安全動(dòng)態(tài)

新加坡針對(duì)網(wǎng)絡(luò)安全服務(wù)商實(shí)施嚴(yán)格許可證制度

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2022-04-13    瀏覽次數(shù):
 

信息來(lái)源:安全內(nèi)參


4月11日,新加坡網(wǎng)絡(luò)安全局 (CSA) 宣布根據(jù)網(wǎng)絡(luò)安全法 (CS Act) 第5部分啟動(dòng)網(wǎng)絡(luò)安全服務(wù)提供商的許可框架。許可框架已于2022年4月11日生效。CS法案第5部分和CS法案第二附表將在同一天生效。據(jù)此,在該國(guó)提供兩類(lèi)網(wǎng)絡(luò)安全服務(wù)的供應(yīng)商必須申請(qǐng)?jiān)S可證才能繼續(xù)提供此類(lèi)服務(wù)。如果他們不希望面臨入獄或罰款的可能性,他們最多有六個(gè)月的寬限時(shí)間。即提供滲透測(cè)試和托管安全運(yùn)營(yíng)中心 (SOC) 監(jiān)控服務(wù)的公司需要獲得許可證才能在新加坡提供這些服務(wù)。新加坡網(wǎng)絡(luò)安全局 (CSA) 稱(chēng),其中包括直接從事此類(lèi)服務(wù)的公司和個(gè)人、支持這些公司的第三方供應(yīng)商以及可許可網(wǎng)絡(luò)安全服務(wù)的經(jīng)銷(xiāo)商。

目前從事其中一種或兩種服務(wù)類(lèi)別的現(xiàn)有供應(yīng)商必須在2022年10月11日之前申請(qǐng)?jiān)S可證。未能按時(shí)取得許可證者將不得不停止提供服務(wù),直到獲得許可證為止。

許可證制度的背景

該框架旨在更好地維護(hù)消費(fèi)者利益,解決消費(fèi)者與網(wǎng)絡(luò)安全服務(wù)提供商之間的信息不對(duì)稱(chēng)問(wèn)題。同時(shí),監(jiān)管制度也有望提高服務(wù)提供商的標(biāo)準(zhǔn)和地位。首先,CSA將許可兩類(lèi)網(wǎng)絡(luò)安全服務(wù)提供商,即提供滲透測(cè)試和托管安全運(yùn)營(yíng)中心監(jiān)控服務(wù)的提供商。這兩項(xiàng)服務(wù)被優(yōu)先考慮是因?yàn)閳?zhí)行此類(lèi)服務(wù)的服務(wù)提供商可以大量訪(fǎng)問(wèn)其客戶(hù)的計(jì)算機(jī)系統(tǒng)和敏感信息。如果訪(fǎng)問(wèn)被濫用,客戶(hù)的操作可能會(huì)中斷。此外,這些服務(wù)已經(jīng)在市場(chǎng)上廣泛使用和采用,因此有可能對(duì)整體網(wǎng)絡(luò)安全格局產(chǎn)生重大影響。

CSA通過(guò)2021年9月20日至10月18日為期4周的咨詢(xún)過(guò)程,就擬議的許可條件和附屬立法草案征求行業(yè)反饋。共收到來(lái)自本地和外國(guó)行業(yè)參與者、行業(yè)協(xié)會(huì)、以及公眾成員。在最終確定許可框架時(shí)考慮并考慮了反饋。

在六個(gè)月內(nèi)提交許可申請(qǐng)的服務(wù)提供商將被允許繼續(xù)提供可許可服務(wù),直到對(duì)申請(qǐng)做出決定為止。

任何在2022年10月11日之后未經(jīng)許可提供許可服務(wù)的人,將面臨不超過(guò) 50,000新加坡元(36,673美元)的罰款或最高兩年的監(jiān)禁,或兩者兼施。

個(gè)人必須支付500新元才能獲得執(zhí)照,而企業(yè)則必須支付1,000新元。每個(gè)許可證有效期為兩年。 CSA表示,對(duì)于在2023 年4月11日之前的第一年內(nèi)提交的申請(qǐng),將一次性免收50%的費(fèi)用。

已經(jīng)成立了網(wǎng)絡(luò)安全服務(wù)監(jiān)管辦公室 (CSRO),以管理許可框架并促進(jìn)行業(yè)與更廣泛的公眾之間就所有與許可相關(guān)的問(wèn)題進(jìn)行溝通。其職責(zé)包括執(zhí)行和管理許可流程,以及與公眾共享可許可網(wǎng)絡(luò)安全服務(wù)的資源,例如提供被許可人名單。

