У адпаведнасці з Законам аб бяспецы прадукцыі і тэлекамунікацыйнай інфраструктуры 2023 г., выдадзеным Вялікабрытаніяй 29 красавіка 2023 г., Вялікабрытанія пачне выконваць патрабаванні бяспекі сеткі для падключаных спажывецкіх прылад з 29 красавіка 2024 г., якія прымяняюцца да Англіі, Шатландыі, Уэльса і Паўночнай Ірландыі. На дадзены момант прайшло крыху больш за 3 месяцы, і буйныя вытворцы, якія экспартуюць на рынак Вялікабрытаніі, павінны прайсці сертыфікацыю PSTI як мага хутчэй, каб забяспечыць бесперашкодны выхад на рынак Вялікабрытаніі. Чакаецца, што льготны перыяд складае 12 месяцаў з даты аб'явы да ўкаранення.
1. Дакументы Закона PSTI:
①Рэжым бяспекі прадукцыі і тэлекамунікацыйнай інфраструктуры Вялікабрытаніі (бяспека прадукцыі).
https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime
②Закон аб бяспецы прадуктаў і тэлекамунікацыйнай інфраструктуры 2022 г. https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
③Палажэнні 2023 г. аб бяспецы прадукту і тэлекамунікацыйнай інфраструктуры (Патрабаванні да бяспекі для адпаведных прадуктаў, якія падключаюцца)。https://www.legislation.gov.uk/uksi/2023/1007/contents/made
2. Законапраект падзелены на дзве часткі:
Частка 1: Адносна патрабаванняў бяспекі прадукцыі
Праект пастановы аб бяспецы прадукцыі і тэлекамунікацыйнай інфраструктуры (патрабаванні бяспекі для звязаных звязаных прадуктаў), уведзены ўрадам Вялікабрытаніі ў 2023 годзе. Праект разглядае патрабаванні вытворцаў, імпарцёраў і дыстрыб'ютараў як абавязаных асоб, і мае права накладаць штрафы да 10 мільёнаў фунтаў стэрлінгаў або 4% сусветнага даходу кампаніі на парушальнікаў. Кампаніі, якія працягваюць парушаць правілы, таксама будуць аштрафаваныя на дадатковыя £ 20000 у дзень.
Частка 2: Кіраўніцтва па тэлекамунікацыйнай інфраструктуры, распрацаванае для паскарэння ўстаноўкі, выкарыстання і мадэрнізацыі такога абсталявання
Гэты раздзел патрабуе ад вытворцаў, імпарцёраў і дыстрыб'ютараў IoT выконваць пэўныя патрабаванні кібербяспекі. Ён падтрымлівае ўкараненне шырокапалосных сетак і сетак 5G да гігабіт, каб абараніць грамадзян ад рызык, звязаных з небяспечнымі спажывецкімі прыладамі.
Закон аб электронных камунікацыях прадугледжвае права сеткавых аператараў і пастаўшчыкоў інфраструктуры ўсталёўваць і абслугоўваць інфраструктуру лічбавай сувязі на дзяржаўнай і прыватнай зямлі. Перагляд Закона аб электронных камунікацыях у 2017 годзе зрабіў таннейшым і прасцейшым разгортванне, абслугоўванне і мадэрнізацыю лічбавай інфраструктуры. Новыя меры, звязаныя з тэлекамунікацыйнай інфраструктурай у праекце закона аб PSTI, заснаваны на перагледжаным Законе аб электронных камунікацыях 2017 года, які дапаможа забяспечыць запуск арыентаваных на будучыню гігабітных шырокапалосных сетак і сетак 5G.
Закон аб PSTI дапаўняе частку 1 Закона аб бяспецы прадуктаў і камунікацыйнай інфраструктуры 2022 г., якая ўстанаўлівае мінімальныя патрабаванні бяспекі для прадастаўлення прадуктаў брытанскім спажыўцам. На падставе ETSI EN 303 645 v2.1.1, раздзелы 5.1-1, 5.1-2, 5.2-1 і 5.3-13, а таксама стандартаў ISO/IEC 29147:2018 прапанаваны адпаведныя правілы і патрабаванні да пароляў, мінімальнай бяспекі часавыя цыклы абнаўлення і як паведамляць аб праблемах бяспекі.
Аб'ём задзейнічанага прадукту:
Падключаныя прадукты, звязаныя з бяспекай, такія як дэтэктары дыму і туману, пажарныя дэтэктары і дзвярныя замкі, падлучаныя прылады хатняй аўтаматызацыі, разумныя дзвярныя званкі і сістэмы сігналізацыі, базавыя станцыі і канцэнтратары IoT, якія падключаюць некалькі прылад, разумныя хатнія памочнікі, смартфоны, падключаныя камеры (IP і CCTV), носныя прылады, падлучаныя халадзільнікі, пральныя машыны, маразільнікі, кавамашыны, гульнявыя кантролеры і іншыя падобныя прадукты.
Сфера вызваленых прадуктаў:
Прадукцыя, якая прадаецца ў Паўночнай Ірландыі, разумныя лічыльнікі, пункты зарадкі электрамабіляў і медыцынскія прыборы, а таксама кампутарныя планшэты для выкарыстання старэйшымі за 14 гадоў.
