В соответствии с Законом о безопасности продукции и телекоммуникационной инфраструктуре 2023 г. (ПСТИ), выпущенный Великобританией 29 апреля 2023 г., Великобритания начнет применять требования сетевой безопасности для подключенных потребительских устройств с 29 апреля 2024 г., применимые к Англии, Шотландии, Уэльсу и Северной Ирландии. Компании-нарушители будут оштрафованы на сумму до 10 миллионов фунтов стерлингов или 4% от их глобального дохода.
1.Введение в Закон о PSTI:
Политика безопасности продуктов Consumer Connect в Великобритании вступит в силу 29 апреля 2024 года. Начиная с этой даты закон будет требовать от производителей продуктов, которые могут быть связаны с британскими потребителями, соблюдать минимальные требования безопасности. Эти минимальные требования безопасности основаны на британских практических рекомендациях по безопасности потребительского Интернета вещей, ведущем мировом стандарте безопасности потребительского Интернета вещей ETSI EN 303 645 и рекомендациях Национального центра кибербезопасности, авторитетного органа Великобритании по технологиям киберугроз. Эта система также обеспечит, чтобы другие предприятия в цепочке поставок этих продуктов играли роль в предотвращении продажи небезопасных потребительских товаров британским потребителям и предприятиям.
Эта система включает в себя два законодательных акта:
1) Часть 1 Закона о безопасности продукции и телекоммуникационной инфраструктуре (PSTI) от 2022 года;
2) Закон о безопасности продуктов и телекоммуникационной инфраструктуре (требованиях безопасности к соответствующим подключаемым продуктам) от 2023 года.
2. Закон ПСТИ распространяется на ассортимент продукции:
1) Ассортимент продукции, контролируемой PSTI:
Сюда входят, помимо прочего, продукты, подключенные к Интернету. Типичные продукты включают в себя: смарт-телевизор, IP-камеру, маршрутизатор, интеллектуальное освещение и товары для дома.
2) Продукция, не подлежащая контролю ПСТИ:
Включая компьютеры (а) настольные компьютеры; (б) портативный компьютер; (в) Планшеты, не имеющие возможности подключения к сотовым сетям (разработаны специально для детей до 14 лет в соответствии с назначением производителя, не исключение), медицинские изделия, интеллектуальные счетчики, зарядные устройства для электромобилей и устройства Bluetooth. -Одно соединение продуктов. Обратите внимание, что к этим продуктам также могут предъявляться требования кибербезопасности, но они не подпадают под действие Закона PSTI и могут регулироваться другими законами.
3. Три ключевых момента, которым должен следовать Закон о PSTI:
Законопроект PSTI включает две основные части: требования к безопасности продукции и рекомендации по телекоммуникационной инфраструктуре. Для обеспечения безопасности продукции необходимо обратить особое внимание на три ключевых момента:
1) Требования к паролю, основанные на нормативных положениях 5.1-1, 5.1-2. Закон PSTI запрещает использование универсальных паролей по умолчанию. Это означает, что продукт должен установить уникальный пароль по умолчанию или потребовать от пользователей установить пароль при первом использовании.
2) Вопросы управления безопасностью, на основе нормативных положений 5.2-1, производители должны разработать и публично раскрыть политику раскрытия уязвимостей, чтобы гарантировать, что лица, обнаружившие уязвимости, могут уведомлять производителей, а также гарантировать, что производители могут оперативно уведомлять клиентов и обеспечивать меры по устранению.
3) Цикл обновления безопасности, основанный на нормативных положениях 5.3-13, производителям необходимо уточнить и раскрыть кратчайший период времени, в течение которого они будут предоставлять обновления безопасности, чтобы потребители могли понять период поддержки обновлений безопасности своих продуктов.
4. Закон PSTI и процесс тестирования ETSI EN 303 645:
1) Подготовка образцов данных: 3 набора образцов, включая хост и аксессуары, незашифрованное программное обеспечение, руководства пользователя/спецификации/сопутствующие услуги, а также информацию об учетной записи.
2) Создание тестовой среды: Создайте тестовую среду в соответствии с руководством пользователя.
3) Выполнение оценки сетевой безопасности: проверка файлов и техническое тестирование, проверка анкет поставщиков и предоставление обратной связи.
4) Устранение слабых мест: предоставление консультационных услуг по устранению слабых мест.
5) Предоставьте отчет об оценке PSTI или отчет об оценке ETSI EN 303645.
5. Документы Акта PSTI:
1)Режим безопасности продуктов и телекоммуникационной инфраструктуры Великобритании (безопасность продуктов).
https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunication-infrastructure-product-security-regime
2) Закон о безопасности продукции и телекоммуникационной инфраструктуре 2022 г.
https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
3) Положения о безопасности продуктов и телекоммуникационной инфраструктуре (требования безопасности для соответствующих подключаемых продуктов) 2023 г.
https://www.legislation.gov.uk/uksi/2023/1007/contents/made
На данный момент осталось меньше 2 месяцев. Крупным производителям, экспортирующим на рынок Великобритании, рекомендуется как можно скорее пройти сертификацию PSTI, чтобы обеспечить беспрепятственный выход на рынок Великобритании.
Время публикации: 11 марта 2024 г.