在評(píng)論未來(lái)可能獲得許可的其他網(wǎng)絡(luò)安全服務(wù)時(shí),CSA表示,它將“繼續(xù)監(jiān)控國(guó)際和行業(yè)趨勢(shì)”,并在必要時(shí)讓該行業(yè)參與評(píng)估是否應(yīng)包括新的服務(wù)類(lèi)別。

CSA 表示,它已收到了來(lái)自本地和國(guó)際市場(chǎng)參與者以及行業(yè)協(xié)會(huì)和公眾的29份回復(fù)。

漏洞賞金計(jì)劃是否受影響?

ZDNet詢(xún)問(wèn)參與漏洞賞金的全球社區(qū)的個(gè)人是否需要在新加坡獲得許可證。CSA 發(fā)言人表示,這些白帽黑客或道德黑客旨在發(fā)現(xiàn)系統(tǒng)漏洞,這些漏洞是漏洞賞金計(jì)劃的一部分。然后將這些情況報(bào)告給組織進(jìn)行補(bǔ)救。 發(fā)言人說(shuō),組織漏洞賞金計(jì)劃的企業(yè)和參與此類(lèi)計(jì)劃的個(gè)人白帽黑客被排除在許可框架之外,除非他們還從事提供滲透測(cè)試或托管SOC服務(wù)的業(yè)務(wù)。

CSA告訴ZDNet:“漏洞賞金計(jì)劃補(bǔ)充了傳統(tǒng)的漏洞評(píng)估和滲透測(cè)試方法,使參與該計(jì)劃的參與者能夠針對(duì)全球和當(dāng)?shù)氐难芯咳藛T和白帽社區(qū)對(duì)其防御進(jìn)行基準(zhǔn)測(cè)試?!?

申請(qǐng)者需要提供的信息

其中一項(xiàng)反饋涉及應(yīng)要求提供的信息,以促進(jìn)監(jiān)管機(jī)構(gòu)對(duì)諸如被許可人的違規(guī)行為或與被許可人的持續(xù)資格相關(guān)的事項(xiàng)進(jìn)行調(diào)查。有人建議收緊提議的許可條件的語(yǔ)言,因此請(qǐng)求不會(huì)過(guò)于籠統(tǒng),并且對(duì)可能請(qǐng)求的信息類(lèi)型更加清晰。

CSA表示,它已經(jīng)修改了許可條件的語(yǔ)言,以減少被許可人的不確定性,并且對(duì)此類(lèi)信息的請(qǐng)求將僅限于調(diào)查所需的信息。

當(dāng)被要求提供許可證申請(qǐng)人的信息示例時(shí),CSA發(fā)言人告訴ZDNet,其中包括申請(qǐng)人的資格和經(jīng)驗(yàn)。

此外,還需要提供“相關(guān)”信息以供發(fā)牌官員考慮申請(qǐng)人是否“合適和適當(dāng)”,例如申請(qǐng)人是否在新加坡或其他地方被定罪涉及欺詐、不誠(chéng)實(shí)或道德敗壞的罪行,發(fā)言人解釋道。

關(guān)于是否會(huì)詢(xún)問(wèn)申請(qǐng)人的國(guó)籍或與目前受到相關(guān)制裁的國(guó)家的業(yè)務(wù)聯(lián)系,CSA發(fā)言人表示,作為許可證申請(qǐng)流程的一部分,申請(qǐng)人將被要求提供其國(guó)籍。不過(guò),同樣的要求將適用于所有服務(wù)提供商,只要他們?cè)跐B透測(cè)試或托管 SOC監(jiān)控服務(wù)中向新加坡客戶(hù)提供許可服務(wù)。

發(fā)言人說(shuō):“可能還需要許可官員評(píng)估申請(qǐng)人是否合適和適當(dāng)所需的其他信息?!?

參考資源

1、https://www.csa.gov.sg/News/Press-Releases/csa-kicks-off-licensing-framework-for-cybersecurity-service-providers

2、https://www.zdnet.com/article/singapore-begins-licensing-cybersecurity-vendors/


 
 

上一篇:星巴克漏洞致賬戶(hù)收到多張優(yōu)惠券,App已無(wú)法打開(kāi)

下一篇:2022年4月13日聚銘安全速遞