印度计算机应急响应小组（“CERT-In”）是处理印度网络安全威胁的政府节点机构，它发布了一项与“信息安全实践、程序、预防、响应”相关的指示，以及安全可信互联网网络事件报告“1”（“指示”），对网络安全报告提出严格要求，并引入更广泛的合规要求。随后，CERT In发布了常见问题2（“FAQ”），以澄清该方向的某些方面。此后，电子和信息技术部（“MeitY”）于2022年6月10日与利益相关者举行了一次会议，就方向的某些方面和常见问题进行了非正式澄清。来自Nishih Desai Associates的Aaron Kamath、Varsha Rajesh和Aniruddha Majumdar讨论了该方向的内容及其对行业的影响。

该指示于2022年6月27日生效，即发布两个月后。某些特定实体，包括“微型、小型和中型企业”（“中小企业”）遵守该指示的时间延长至20223年9月25日。

现有网络安全框架

在发出指示之前，根据《2000年信息技术法》（“IT法”）发布的2013年《信息技术（印度计算机应急小组和履行职能和职责的方式）规则》（“CERT规则”）规定了实体在印度网络安全方面的某些合规义务。CERT规则要求受影响的服务提供商、中介机构、数据中心和法人团体尽快强制向CERT报告某些网络安全事件，以便及时采取行动。CERT规则中未明确规定的其他网络安全事件可以自愿报告。

《指令》并未明确废除或取代《证书规则》。该指令补充了现有的CERT规则，增强了CERT的权力，并引入了进一步的报告和合规义务。

方向的适用性

指令4下与事件报告相关的义务适用于在印度拥有计算机基础设施（即“计算机”、“计算机系统”或“计算机网络”）的印度和外国实体。该指示还可能适用于在有限情况下影响印度境外任何计算机基础设施的事件，如网络安全事件源自印度境内的攻击者或印度境内任何计算机基础结构受到不利影响。

然而，该指示还包含特定实体（如数据中心和云服务提供商）的“了解您的客户”（“KYC”）程序性质的义务5。即使这些实体向印度的客户提供服务，这些义务也可能适用，无论其计算机基础设施位于何处，或影响此类计算机基础设施的任何事件的起源或影响。

指示下的合规性

以下是适用于服务提供商、中介机构、数据中心、法人团体和政府组织（统称为“实体”）的指导下的关键合规性。

持续遵守

接触点

向该国用户提供服务的实体需要指定一个联络点（“PoC”），以便与CERT-in联络，并在PoC6发生任何变化时更新CERT-in。

系统时钟同步

该指令要求所有实体将ICT系统的时钟与国家信息中心（NIC）或国家物理实验室（NPL）的网络时间协议（NTP）同步。或者，ICT系统的时钟可以与NTP服务器同步，NTP服务器可追溯到NIC或NPL维护的服务器。允许全球实体使用准确和标准的不同时间源，但它们需要确保其时间源不偏离NPL和NIC。如果存在偏差，实体必须记录偏差，并在报告事件时将其报告给CERT。

日志维护和数据本地化

该指示涵盖的所有实体应在印度为其所有ICT系统维护180天的日志，如防火墙日志、入侵防御系统日志、SIEM日志、web/数据库/邮件/FTP/代理服务器日志、关键系统事件日志、应用程序日志、ATM交换机日志、SSH日志和虚拟专用网络（“VPN”）日志等。在报告网络事件时，或在CERT根据指示要求时，还需要将这些日志提供给CERT。这些日志可以存储在印度境外，前提是可以在合理的时间内根据要求制作日志7。

此外，数据中心、虚拟专用服务器（“VPS”）提供商、云服务提供商（“CSP”）和VPN提供商需要记录与订阅方有关的信息8，并在用户注册取消后至少五年或法律规定的更长时间内保存此类信息的记录。2022年9月25日后，将强制执行维护“租用服务的用户/客户的有效姓名”和“有效地址和联系号码”的要求。

同样，虚拟资产服务提供商、虚拟资产交换提供商和托管钱包提供商应强制将作为KYC的一部分获得的所有信息和金融交易记录保存五年。关于交易记录，应以这样的方式维护准确信息，即单个交易可以与相关元素一起重建，如与相关方的标识相关的信息，包括IP地址以及时间戳和时区、交易ID、公钥（或等效标识符），涉及的地址或账户（或同等标识符）、交易的性质和日期以及转账金额。

