安全動態(tài)

新加坡針對網絡安全服務商實施嚴格許可證制度

來源:聚銘網絡    發(fā)布時間:2022-04-13    瀏覽次數:
 

信息來源:安全內參


4月11日,新加坡網絡安全局 (CSA) 宣布根據網絡安全法 (CS Act) 第5部分啟動網絡安全服務提供商的許可框架。許可框架已于2022年4月11日生效。CS法案第5部分和CS法案第二附表將在同一天生效。據此,在該國提供兩類網絡安全服務的供應商必須申請許可證才能繼續(xù)提供此類服務。如果他們不希望面臨入獄或罰款的可能性,他們最多有六個月的寬限時間。即提供滲透測試和托管安全運營中心 (SOC) 監(jiān)控服務的公司需要獲得許可證才能在新加坡提供這些服務。新加坡網絡安全局 (CSA) 稱,其中包括直接從事此類服務的公司和個人、支持這些公司的第三方供應商以及可許可網絡安全服務的經銷商。

目前從事其中一種或兩種服務類別的現有供應商必須在2022年10月11日之前申請許可證。未能按時取得許可證者將不得不停止提供服務,直到獲得許可證為止。

許可證制度的背景

該框架旨在更好地維護消費者利益,解決消費者與網絡安全服務提供商之間的信息不對稱問題。同時,監(jiān)管制度也有望提高服務提供商的標準和地位。首先,CSA將許可兩類網絡安全服務提供商,即提供滲透測試和托管安全運營中心監(jiān)控服務的提供商。這兩項服務被優(yōu)先考慮是因為執(zhí)行此類服務的服務提供商可以大量訪問其客戶的計算機系統(tǒng)和敏感信息。如果訪問被濫用,客戶的操作可能會中斷。此外,這些服務已經在市場上廣泛使用和采用,因此有可能對整體網絡安全格局產生重大影響。

CSA通過2021年9月20日至10月18日為期4周的咨詢過程,就擬議的許可條件和附屬立法草案征求行業(yè)反饋。共收到來自本地和外國行業(yè)參與者、行業(yè)協會、以及公眾成員。在最終確定許可框架時考慮并考慮了反饋。

在六個月內提交許可申請的服務提供商將被允許繼續(xù)提供可許可服務,直到對申請做出決定為止。

任何在2022年10月11日之后未經許可提供許可服務的人,將面臨不超過 50,000新加坡元(36,673美元)的罰款或最高兩年的監(jiān)禁,或兩者兼施。

個人必須支付500新元才能獲得執(zhí)照,而企業(yè)則必須支付1,000新元。每個許可證有效期為兩年。 CSA表示,對于在2023 年4月11日之前的第一年內提交的申請,將一次性免收50%的費用。

已經成立了網絡安全服務監(jiān)管辦公室 (CSRO),以管理許可框架并促進行業(yè)與更廣泛的公眾之間就所有與許可相關的問題進行溝通。其職責包括執(zhí)行和管理許可流程,以及與公眾共享可許可網絡安全服務的資源,例如提供被許可人名單。

在評論未來可能獲得許可的其他網絡安全服務時,CSA表示,它將“繼續(xù)監(jiān)控國際和行業(yè)趨勢”,并在必要時讓該行業(yè)參與評估是否應包括新的服務類別。

CSA 表示,它已收到了來自本地和國際市場參與者以及行業(yè)協會和公眾的29份回復。

漏洞賞金計劃是否受影響?

ZDNet詢問參與漏洞賞金的全球社區(qū)的個人是否需要在新加坡獲得許可證。CSA 發(fā)言人表示,這些白帽黑客或道德黑客旨在發(fā)現系統(tǒng)漏洞,這些漏洞是漏洞賞金計劃的一部分。然后將這些情況報告給組織進行補救。 發(fā)言人說,組織漏洞賞金計劃的企業(yè)和參與此類計劃的個人白帽黑客被排除在許可框架之外,除非他們還從事提供滲透測試或托管SOC服務的業(yè)務。

CSA告訴ZDNet:“漏洞賞金計劃補充了傳統(tǒng)的漏洞評估和滲透測試方法,使參與該計劃的參與者能夠針對全球和當地的研究人員和白帽社區(qū)對其防御進行基準測試?!?

申請者需要提供的信息

其中一項反饋涉及應要求提供的信息,以促進監(jiān)管機構對諸如被許可人的違規(guī)行為或與被許可人的持續(xù)資格相關的事項進行調查。有人建議收緊提議的許可條件的語言,因此請求不會過于籠統(tǒng),并且對可能請求的信息類型更加清晰。

CSA表示,它已經修改了許可條件的語言,以減少被許可人的不確定性,并且對此類信息的請求將僅限于調查所需的信息。

當被要求提供許可證申請人的信息示例時,CSA發(fā)言人告訴ZDNet,其中包括申請人的資格和經驗。

此外,還需要提供“相關”信息以供發(fā)牌官員考慮申請人是否“合適和適當”,例如申請人是否在新加坡或其他地方被定罪涉及欺詐、不誠實或道德敗壞的罪行,發(fā)言人解釋道。

關于是否會詢問申請人的國籍或與目前受到相關制裁的國家的業(yè)務聯系,CSA發(fā)言人表示,作為許可證申請流程的一部分,申請人將被要求提供其國籍。不過,同樣的要求將適用于所有服務提供商,只要他們在滲透測試或托管 SOC監(jiān)控服務中向新加坡客戶提供許可服務。

發(fā)言人說:“可能還需要許可官員評估申請人是否合適和適當所需的其他信息?!?

參考資源

1、https://www.csa.gov.sg/News/Press-Releases/csa-kicks-off-licensing-framework-for-cybersecurity-service-providers

2、https://www.zdnet.com/article/singapore-begins-licensing-cybersecurity-vendors/


 
 

上一篇:星巴克漏洞致賬戶收到多張優(yōu)惠券,App已無法打開

下一篇:2022年4月13日聚銘安全速遞