11 其他监管事项
本节将简要介绍网络安全从业者可能遇到的其他杂项监管主题。
11.1 行业特定法规和NIS指令
各种各样的单一行业监管机构在其监管主题行业的更大作用框架内接受了网络安全。例如,许多金融服务监管机构作为金融服务运营风险的监管机构,一直对网络安全运营拥有一定程度的主题管辖权。网络安全风险管理的细节在金融服务监管中越来越突出,并且可以预期将继续突出。
同样,在对客户负有法定保密义务的职业中,或者其客户享有法律规定的禁止披露客户与专业通信的特权(例如,律师和医生)的职业中,专业监管机构已经越来越适应网络安全问题。
其中许多不同的法规都包括报告或披露安全漏洞的义务。除了数据保护法规定的任何义务外,此类披露要求还起作用(见第4.7节)。这在考虑披露义务时造成了潜在的混乱局面。
随着各州开始更加关注网络安全风险,现有监管机构已被鼓励将网络安全纳入其监督和监管框架,特别是在关键国家基础设施的背景下。
在欧盟,通过欧盟关于网络和信息系统的指令(NIS指令)加速了这一过程。该指令第14条要求成员国确保“基本服务的运营商”:
-
“采取适当和相称的技术和组织措施,管理其在运营中使用的网络和信息系统安全面临的风险”; -
“采取适当措施,防止和尽量减少影响用于提供这种基本服务的网络和信息系统安全的事件的影响,以确保这些服务的连续性”;和 -
“立即通知主管当局或CSIRT对其提供的基本服务的连续性产生重大影响的事件”。
英国的实施将监管监督的责任下放给相关主管当局-指示现有的行业监管机构采用并执行指令中规定的网络安全义务。
利用监管来提高社会网络安全的努力继续采取许多不同的形式。关于哪种监管模式最为有效的争论仍在继续。
11.2 鼓励提高产品和服务的网络安全
新兴的物联网和随之而来的基于云的服务的增长增加了网络安全漏洞对消费者和商业企业的风险。政策制定者已开始采用法律框架,以证明产品和服务是否符合各种网络安全标准。
在欧盟,认证活动预计将在欧盟网络安全法的框架内进行。(另见本节中关于公共和私人标准机构使用的证明标志的讨论8.2.3.
相关的安全标准可能来自各种来源。
11.3 安全技术出口限制
各国长期以来一直对用于武装冲突的货物出口施加限制。这些法律在冷战期间显着增长,因为西方集团国家试图限制国防技术流向东方集团。179这些出口限制制度也适用于“两用”货物:在和平和战争中都有合法用途的敏感产品。虽然在这种限制的条款下,各种各样的两用产品(和服务)被捕获,但那些被捕获的,因为它们体现了某些加密功能在网络安全领域尤其存在争议。
在20世纪90年代之前,美国(和其他州)以极其广泛的刷子规范了强加密产品的出口。出口禁令的框架是如此宽泛,以至于几乎任何出口都需要事先获得政府许可。在20世纪90年代初,在通用计算机软件中实施强密码学,对密码学的非政府研究工作日益增多,互联网作为分发专有技术和源代码的手段的可用性,以及越来越确定基于标准的可靠加密实施以支持网络空间基础设施,与这些相同的出口限制相冲突。
在美国,根据美国言论自由法(即美国宪法第一修正案)提起的一系列法律诉讼对适用于加密软件的出口法规的有效性提出了质疑。提出的论点实质上如下:源代码是表达性的,表达性内容是受保护的语音,因此源代码是语音,因此出口法规是政府对语音的先验约束,作为先验约束,法规必须极其狭隘地定制,以解决明显的危险,但是事实上,这些条例的制定范围非常广泛,因此不符合宪法要求。美国法院在源代码是否受到“言论”保护的概念上苦苦挣扎。最终,在JungervDaley(2000)一案中,美国第六巡回上诉法院认为源代码是语音,并认定美国出口法规违宪。毫无疑问,为了应对这一挑战以及美国其他巡回法院的类似法律挑战,再加上ICT行业的大力游说,美国政府颁布了修订后的出口法规,对加密出口的限制明显更加有限。
包括美国在内的许多州继续对某些军民两用产品保持出口限制,包括加密技术的一些实施。任何从事这些产品生产的人都应仔细阅读适用的法律,因为违规行为可能被起诉为犯罪。
11.4 被国家列为机密的事项
受雇于或受雇于各州的从业人员通常受制于法律,这些法律要求对这些州归类为机密的某些信息保密。最常见的是,这种情况发生在披露相关信息的环境中。秘密可能会损害国家的防御,警察调查的完整性,进行国家支持的间谍活动的人的安全或有效性等。
这些法律有时可用于干预,并将第三方的研究和开发工作归类为秘密。当国家安全官员选择披露与网络威胁有关的某些机密信息时,从业者也可能属于这些法律的职权范围。
这些法律往往授权对违反这些法律的人处以极其严厉的刑事处罚。
网络安全知识体系1.1法律法规(四十)文件非物质化和电子信托服务
原文始发于微信公众号(河南等级保护测评):网络安全知识体系1.1法律法规(四十三)其他监管事项
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论