3. Стандарт ETSI EN 303 645 для бяспекі і прыватнасці прадуктаў IoT уключае наступныя 13 катэгорый патрабаванняў:
1) Універсальны пароль па змаўчанні
2) Кіраванне і выкананне справаздач аб слабых месцах
3) Абнаўленне праграмнага забеспячэння
4) Разумнае захаванне параметраў бяспекі
5) Бяспека сувязі
6) Паменшыць уздзеянне паверхні атакі
7) Абарона асабістай інфармацыі
8) Цэласнасць праграмнага забеспячэння
9) Здольнасць сістэмы супраць перашкод
10) Праверце дадзеныя тэлеметрыі сістэмы
11) Зручна для карыстальнікаў выдаляць асабістую інфармацыю
12) Спрашчэнне ўстаноўкі і абслугоўвання абсталявання
13) Праверце ўваходныя даныя
Патрабаванні законапраекта і адпаведныя 2 стандарты
Забараніць універсальныя паролі па змаўчанні - палажэнні 5.1-1 і 5.1-2 ETSI EN 303 645
Патрабаванні да ўкаранення метадаў кіравання справаздачамі аб уразлівасцях - палажэнні 5.2-1 ETSI EN 303 645
ISO/IEC 29147 (2018), пункт 6.2
Патрабаванне празрыстасці ў мінімальным часавым цыкле абнаўлення бяспекі для прадуктаў - палажэнне ETSI EN 303 645 5.3-13
PSTI патрабуе, каб прадукты адпавядалі вышэйзгаданым тром стандартам бяспекі, перш чым яны могуць быць выпушчаныя на рынак. Вытворцы, імпарцёры і дыстрыб'ютары спадарожных тавараў павінны выконваць патрабаванні бяспекі гэтага закона. Вытворцы і імпарцёры павінны гарантаваць, што іх прадукцыя пастаўляецца з заявай аб адпаведнасці, і прымаць меры ў выпадку неадпаведнасці, весці расследаванне і г.д. У адваротным выпадку парушальнікі будуць аштрафаваныя на суму да 10 мільёнаў фунтаў стэрлінгаў або 4% сусветнага даходу кампаніі.
4. Працэс тэсціравання ў адпаведнасці з Законам PSTI і ETSI EN 303 645:
1) Падрыхтоўка выбарачных даных
3 камплекты ўзораў, уключаючы хост і аксэсуары, незашыфраванае праграмнае забеспячэнне, кіраўніцтва карыстальніка/спецыфікацыі/сумежныя паслугі і інфармацыю аб уліковым запісе для ўваходу
2)Стварэнне тэставага асяроддзя
Стварыце асяроддзе тэсціравання на аснове кіраўніцтва карыстальніка
3) Выкананне ацэнкі бяспекі сеткі:
Праверка дакументаў і тэхнічная праверка, праверка анкет пастаўшчыкоў і прадастаўленне зваротнай сувязі
4) Слабасць рамонт
Прадастаўляць кансультацыйныя паслугі для ліквідацыі недахопаў
5) Прадстаўце справаздачу аб ацэнцы PSTI або справаздачу аб ацэнцы ETSIEN 303645
5.Як даказаць адпаведнасць патрабаванням Закона аб PSTI Вялікабрытаніі?
Мінімальным патрабаваннем з'яўляецца выкананне трох патрабаванняў Закона PSTI адносна пароляў, цыклаў абслугоўвання праграмнага забеспячэння і справаздач аб уразлівасцях, а таксама прадастаўленне тэхнічных дакументаў, такіх як справаздачы аб ацэнцы гэтых патрабаванняў, а таксама дэкларацыя аб адпаведнасці. Мы прапануем выкарыстоўваць ETSI EN 303 645 для ацэнкі Закона аб PSTI Вялікабрытаніі. Гэта таксама лепшая падрыхтоўка да абавязковага выканання патрабаванняў кібербяспекі дырэктывы ЕС CE RED з 1 жніўня 2025 года!
BTF Testing Lab - гэта выпрабавальная ўстанова, акрэдытаваная Кітайскай нацыянальнай службай акрэдытацыі па ацэнцы адпаведнасці (CNAS), нумар: L17568. Пасля многіх гадоў распрацоўкі ў BTF ёсць лабараторыя электрамагнітнай сумяшчальнасці, лабараторыя бесправадной сувязі, лабараторыя SAR, лабараторыя бяспекі, лабараторыя надзейнасці, лабараторыя выпрабаванняў акумулятараў, хімічных выпрабаванняў і іншыя лабараторыі. Мае ідэальную электрамагнітную сумяшчальнасць, радыёчастоту, бяспеку прадукту, экалагічную надзейнасць, аналіз няспраўнасці матэрыялу, ROHS/REACH і іншыя магчымасці тэсціравання. Тэставая лабараторыя BTF абсталявана прафесійным і поўным абсталяваннем для тэсціравання, дасведчанай камандай экспертаў па тэсціраванні і сертыфікацыі і здольнасцю вырашаць розныя складаныя праблемы тэсціравання і сертыфікацыі. Мы прытрымліваемся кіруючых прынцыпаў «справядлівасці, бесстароннасці, дакладнасці і строгасці» і строга прытрымліваемся патрабаванняў сістэмы кіравання выпрабавальнымі і калібровачнымі лабараторыямі ISO/IEC 17025 для навуковага кіравання. Мы імкнемся прадастаўляць кліентам паслугі самай высокай якасці. Калі ў вас ёсць якія-небудзь пытанні, калі ласка, не саромейцеся звяртацца да нас у любы час.
Час публікацыі: 16 студзеня 2024 г
