Защита данных
InfoWatch Центр расследований События DLP. Персоны. Файлы. Доступ. Устройства. Риски. Аналитика
InfoWatch Data Discovery Аудит хранения данных
InfoWatch Data Access Tracker Аудит учётных записей и изменений в службе каталогов
InfoWatch Traffic Monitor DLP: защита данных от утечек
InfoWatch Vision Визуальная аналитика и граф связей
Мониторинг действий сотрудников Для расследований инцидентов ИБ
InfoWatch Prediction UBA: предиктивная аналитика
Защита сетевой инфраструктуры
InfoWatch ARMA Стена (NGFW) Межсетевой экран нового поколения
InfoWatch ARMA Industrial Firewall Защита АСУ ТП на сетевом уровне и соответствие требованиям ФСТЭК
InfoWatch ARMA Management Console Единый центр управления системой защиты InfoWatch ARMA
InfoWatch ARMA Industrial Endpoint Средство защиты информации рабочих станций и серверов SCADA
Помочь с выбором? Расскажем, какие задачи решают конкретные продукты и что подойдет именно вам.
Связаться с нами
Бизнес-задачи
Защита конфиденциальной информации
Управление рисками информационной безопасности
Соответствие требованиям регуляторов
Кибербезопасность АСУ ТП
Инцидент ИБ и расследования с помощью мониторинга активности
Отраслевые решения
Государственные органы
Промышленность
Финансовый сектор
Энергетика
Оборонно-промышленный комплекс
Медицина и фармацевтика
Ритейл
Телекоммуникации
Помочь с выбором? Расскажем, какие задачи решают конкретные продукты и что подойдет именно вам.
Связаться с нами
Техническая поддержка
Консалтинг
Программа поддержки
Утечки информации
Новости ИБ
Аналитические отчеты
Дайджесты и обзоры
О компании
Контакты
Пресс-центр
Партнеры
Карьера
Линия доверия
Патенты
Акционерам
Вебинары
Мероприятия
Блог Натальи Касперской
FAQ
RU EN AE
Заказать демо
+7 495 22-900-22 +7 499 37-251-74
Заказать демо
InfoWatch Аналитика Дайджесты и обзоры Китай ужесточил требования к отчетности об утечках данных
Аналитика информационной безопасности
Экспертно-аналитический центр InfoWatch более десяти лет собирает и анализирует данные в сфере информационной безопасности, публикует аналитические отчёты, дайджесты и новости.
Основное внимание — утечкам персональных данных, безопасности цифровой экономики, защите автоматизированных систем управления.
22 сентября 2025

Китай ужесточил требования к отчетности об утечках данных

Регулятор в Китае опубликовал меры информирования об утечках данных и других инцидентах ИБ.  Об утечке данных оператор обязан сообщить в течение четырех часов после выявления. Значительной признается утечка персональных данных от 1 миллиона человек.

Управление киберпространства Китая (The Cyberspace Administration of China, CAC) недавно выпустило новые Административные меры по отчетности об инцидентах сетевой безопасности (Administrative Measures for Network Security Incident Reporting). Эти меры включают дополнительные рекомендации о том, когда и как сообщать о компьютерных инцидентах в соответствии с действующим законодательством: Закон о кибербезопасности, Закон о безопасности данных и Закон о защите персональных данных. Эти меры вступят в силу 1 ноября 2025 г.

Согласно Административным мерам по отчетности об инцидентах сетевой безопасности, инцидентом признается событие, в результате которого причинен ущерб сетям, информационным системам или данным и бизнес-приложениям в них и которое может быть вызвано человеческим фактором, кибератаками, уязвимостями сети, дефектами или сбоями программного/аппаратного обеспечения, а также форс-мажорными обстоятельствами и может привести к негативным последствиям для страны, общества и экономики.

Любой сетевой оператор, то есть субъект, который создает или эксплуатирует сети, а также предоставляет услуги через сети на территории Китая, обязан сообщать об инцидентах сетевой безопасности и принимать соответствующие меры исходя из нижеизложенных инструкций.

Классификация инцидента

В соответствии с принятыми мерами, инциденты классифицируются по четырем типам: особо значимые, значимые, крупные и обычные.

При классификации инцидентов следует учитывать следующие факторы:

  • Системные сбои, неисправности или потери возможностей предоставления услуг в важных системах или критически важных сетях;
  • Количество лиц, чьи персональные данные были затронуты в ходе инцидента;
  • Масштаб важных данных;
  • Экономический ущерб;
  • Другие виды ущерба и угрозы национальной безопасности, общественным интересам или социальной стабильности.

В мерах приведены примеры каждого типа инцидентов. Например, в качестве значимых классифицированы следующие инциденты:

  • Полное отключение критически важной информационной инфраструктуры более чем на 10 минут или нарушение ее основных функций более чем на 30 минут.
  • Инцидент, затронувший более 30% населения одного или нескольких административных районов или нарушивший повседневную жизнь и работу более 100 000 человек в таких сферах, как водоснабжение, электроснабжение, газоснабжение, отопление, транспорт, медицинское обслуживание или торговля.
  • Утечка персональных данных более 1 миллиона граждан.
  • Инцидент, повлекший за собой прямой экономический ущерб, превышающий 5 миллионов юаней (от 700 тыс. долларов США).
  • Атака на официальный веб-сайт компании, атака, в результате которой незаконный контент был распространен более 1000 раз в социальных сетях или получил более 10 000 просмотров или кликов.

Уведомление о инциденте

В мерах изложен порядок сообщения о крупном инциденте или инциденте более высокого уровня классификации (т. е. особо значимых и значимых инцидентах).

