Відповідно до Закону про безпеку продукції та телекомунікаційну інфраструктуру 2023 року, виданого Великою Британією 29 квітня 2023 року, Велика Британія почне застосовувати вимоги безпеки мережі для підключених споживчих пристроїв з 29 квітня 2024 року, які застосовуються до Англії, Шотландії, Уельсу та Північної Ірландії. На даний момент минуло трохи більше 3 місяців, і великі виробники, які експортують на британський ринок, повинні якнайшвидше пройти сертифікацію PSTI, щоб забезпечити плавний вихід на ринок Великобританії. Очікуваний пільговий період становить 12 місяців від дати оголошення до впровадження.
1. Документи Закону про PSTI:
①Режим безпеки продукту та телекомунікаційної інфраструктури Великобританії (безпеки продукту).
https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime
②Закон про безпеку продукту та телекомунікаційну інфраструктуру 2022 року。https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
③Положення про безпеку продукту та телекомунікаційну інфраструктуру (вимоги до безпеки для відповідних продуктів, що підключаються) 2023. https://www.legislation.gov.uk/uksi/2023/1007/contents/made
2. Законопроект складається з двох частин:
Частина 1: Щодо вимог безпеки продукції
Проект розпорядження про безпеку продукції та телекомунікаційну інфраструктуру (вимоги до безпеки для пов’язаних підключених продуктів), представлений урядом Великої Британії у 2023 році. У проекті розглядаються вимоги виробників, імпортерів і дистриб’юторів як зобов’язаних осіб, і він має право накладати штрафи. до 10 мільйонів фунтів стерлінгів або 4% світового доходу компанії на порушників. Компанії, які продовжуватимуть порушувати правила, також будуть оштрафовані на додаткові £20 000 на день.
Частина 2: Інструкції з телекомунікаційної інфраструктури, розроблені для прискорення встановлення, використання та модернізації такого обладнання
Цей розділ вимагає від виробників, імпортерів і дистриб’юторів Інтернету речей відповідати певним вимогам кібербезпеки. Він підтримує запровадження широкосмугових мереж і мереж 5G до гігабіт, щоб захистити громадян від ризиків, пов’язаних із небезпечними споживчими підключеними пристроями.
Закон про електронні комунікації передбачає право операторів мереж і постачальників інфраструктури встановлювати та підтримувати цифрову комунікаційну інфраструктуру на державних і приватних землях. Перегляд Закону про електронні комунікації у 2017 році зробив розгортання, підтримку та модернізацію цифрової інфраструктури дешевшими та простішими. Нові заходи щодо телекомунікаційної інфраструктури в проекті законопроекту PSTI базуються на переглянутому Законі про електронні комунікації 2017 року, який допоможе забезпечити запуск орієнтованих на майбутнє гігабітних широкосмугових мереж і мереж 5G.
Закон PSTI доповнює частину 1 Закону про безпеку продуктів та комунікаційну інфраструктуру 2022 року, яка встановлює мінімальні вимоги безпеки для надання продуктів британським споживачам. На основі ETSI EN 303 645 v2.1.1, розділи 5.1-1, 5.1-2, 5.2-1 і 5.3-13, а також стандартів ISO/IEC 29147:2018 запропоновано відповідні правила та вимоги до паролів, мінімального рівня безпеки часові цикли оновлення та як повідомляти про проблеми безпеки.
Обсяг продукту:
Підключені продукти, пов’язані з безпекою, такі як детектори диму та туману, пожежні сповіщувачі та дверні замки, підключені пристрої домашньої автоматизації, розумні дверні дзвінки та системи сигналізації, базові станції та концентратори Інтернету речей, що підключають кілька пристроїв, розумні домашні помічники, смартфони, підключені камери (IP та CCTV), переносні пристрої, підключені холодильники, пральні машини, морозильні камери, кавомашини, ігрові контролери та інші подібні продукти.
Сфера звільнених продуктів:
Продукти, що продаються в Північній Ірландії, інтелектуальні лічильники, пункти зарядки електромобілів і медичні пристрої, а також комп’ютерні планшети для використання старше 14 років.