报告义务

该指示确定了实体需要报告的某些类型的网络安全事件，这些事件将在常见问题解答中进一步解释。

该指示规定了六个小时的时限，用于报告符合以下标准的特定事件：

• 公共信息基础设施（包括骨干网络基础设施）任何部分发生的严重网络事件和网络安全事件（如拒绝服务（“DoS”）、分布式拒绝服务（“DDoS”）、入侵和计算机污染物（包括勒索软件）的传播）；
• 数据泄露或数据泄露，
• 大规模或最频繁的事件，如入侵计算机资源和网站等。；和
• 影响人类安全的网络事件。

可在六小时内向CERT In提供有关事件的可用信息。此类事件的详细报告应在合理时间内按照规定的事件报告表10进行。对于所有其他强制报告的网络安全事件，要求在合理时间内向CERT In提供信息。

常见问题解答进一步澄清，如果多方受到同一网络安全事件的影响，任何通知网络安全事件发生的实体应向CERT in报告。随后的非正式澄清是，向CERT In报告网络安全事件的实体应是负责受影响计算机基础设施的实体。报告网络事件的义务既不可转让，也不能免于或免除。

报告后义务

在报告网络安全事件后，实体应采取必要的行动和/或在CERT的指示下提供信息或协助。

处罚

CERT规则未对不遵守CERT发布的指示或报告要求的行为规定任何具体处罚。然而，该指示规定，不遵守该指示的处罚应按照《信息技术法》执行。因此，未能遵守该指示或未能按照CERT In的指示提供信息或协助的实体将被处以最长一年的监禁和/或最高可达100000卢比（约1240欧元）的罚款11。

对方向的关注

在这一方向之后，行业参与者和专家对这一方向提出了一些关切。主要是由于缺乏在规定时间内识别和报告网络安全事件的能力和基础设施，报告要求的严格性，即六小时时限和强制性报告范围的扩大遭到了业界的反对。此外，在达到该时间框架时，CERT可能未考虑组织内部的升级和管理流程。

该指示还提出了一些隐私问题。它似乎为CERT-In提供了要求披露信息的不受限制的权力（即使没有发生网络安全事件）。此类信息可能包括个人的个人信息，因此，可能需要根据K.S.Puttaswamy v.Union of India中规定的合法性、目标合法性和相称性三重测试来评估该指示。此外，该指示还要求VPN提供商将用户数据保存五年，并应要求提供。维护此类日志将与VPN的目的相矛盾，VPN的主要目的是保护用户隐私。

相反，《常见问题解答》证明，公民的权利不受影响，因为《指示》并未设想CERT-In作为一项长期安排，持续向服务提供商寻求信息。常见问题解答进一步澄清，法人团体的报告要求优先于对用户的任何合同义务，以确保其信息的保密性。

此外，从法律角度来看，该指示的有效性可能存在争议。如上所述，根据《信息技术法》，CERT-In在网络安全事件方面拥有广泛的权力。虽然CERT可在年发布指示，但有人可能认为，当前指示超出了CERT在年的权力范围，因为它包含了有效修订CERT规则当前条款的条款，还包含了超出CERT在职能范围的KYC义务。

鉴于这些问题，有人向政府提出意见，要求重新考虑并推迟执行该指示。政府已就指示的某些方面发布了一些口头澄清，并延长了中小型企业的合规时间和某些KYC要求。政府表示，将审查该指示的执行情况，并可能进一步重新考虑这些规定。

结论

印度的网络安全一直是国家安全和利益关注的问题。尽管有CERT规则，202112年仍报告了1402809起网络安全事件。该指示是对现有法律的一次改造，旨在纠正行业对网络安全报告和合规的冷漠态度。

该方向还补充了政府最近在保护消费者数据、政府获取数据以供执行以及打击电信、银行和保险业拟议数据保护法和部门数据法中所述的安全威胁方面的做法。

总的来说，虽然这一方向对于确保公民拥有开放、安全和负责任的互联网非常重要，但一些要求需要进一步明确，同时执法行动也有待观察。

本文：https://cioctocdo.com/india-stricter-cybersecurity-norms-and-reporting-…