Оператор сети обязан сообщить о таком инциденте в местный офис Управления киберпространства Китая (CAC) в течение четырех часов с момента получения информации о нем. Если оператор сети является центральным органом власти или одним из его непосредственно аффилированных подразделений, сообщение должно быть подано в течение двух часов. Если инцидент затрагивает критически важную информационную инфраструктуру, сообщение должно быть подано в течение одного часа.

При подозрении на совершение киберпреступления необходимо также своевременно сообщить об этом в местную полицию. Если существуют особые отраслевые правила, касающиеся уведомлений об инцидентах, их также необходимо соблюдать.

В рамках информирования CAC об инциденте необходимо сообщить следующие сведения:

  • Название оператора сети и основные сведения о затронутой инцидентом системе или объекте;
  • Время, место, тип и уровень серьёзности инцидента на момент обнаружения или возникновения, а также его последствия и ущерб, принятые меры и их эффективность; в случае атак программ-вымогателей необходимо также указать требуемую сумму выкупа, способ оплаты и дату;
  • Прогнозируемое развитие ситуации и возможные дальнейшие последствия и ущерб;
  • Предварительный анализ причины инцидента;
  • Улики для атрибуции инцидента, включая, помимо прочего, информацию о потенциальных злоумышленниках, путях атак и существующих уязвимостях;
  • Предлагаемые дальнейшие меры реагирования и запросы на оказание помощи.

В тех случаях, когда причину инцидента, его последствия или тенденции развития невозможно определить в течение указанного срока, сначала можно сообщить информацию по первым двум пунктам, а затем оперативно предоставить дополнительные сведения. Если в ходе расследования после подачи отчета об инциденте возникают новые обстоятельства существенного значения, оператор сети должен незамедлительно сообщать о любых соответствующих обновлениях.

Сообщения об инцидентах следует направлять по телефону горячей линии, через специальный веб-сайт, коммуникационную платформу WeChat, а также по адресу электронной почты или номеру факса, указанным CAC.

В настоящих мерах информирования об инцидентах не определен порядок сообщения об инцидентах общего характера. Однако это не отменяет обязанности операторов сети сообщать обо всех инцидентах (включая инциденты общего характера) в соответствии с другими действующими законами.

Отчет о разрешении инцидента

Разрешив инцидент, оператор сети должен провести всесторонний анализ и составить краткое описание причин инцидента, принятых мер реагирования на чрезвычайные ситуации, а также рассказать о причиненном ущербе, ответственности за нарушения, принятых корректирующих мерах и извлеченных уроках. Это все должно быть сделано в течение тридцати дней.

Новые меры по отчетности об инцидентах сетевой безопасности не вводят никаких новых санкций операторам. Но в этом документе прописано, что в случае, если оператор сети не уведомит об инциденте в установленном порядке, органы власти могут применить в отношении этого субъекта штрафные санкции в соответствии с действующим законодательством о защите данных и кибербезопасности. Если несвоевременное уведомление оператором сети об инциденте, непредоставление информации, предоставление ложной информации или сокрытие информации об инциденте приводит к значительным негативным последствиям, органы власти могут применить к оператору сети и ответственным лицам более строгие санкции в соответствии с действующим законодательством.

Рекомендации

Операторам сетей, которые имеют системы в Китае или обрабатывают данные в связи со своей деятельностью на территории Китая, рекомендуется в течение ближайших нескольких недель разработать внутренние правила классификации инцидентов и обновить действующие политики реагирования на инциденты, чтобы отразить новые требования принятых мер по отчетности об инцидентах сетевой безопасности.

Им также следует включить в договоры с поставщиками ИТ-решений и услуг четкие положения, обязывающие их отслеживать сетевые инциденты и оказывать необходимую помощь.

Согласно мерам по отчетности об инцидентах сетевой безопасности, если оператор сети реализует разумные и необходимые меры защиты, обрабатывает инцидент в соответствии с планом реагирования на чрезвычайные ситуации, эффективно минимизирует последствия и ущерб от инцидента кибербезопасности и своевременно сообщает об инциденте в соответствии с мерами, органы власти могут применять более мягкие санкции в рамках, предусмотренных действующим законодательством, или освободить оператора сети и ответственных лиц от ответственности.

Хотя новые меры могут стимулировать подачу сообщений даже об инцидентах общего характера (то есть менее серьезных, чем крупные, значимые и особо значимые инциденты), операторам сетей следует также учитывать другие факторы, прежде чем направлять уведомления об инцидентах. Например, органы власти могут проверить общий статус соблюдения операторами сетей требований к безопасности данных и проверить, как выполняются обязательные требования к функционированию многоуровневой системы кибербезопасности (MLPS), приняты ли все необходимые меры для легализации трансграничной передачи данных и получено ли согласие всех субъектов персональных данных. Поэтому, несмотря на крайне сжатые сроки, перед представлением отчёта следует провести тщательную внутреннюю проверку процессов, связанных с хранением и обработкой данных.

Источник: DLA Piper

Аналитика ИБ – это новые исследования каждый месяц
В отчётах есть данные, тенденции, выводы, которые необходимы в работе
Все дайджесты и обзоры

Похожие материалы

Аналитические отчеты
смотреть
Внутренние нарушители: отчет об утечках данных за несколько лет
19.11.2025
Дайджесты и обзоры
смотреть
Рост кибератак на интернет вещей охватывает новые отрасли
24.11.2025
Утечки информации
смотреть
Asahi оценила количество пострадавших от утечки данных
04.12.2025