В соответствии с Законом о безопасности продукции и телекоммуникационной инфраструктуре 2023 года, изданным Великобританией 29 апреля 2023 года, Великобритания начнет применять требования сетевой безопасности для подключенных потребительских устройств с 29 апреля 2024 года, применимые к Англии, Шотландии, Уэльсу и Северной Ирландии. На данный момент прошло всего чуть более 3 месяцев, и крупным производителям, экспортирующим на рынок Великобритании, необходимо как можно скорее пройти сертификацию PSTI, чтобы обеспечить беспрепятственный выход на рынок Великобритании. Ожидаемый льготный период составляет 12 месяцев с даты объявления до реализации.
1. Документы Акта PSTI:
①Режим безопасности продуктов и телекоммуникационной инфраструктуры Великобритании (безопасность продуктов).
https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunication-infrastructure-product-security-regime
②Закон о безопасности продукции и телекоммуникационной инфраструктуре 2022 г.。https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
③Правила 2023 года о безопасности продуктов и телекоммуникационной инфраструктуре (требования безопасности для соответствующих подключаемых продуктов) https://www.legislation.gov.uk/uksi/2023/1007/contents/made
2. Законопроект разделен на две части:
Часть 1. Требования к безопасности продукции.
Проект Постановления о безопасности продукции и телекоммуникационной инфраструктуре (Требования к безопасности для сопутствующих подключенных продуктов), представленный правительством Великобритании в 2023 году. Проект учитывает требования производителей, импортеров и дистрибьюторов как обязанных лиц и имеет право налагать штрафы. до 10 миллионов фунтов стерлингов или 4% от глобальной выручки компании с нарушителей. Компании, которые продолжат нарушать правила, также будут оштрафованы на дополнительные 20 000 фунтов стерлингов в день.
Часть 2. Рекомендации по телекоммуникационной инфраструктуре, разработанные для ускорения установки, использования и модернизации такого оборудования.
Этот раздел требует от производителей, импортеров и дистрибьюторов Интернета вещей соблюдать конкретные требования кибербезопасности. Он поддерживает внедрение широкополосных сетей и сетей 5G до гигабит для защиты граждан от рисков, связанных с небезопасными устройствами, подключенными к потребителям.
Закон об электронных коммуникациях предусматривает право сетевых операторов и поставщиков инфраструктуры устанавливать и поддерживать инфраструктуру цифровой связи на государственной и частной территории. Пересмотр Закона об электронных коммуникациях в 2017 году удешевил и упростил развертывание, обслуживание и модернизацию цифровой инфраструктуры. Новые меры, связанные с телекоммуникационной инфраструктурой, в проекте закона PSTI основаны на пересмотренном Законе об электронных коммуникациях 2017 года, который поможет обеспечить запуск ориентированных на будущее гигабитных широкополосных сетей и сетей 5G.
Закон PSTI дополняет Часть 1 Закона о безопасности продуктов и коммуникационной инфраструктуре 2022 года, который устанавливает минимальные требования безопасности для предоставления продуктов британским потребителям. На основе ETSI EN 303 645 v2.1.1, разделы 5.1-1, 5.1-2, 5.2-1 и 5.3-13, а также стандартов ISO/IEC 29147:2018 предлагаются соответствующие правила и требования для паролей минимальной безопасности. обновлять временные циклы и как сообщать о проблемах безопасности.
Объем задействованного продукта:
Подключенные продукты, связанные с безопасностью, такие как детекторы дыма и тумана, пожарные детекторы и дверные замки, подключенные устройства домашней автоматизации, интеллектуальные дверные звонки и системы сигнализации, базовые станции и концентраторы Интернета вещей, соединяющие несколько устройств, умные домашние помощники, смартфоны, подключенные камеры (IP и CCTV), носимые устройства, подключенные холодильники, стиральные машины, морозильники, кофемашины, игровые контроллеры и другие подобные продукты.
Объем освобожденной продукции:
Товары, продаваемые в Северной Ирландии, интеллектуальные счетчики, точки зарядки электромобилей и медицинские устройства, а также компьютерные планшеты для использования старше 14 лет.
