印度出台关键电信基础设施新规

lixia01

合规性需要详细的文档、政府对远程维修和升级的批准以及遵守印度电信安全保障要求。
印度政府于 11 月 22 日出台了《2024 年电信（关键电信基础设施）规则》，要求被指定为关键电信基础设施 (CTI) 的电信实体授予政府授权人员检查硬件、软件和数据的权限。这些规则是《2023 年电信法案》的一部分，授权政府在电信网络中断可能严重影响国家安全、经济、公共健康或安全的情况下，将电信网络指定为 CTI。
该规则要求电信实体任命一名首席电信安全官 (CTSO) 来监督网络安全工作，并在 6 小时内报告事件，这是规则草案中最初提出的 2 小时的修改期限。这使印度电信行业符合现有的电信网络安全规则和 CERT-In 指令，尽管专家认为 6 小时的期限不符合全球标准，并可能导致过度监管。
电信网络已受《信息技术法》管辖，因此可能与国家关键信息基础设施保护中心 (NCIIPC) 等其他监管框架产生重叠。这些规则还引发了人们对检查协议和数据访问的担忧，因为它们没有明确何时可以触发检查，也没有明确对访问敏感信息的政府人员应施加哪些限制。
专家们还质疑滥用权力的问责措施，以及政府官员在检查期间获取电信用户个人数据的可能性。为了实施这些规定，电信实体必须向政府提供详细文件，包括网络架构、访问列表、网络安全计划和安全审计报告。他们还必须保存至少两年的日志和文件，以协助检测异常情况。
此外，在印度境外进行远程维护或维修需要政府批准，硬件或软件升级必须在 14 天内审核。在发生网络安全事件时允许立即升级，并在 24 小时内通知政府。将建立一个数字门户来管理这些规则，但人们对通信缺乏透明度提出了担忧。最后，所有 CTI 硬件、软件和备件都必须符合印度电信安全保障要求。