1.4工业控制系统
工业控制系统主要包括现场采集/执行、现场控制、过程控制和生产管理等特征要素。其中,现场采集/执行、现场控制和过程控制等要素需作为一个整体对象定级,各要素不单独定级;生产管理要素宜单独定级。
对于大型工业控制系统,可根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级对象。
5.1.5采用移动互联技术的系统
采用移动互联技术的系统主要包括移动终端、移动应用和无线网络等特征要素,可作为一个整体独立定级或与相关联业务系统一起定级,各要素不单独定级。
5.2通信网络设施
对于电信网,广播电视传输网等通信网络设施,宜根据安全责任主体、服务类型或服务地域等因素将其划分为不同的定级对象。
跨省的行业或单位的专用通信网可作为一个整体对象定级,或分区域划分为若干个定级对象。
数据资源可独立定级。
当安全责任主体相同时,大数据、大数据平台/系统宜作为一个整体对象定级;当安全责任主体不同时,大数据应独立定级。
主要变化:
信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级。从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。确定信息系统安全保护等级的一般流程如下:
a)确定作为定级对象的信息系统;
b)确定业务信息安全受到破坏时所侵害的客体;
c)根据不同的受侵害客体,从多个方面综合评定业务信息安全被破坏对客体的侵害程度;
d)依据表2,得到业务信息安全保护等级;
e)确定系统服务安全受到破坏时所侵害的客体;
f)根据不同的受侵害客体,从多个方面综合评定系统服务安全被破坏对客体的侵害程度;
g)依据表3,得到系统服务安全保护等级;
h)将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。
上述步骤如图1确定等级一般流程所示。
定级对象的安全主要包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,安全保护等级由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的定级对象安全保护等级称为业务信息安全保护等级;从系统服务安全角度反映的定级对象安全保护等级称为系统服务安全保护等级。
定级方法流程示意图如图⒉所示。
a)确定受到破坏时所侵害的客体
1)确定业务信息受到破坏时所侵害的客体;
2)确定系统服务受到侵害时所侵害的客体。
b)确定对客体的侵害程度
1)根据不同的受侵害客体,分别评定业务信息安全被破坏对客体的侵害程度;
2)根据不同的受侵害客体,分别评定系统服务安全被破坏对客体的侵害程度。
c)确定安全保护等级
1)确定业务信息安全保护等级;
2)确定系统服务安全保护等级;
3)将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。
需要注意的是在2017年实施的公安部推荐标准GA/T 1389-2017《信息安全技术 网络安全等级保护定级指南》中,对公民、法人和其他组织的合法权益造成特别严重损害时,定级为第三级,但在旧版标准和新版标准中,均为第二级。
另外,在新版标准中“对于通信网络设施、云计算平台/系统等起支撑作用的定级对象和数据资源,还需参照6.6”,奇怪的是第6部分 确定安全保护等级的2级标题只有6.4,并没有6.5和6.6的内容。
另外,根据《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)文件:“各行业主管部门要根据行业特点提出指导本地区、本行业定级工作的具体意见。”,因此具体行业的系统定级工作还可以参考以下行业标准及文件:
■ 国家税务总局 2007年9月《税务信息系统安全等级保护定级工作指南》
■ 电监信息[2007]44 号 《关于印发电力行业信息系统等级保护定级工作指导意见的通知》
■ 水利部信息化工作领导小组办公室 2010年3月《水利网络与信息安全体系建设基本技术要求》
■ 卫办发[2011]85号《关于印发卫生行业信息安全等级保护工作的指导意见的通知》
■ GD/J 037—2011 《广播电视相关信息系统安全等级保护定级指南》
■ 银发[2012]163号《中国人民银行关于银行业金融机构信息系统安全等级保护定级的指导意见》
■ 教技厅函[2014]74号《教育行业信息系统安全等级保护定级工作指南(试行)》
■ YC/T 495-2014 《烟草行业信息系统安全等级保护实施规范》
■ JT/T 904-2014《交通运输行业信息系统安全等级保护定级指南》
■ MH/T 0051-2015 《民用航空信息系统安全等级保护实施指南》
■ LY/T 2929-2017 《林业网络安全等级保护定级指南》
■ YZ/T 0163-2018 《邮政业信息系统安全等级保护实施指南》
■ GN/HDSJ 031-2019 《国家能源集团 火电企业电力监控系统安全防护规范(试行)》
