Съгласно Закона за безопасност на продуктите и телекомуникационната инфраструктура от 2023 г., издаден от Обединеното кралство на 29 април 2023 г., Обединеното кралство ще започне да налага изисквания за мрежова сигурност за свързани потребителски устройства от 29 април 2024 г., приложими за Англия, Шотландия, Уелс и Северна Ирландия. Към момента са изминали само малко повече от 3 месеца и големите производители, изнасящи за пазара на Обединеното кралство, трябва да завършат PSTI сертифициране възможно най-скоро, за да осигурят безпроблемно навлизане на пазара на Обединеното кралство. Има очакван гратисен период от 12 месеца от датата на обявяване до изпълнението.
1. Документи от Закона за PSTI:
①Режимът на Обединеното кралство за сигурност на продукта и телекомуникационна инфраструктура (сигурност на продукта).
https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime
②Закон за сигурността на продуктите и телекомуникационната инфраструктура от 2022 г. https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
③Регламенти за сигурността на продуктите и телекомуникационната инфраструктура (Изисквания за сигурност за съответните свързани продукти) 2023。https://www.legislation.gov.uk/uksi/2023/1007/contents/made
2. Сметката е разделена на две части:
Част 1: Относно изискванията за безопасност на продукта
Проектът на Наредбата за безопасност на продуктите и телекомуникационната инфраструктура (Изисквания за сигурност за свързани свързани продукти), въведена от правителството на Обединеното кралство през 2023 г. Проектът разглежда изискванията, отправени от производители, вносители и дистрибутори като задължени субекти, и има право да налага глоби до £10 милиона или 4% от глобалните приходи на компанията за нарушители. Компаниите, които продължават да нарушават разпоредбите, също ще бъдат глобени с допълнителни £20 000 на ден.
Част 2: Насоки за телекомуникационна инфраструктура, разработени за ускоряване на инсталирането, използването и надграждането на такова оборудване
Този раздел изисква производителите, вносителите и дистрибуторите на IoT да спазват специфични изисквания за киберсигурност. Той поддържа въвеждането на широколентови и 5G мрежи до гигабита, за да предпази гражданите от рисковете, породени от небезопасни потребителски свързани устройства.
Законът за електронните съобщения предвижда правото на мрежовите оператори и доставчиците на инфраструктура да инсталират и поддържат цифрова комуникационна инфраструктура на публична и частна земя. Ревизията на Закона за електронните съобщения през 2017 г. направи разгръщането, поддръжката и надграждането на цифровата инфраструктура по-евтини и по-лесни. Новите мерки, свързани с телекомуникационната инфраструктура в проектозакона за PSTI, се основават на ревизирания Закон за електронните комуникации от 2017 г., който ще помогне да се гарантира стартирането на ориентирани към бъдещето гигабитови широколентови и 5G мрежи.
Законът за PSTI допълва част 1 от Закона за сигурността на продуктите и комуникационната инфраструктура от 2022 г., който определя минималните изисквания за сигурност за предоставяне на продукти на британски потребители. Въз основа на ETSI EN 303 645 v2.1.1, раздели 5.1-1, 5.1-2, 5.2-1 и 5.3-13, както и на стандартите ISO/IEC 29147:2018, се предлагат съответните разпоредби и изисквания за пароли, минимална сигурност времеви цикли за актуализиране и как да докладвате за проблеми със сигурността.
Включен обхват на продукта:
Свързани продукти, свързани със сигурността, като детектори за дим и мъгла, детектори за пожар и брави за врати, свързани устройства за домашна автоматизация, интелигентни звънци и алармени системи, IoT базови станции и хъбове, свързващи множество устройства, интелигентни домашни асистенти, смартфони, свързани камери (IP и CCTV), носими устройства, свързани хладилници, перални машини, фризери, кафе машини, контролери за игри и други подобни продукти.
Обхват на освободените продукти:
Продукти, продавани в Северна Ирландия, интелигентни измервателни уреди, точки за зареждане на електрически превозни средства и медицински устройства, както и компютърни таблети за употреба над 14 години.