3. Стандарт ETSI EN 303 645 по безопасности и конфиденциальности продуктов IoT включает следующие 13 категорий требований:
1) Универсальный пароль по умолчанию.
2) Управление и выполнение отчетов о слабых сторонах
3) Обновления программного обеспечения
4) Интеллектуальное сохранение параметров безопасности.
5) Безопасность связи
6) Уменьшите уязвимость поверхности атаки
7) Защита личной информации
8) Целостность программного обеспечения
9) Способность системы против помех
10) Проверьте данные телеметрии системы.
11) Удобно пользователям удалять личную информацию.
12) Упрощение установки и обслуживания оборудования.
13) Проверьте входные данные
Требования законопроекта и соответствующие 2 стандарта
Запретить универсальные пароли по умолчанию — положения ETSI EN 303 645, 5.1-1 и 5.1-2.
Требования к реализации методов управления отчетами об уязвимостях - ETSI EN 303 645, положения 5.2-1.
ISO/IEC 29147 (2018), пункт 6.2
Требовать прозрачности минимального временного цикла обновлений безопасности для продуктов — положение ETSI EN 303 645 5.3-13.
PSTI требует, чтобы продукция соответствовала трем вышеуказанным стандартам безопасности, прежде чем ее можно будет выпустить на рынок. Производители, импортеры и дистрибьюторы сопутствующей продукции должны соблюдать требования безопасности настоящего закона. Производители и импортеры должны гарантировать, что их продукция сопровождается заявлением о соответствии, и принять меры в случае несоблюдения требований, вести записи расследований и т. д. В противном случае нарушители будут оштрафованы на сумму до 10 миллионов фунтов стерлингов или 4% от глобального дохода компании.
4. Закон PSTI и процесс тестирования ETSI EN 303 645:
1) Подготовка данных образца
3 набора образцов, включая хост и аксессуары, незашифрованное программное обеспечение, руководства пользователя/спецификации/сопутствующие услуги, а также информацию об учетной записи
2)Создание тестовой среды
Создайте среду тестирования на основе руководства пользователя.
3) Выполнение оценки сетевой безопасности:
Проверка документации и техническое тестирование, проверка анкет поставщиков и предоставление обратной связи
4)Устранение недостатков
Предоставление консультационных услуг по устранению слабых мест
5) Предоставьте отчет об оценке PSTI или отчет об оценке ETSIEN 303645.
5.Как доказать соблюдение требований Закона Великобритании о PSTI?
Минимальное требование — соответствовать трем требованиям Закона о PSTI в отношении паролей, циклов обслуживания программного обеспечения и отчетов об уязвимостях, а также предоставить технические документы, такие как отчеты об оценке, для этих требований, а также сделать собственное заявление о соответствии. Мы предлагаем использовать ETSI EN 303 645 для оценки Закона Великобритании о PSTI. Это также лучшая подготовка к обязательному внедрению требований директивы ЕС CE RED по кибербезопасности начиная с 1 августа 2025 года!
Испытательная лаборатория BTF — это испытательное учреждение, аккредитованное Национальной службой аккредитации Китая по оценке соответствия (CNAS), номер: L17568. После многих лет развития BTF имеет лабораторию электромагнитной совместимости, лабораторию беспроводной связи, лабораторию SAR, лабораторию безопасности, лабораторию надежности, лабораторию испытаний аккумуляторов, химические испытания и другие лаборатории. Имеет идеальную электромагнитную совместимость, радиочастоту, безопасность продукции, экологическую надежность, анализ отказов материалов, ROHS/REACH и другие возможности тестирования. Тестовая лаборатория BTF оснащена профессиональным и полным испытательным оборудованием, опытной командой экспертов по тестированию и сертификации, а также способностью решать различные сложные проблемы тестирования и сертификации. Мы придерживаемся руководящих принципов «справедливости, беспристрастности, точности и строгости» и строго следуем требованиям системы управления испытательной и калибровочной лабораторией ISO / IEC 17025 для научного управления. Мы стремимся предоставлять клиентам услуги высочайшего качества. Если у вас есть какие-либо вопросы, пожалуйста, свяжитесь с нами в любое время.
Время публикации: 16 января 2024 г.
