Pagal 2023 m. gaminių saugos ir telekomunikacijų infrastruktūros įstatymą, kurį JK paskelbė 2023 m. balandžio 29 d., JK nuo 2024 m. balandžio 29 d. pradės taikyti tinklo saugumo reikalavimus prijungtiems vartotojų įrenginiams, taikomus Anglijai, Škotijai, Velse ir Šiaurės Airijai. Kol kas praėjo tik kiek daugiau nei 3 mėnesiai, o didieji gamintojai, eksportuojantys į JK rinką, turi kuo greičiau užbaigti PSTI sertifikatą, kad užtikrintų sklandų įėjimą į JK rinką. Numatomas 12 mėnesių lengvatinis laikotarpis nuo paskelbimo datos iki įgyvendinimo.
1.PSTI akto dokumentai:
①JK produktų saugumo ir telekomunikacijų infrastruktūros (produktų saugumo) režimas.
https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime
② 2022 m. Produktų saugos ir telekomunikacijų infrastruktūros įstatymas。https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
③ Produktų saugos ir telekomunikacijų infrastruktūros (atitinkamų prijungiamų produktų saugos reikalavimai) taisyklės, 2023 m.。https://www.legislation.gov.uk/uksi/2023/1007/contents/made
2. Vekselis suskirstytas į dvi dalis:
1 dalis. Dėl gaminių saugos reikalavimų
Produktų saugos ir telekomunikacijų infrastruktūros (saugos reikalavimai susijusiems prijungtiems gaminiams) potvarkio projektas, kurį JK vyriausybė pristatė 2023 m. Projekte atsižvelgiama į gamintojų, importuotojų ir platintojų, kaip įpareigotųjų subjektų, keliamus reikalavimus, ir turi teisę skirti baudas. iki 10 milijonų svarų sterlingų arba 4% bendrovės pasaulinių pajamų iš pažeidėjų. Įmonėms, kurios ir toliau pažeidinėja taisykles, taip pat bus skirta papildoma 20 000 svarų sterlingų bauda per dieną.
2 dalis. Telekomunikacijų infrastruktūros gairės, sukurtos siekiant paspartinti tokios įrangos įrengimą, naudojimą ir atnaujinimą
Šioje dalyje reikalaujama, kad daiktų interneto gamintojai, importuotojai ir platintojai laikytųsi konkrečių kibernetinio saugumo reikalavimų. Ji remia plačiajuosčio ryšio ir 5G tinklų diegimą iki gigabitų, siekiant apsaugoti piliečius nuo pavojų, kuriuos kelia nesaugūs vartotojų prijungti įrenginiai.
Elektroninių ryšių įstatymas numato tinklų operatorių ir infrastruktūros teikėjų teisę įrengti ir prižiūrėti skaitmeninio ryšio infrastruktūrą valstybinėje ir privačioje žemėje. 2017 m. peržiūrėjus Elektroninių ryšių įstatymą, skaitmeninės infrastruktūros diegimas, priežiūra ir atnaujinimas tapo pigesnis ir paprastesnis. Naujos priemonės, susijusios su telekomunikacijų infrastruktūra PSTI įstatymo projekto projekte, pagrįstos patikslintu 2017 metų Elektroninių ryšių įstatymu, kuris padės užtikrinti į ateitį orientuotų gigabito plačiajuosčio ir 5G tinklų paleidimą.
PSTI įstatymas papildo 2022 m. Produktų saugos ir ryšių infrastruktūros įstatymo 1 dalį, kurioje nustatyti minimalūs saugumo reikalavimai teikiant produktus Didžiosios Britanijos vartotojams. Remiantis ETSI EN 303 645 v2.1.1 skyriais 5.1-1, 5.1-2, 5.2-1 ir 5.3-13, taip pat ISO/IEC 29147:2018 standartais, siūlomos atitinkamos taisyklės ir reikalavimai dėl slaptažodžių, minimalaus saugumo atnaujinimo laiko ciklus ir kaip pranešti apie saugos problemas.
Produkto apimtis:
Sujungti su sauga susiję produktai, pvz., dūmų ir rūko detektoriai, gaisro detektoriai ir durų spynos, prijungti namų automatikos įrenginiai, išmanieji durų skambučiai ir signalizacijos sistemos, daiktų interneto bazinės stotys ir šakotuvai, jungiantys kelis įrenginius, išmanieji namų asistentai, išmanieji telefonai, prijungtos kameros (IP ir CCTV), dėvimi įrenginiai, prijungti šaldytuvai, skalbimo mašinos, šaldikliai, kavos aparatai, žaidimų valdikliai ir kiti panašūs gaminiai.
Produktų, kuriems taikoma išimtis, sritis:
Šiaurės Airijoje parduodami gaminiai, išmanieji skaitikliai, elektromobilių įkrovimo taškai ir medicinos prietaisai, taip pat vyresni nei 14 metų kompiuteriniai planšetiniai kompiuteriai.