3. Стандартът ETSI EN 303 645 за сигурност и поверителност на IoT продукти включва следните 13 категории изисквания:
1) Универсална защита на паролата по подразбиране
2) Управление и изпълнение на доклада за слабости
3) Софтуерни актуализации
4) Интелигентно запазване на параметъра за безопасност
5) Комуникационна сигурност
6) Намаляване на излагането на атакуваща повърхност
7) Защита на личната информация
8) Интегритет на софтуера
9) Способност на системата против смущения
10) Проверете системните телеметрични данни
11) Удобно за потребителите да изтриват лична информация
12) Опростете инсталирането и поддръжката на оборудването
13) Проверка на входните данни
Изисквания към законопроекта и съответните 2 стандарта
Забрана на универсалните пароли по подразбиране - разпоредби 5.1-1 и 5.1-2 на ETSI EN 303 645
Изисквания за прилагане на методи за управление на доклади за уязвимости - ETSI EN 303 645 разпоредби 5.2-1
ISO/IEC 29147 (2018), точка 6.2
Изискване на прозрачност в минималния времеви цикъл за актуализация на сигурността за продуктите - разпоредба 5.3-13 на ETSI EN 303 645
PSTI изисква продуктите да отговарят на горните три стандарта за безопасност, преди да могат да бъдат пуснати на пазара. Производителите, вносителите и дистрибуторите на свързани продукти трябва да спазват изискванията за безопасност на този закон. Производителите и вносителите трябва да гарантират, че продуктите им се доставят с декларация за съответствие и да предприемат действия в случай на несъответствие, водене на записи за разследване и т.н. В противен случай нарушителите ще бъдат глобени до £10 милиона или 4% от глобалните приходи на компанията.
4. PSTI Act и ETSI EN 303 645 Процес на тестване:
1) Подготовка на примерни данни
3 комплекта проби, включително хост и аксесоари, некриптиран софтуер, ръководства за потребителя/спецификации/свързани услуги и информация за акаунт за влизане
2) Създаване на тестова среда
Създайте среда за тестване въз основа на ръководството за потребителя
3) Изпълнение на оценка на сигурността на мрежата:
Преглед на документи и технически тестове, проверка на въпросниците на доставчиците и предоставяне на обратна връзка
4) Поправка на слабостите
Осигурете консултантски услуги за отстраняване на проблеми със слабости
5) Предоставете доклад за оценка на PSTI или доклад за оценка ETSIEN 303645
5.Как да докажа съответствие с изискванията на Закона за PSTI на Обединеното кралство?
Минималното изискване е да отговаряте на трите изисквания на Закона за PSTI по отношение на паролите, циклите на поддръжка на софтуера и докладването за уязвимости и да предоставите технически документи, като например доклади за оценка на тези изисквания, като същевременно правите собствена декларация за съответствие. Предлагаме да използвате ETSI EN 303 645 за оценка на Закона за PSTI на Обединеното кралство. Това е и най-добрата подготовка за задължителното прилагане на изискванията за киберсигурност на директивата EU CE RED от 1 август 2025 г.!
BTF Testing Lab е институция за изпитване, акредитирана от Китайската национална служба за акредитация за оценка на съответствието (CNAS), номер: L17568. След години на развитие BTF разполага с лаборатория за електромагнитна съвместимост, лаборатория за безжична комуникация, лаборатория за SAR, лаборатория за безопасност, лаборатория за надеждност, лаборатория за тестване на батерии, химически тестове и други лаборатории. Има перфектна електромагнитна съвместимост, радиочестота, безопасност на продуктите, надеждност на околната среда, анализ на повредата на материала, ROHS/REACH и други възможности за тестване. BTF Testing Lab е оборудвана с професионални и пълни съоръжения за тестване, опитен екип от експерти по тестване и сертифициране и способността да решава различни сложни проблеми с тестване и сертифициране. Ние се придържаме към ръководните принципи на „честност, безпристрастност, точност и строгост“ и стриктно следваме изискванията на ISO/IEC 17025 система за управление на лаборатории за изпитване и калибриране за научно управление. Ние се ангажираме да предоставяме на клиентите услуга с най-високо качество. Ако имате някакви въпроси, моля не се колебайте да се свържете с нас по всяко време.
Време на публикуване: 16 януари 2024 г