3. Стандарт ETSI EN 303 645 щодо безпеки та конфіденційності продуктів IoT включає наступні 13 категорій вимог:
1) Універсальний пароль за замовчуванням
2) Управління та виконання звітів про недоліки
3) Оновлення програмного забезпечення
4) Розумне збереження параметрів безпеки
5) Безпека зв'язку
6) Зменшити вплив поверхні атаки
7) Захист особистої інформації
8) Цілісність програмного забезпечення
9) Здатність системи проти перешкод
10) Перевірте телеметричні дані системи
11) Зручне для користувачів видалення особистої інформації
12) Спрощення встановлення та обслуговування обладнання
13) Перевірити вхідні дані
Вимоги до законопроекту та відповідні 2 стандарти
Заборонити універсальні паролі за замовчуванням - положення 5.1-1 і 5.1-2 ETSI EN 303 645
Вимоги до впровадження методів керування звітами про вразливості - положення 5.2-1 ETSI EN 303 645
ISO/IEC 29147 (2018), пункт 6.2
Вимагати прозорості в мінімальному часовому циклі оновлення безпеки для продуктів – положення 5.3-13 ETSI EN 303 645
PSTI вимагає, щоб продукти відповідали трьом вищезгаданим стандартам безпеки, перш ніж їх можна буде випустити на ринок. Виробники, імпортери та розповсюджувачі супутніх товарів повинні дотримуватися вимог безпеки цього закону. Виробники та імпортери повинні гарантувати, що їхня продукція постачається із заявою про відповідність, і вживати заходів у разі невідповідності, вести записи розслідування тощо. В іншому випадку порушників буде оштрафовано на суму до 10 мільйонів фунтів стерлінгів або 4% світового доходу компанії.
4. Закон PSTI та ETSI EN 303 645 Процес тестування:
1) Підготовка вибіркових даних
3 набори зразків, включаючи хост і аксесуари, незашифроване програмне забезпечення, посібники користувача/специфікації/супутні послуги та дані облікового запису для входу
2) Створення тестового середовища
Створіть тестове середовище на основі посібника користувача
3) Виконання оцінки безпеки мережі:
Перегляд документів і технічне тестування, перевірка анкет постачальників, надання зворотного зв'язку
4) Усунення недоліків
Надавати консультаційні послуги для усунення недоліків
5) Надайте звіт про оцінку PSTI або звіт про оцінку ETSIEN 303645
5.Як довести відповідність вимогам Закону про PSTI Великобританії?
Мінімальна вимога полягає в тому, щоб відповідати трьом вимогам Закону PSTI щодо паролів, циклів обслуговування програмного забезпечення та звітів про вразливості, а також надати технічні документи, наприклад звіти про оцінку цих вимог, а також зробити самостійну декларацію про відповідність. Ми пропонуємо використовувати ETSI EN 303 645 для оцінки Закону Великобританії про PSTI. Це також найкраща підготовка до обов’язкового впровадження вимог кібербезпеки директиви ЄС CE RED, починаючи з 1 серпня 2025 року!
BTF Testing Lab – це випробувальна установа, акредитована Національною службою акредитації Китаю з оцінки відповідності (CNAS), номер: L17568. Після багатьох років розвитку BTF має лабораторію електромагнітної сумісності, лабораторію бездротового зв’язку, лабораторію SAR, лабораторію безпеки, лабораторію надійності, лабораторію випробувань акумуляторів, хімічних випробувань та інші лабораторії. Має ідеальну електромагнітну сумісність, радіочастоту, безпеку продукції, екологічну надійність, аналіз матеріалів, ROHS/REACH та інші можливості тестування. Лабораторія BTF Testing Lab оснащена професійним і повним обладнанням для тестування, досвідченою командою експертів з тестування та сертифікації та здатністю вирішувати різні складні проблеми тестування та сертифікації. Ми дотримуємося керівних принципів «справедливості, неупередженості, точності та суворості» та суворо дотримуємося вимог ISO/IEC 17025 системи керування випробувальними та калібрувальними лабораторіями для наукового менеджменту. Ми прагнемо надавати клієнтам послуги найвищої якості. Якщо у вас виникли запитання, зв’яжіться з нами в будь-який час.
Час публікації: 16 січня 2024 р