3. ETSI EN 303 645 standartas, skirtas daiktų interneto produktų saugumui ir privatumui, apima 13 reikalavimų kategorijų:
1) Universalus numatytasis slaptažodžio saugumas
2) Silpnumo ataskaitos valdymas ir vykdymas
3) Programinės įrangos atnaujinimai
4) Išmanusis saugos parametrų išsaugojimas
5) Ryšio saugumas
6) Sumažinkite atakos paviršiaus poveikį
7) Asmeninės informacijos apsauga
8) Programinės įrangos vientisumas
9) Sistemos atsparumas trukdžiams
10) Patikrinkite sistemos telemetrijos duomenis
11) Patogu vartotojams ištrinti asmeninę informaciją
12) Supaprastinti įrangos montavimą ir priežiūrą
13) Patikrinkite įvesties duomenis
Sąskaitos reikalavimai ir atitinkami 2 standartai
Uždrausti universalius numatytuosius slaptažodžius – ETSI EN 303 645 nuostatos 5.1-1 ir 5.1-2
Pažeidžiamumo ataskaitų valdymo metodų įgyvendinimo reikalavimai – ETSI EN 303 645 nuostatos 5.2-1
ISO/IEC 29147 (2018) 6.2 punktas
Reikalauti skaidrumo nustatant minimalų produktų saugos atnaujinimo laiką – ETSI EN 303 645 nuostata 5.3–13
PSTI reikalauja, kad gaminiai atitiktų pirmiau nurodytus tris saugos standartus, kad juos būtų galima pateikti į rinką. Susijusių gaminių gamintojai, importuotojai ir platintojai privalo laikytis šio įstatymo saugos reikalavimų. Gamintojai ir importuotojai turi užtikrinti, kad jų gaminiai būtų su atitikties pareiškimu, ir imtis veiksmų, jei nesilaikoma atitikties, tvarkyti tyrimo įrašus ir pan. Priešingu atveju pažeidėjams bus skirta iki 10 mln. GBP arba 4 % bendros įmonės pajamų.
4. PSTI įstatymas ir ETSI EN 303 645 testavimo procesas:
1) Mėginių duomenų paruošimas
3 pavyzdžių rinkiniai, įskaitant pagrindinį kompiuterį ir priedus, nešifruotą programinę įrangą, vartotojo vadovus / specifikacijas / susijusias paslaugas ir prisijungimo paskyros informaciją
2) Bandymo aplinkos nustatymas
Sukurkite testavimo aplinką pagal vartotojo vadovą
3) Tinklo saugumo įvertinimo vykdymas:
Dokumentų peržiūra ir techninis testavimas, tiekėjų anketų patikrinimas, atsiliepimų teikimas
4) Silpnumo taisymas
Teikti konsultavimo paslaugas trūkumams pašalinti
5) Pateikite PSTI vertinimo ataskaitą arba ETSIEN 303645 vertinimo ataskaitą
5.Kaip įrodyti atitiktį JK PSTI įstatymo reikalavimams?
Minimalus reikalavimas – atitikti tris PSTI įstatymo reikalavimus dėl slaptažodžių, programinės įrangos priežiūros ciklų ir pažeidžiamumo ataskaitų teikimo bei pateikti techninius dokumentus, pvz., šių reikalavimų įvertinimo ataskaitas, taip pat pateikti savarankišką atitikties deklaraciją. JK PSTI įstatymo vertinimui siūlome naudoti ETSI EN 303 645. Tai taip pat geriausias pasiruošimas privalomam ES CE RED direktyvos kibernetinio saugumo reikalavimų įgyvendinimui nuo 2025 m. rugpjūčio 1 d.!
BTF Testing Lab yra bandymų įstaiga, akredituota Kinijos nacionalinės atitikties vertinimo tarnybos (CNAS), numeris: L17568. Po daugelio metų plėtros BTF turi elektromagnetinio suderinamumo laboratoriją, belaidžio ryšio laboratoriją, SAR laboratoriją, saugos laboratoriją, patikimumo laboratoriją, baterijų bandymo laboratoriją, cheminių bandymų ir kitas laboratorijas. Turi puikų elektromagnetinį suderinamumą, radijo dažnį, gaminio saugą, aplinkos patikimumą, medžiagų gedimų analizę, ROHS/REACH ir kitas testavimo galimybes. „BTF Testing Lab“ aprūpinta profesionalia ir visapusiška testavimo įranga, patyrusia testavimo ir sertifikavimo ekspertų komanda bei galimybe spręsti įvairias sudėtingas testavimo ir sertifikavimo problemas. Mes laikomės pagrindinių „sąžiningumo, nešališkumo, tikslumo ir griežtumo“ principų ir griežtai laikomės ISO/IEC 17025 bandymų ir kalibravimo laboratorijų valdymo sistemos reikalavimų, taikomų moksliniam valdymui. Esame įsipareigoję klientams teikti aukščiausios kokybės paslaugas. Jei turite klausimų, susisiekite su mumis bet kuriuo metu.
Paskelbimo laikas: 2024-01-16
