Според Законот за безбедност на производи и телекомуникациска инфраструктура 2023 година издаден од ОК на 29 април 2023 година, ОК ќе започне со спроведување на барањата за мрежна безбедност за поврзаните потрошувачки уреди од 29 април 2024 година, што се применуваат во Англија, Шкотска, Велс и Северна Ирска. Од сега, поминаа само нешто повеќе од 3 месеци, а главните производители кои извезуваат на пазарот во ОК треба да ја завршат сертификацијата PSTI што е можно поскоро за да обезбедат непречен влез на пазарот во ОК. Се очекува грејс период од 12 месеци од датумот на објавување до имплементација.
1.Документи од Законот за ПСТИ:
① Режимот за безбедност на производи и телекомуникациска инфраструктура (безбедност на производи) на Обединетото Кралство.
https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime
②Закон за безбедност на производите и телекомуникациската инфраструктура од 2022 година.https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
③Регулативи за безбедност на производот и телекомуникациска инфраструктура (Безбедносни барања за релевантни производи што можат да се поврзат) 2023 година.https://www.legislation.gov.uk/uksi/2023/1007/contents/made
2. Предлог-законот е поделен на два дела:
Дел 1: Во однос на барањата за безбедност на производот
Нацртот на Уредбата за безбедност на производите и телекомуникациската инфраструктура (Безбедносни барања за сродни поврзани производи) воведена од владата на ОК во 2023 година. до 10 милиони фунти или 4% од глобалниот приход на компанијата за прекршителите. Компаниите кои продолжуваат да ги прекршуваат прописите ќе бидат казнети и со дополнителни 20.000 фунти дневно.
Дел 2: Насоки за телекомуникациска инфраструктура, развиени за да се забрза инсталацијата, употребата и надградбата на таквата опрема
Овој дел бара производителите, увозниците и дистрибутерите на IoT да се усогласат со специфичните барања за сајбер-безбедност. Го поддржува воведувањето на широкопојасни и 5G мрежи до гигабити за да ги заштити граѓаните од ризиците што ги носат небезбедните уреди поврзани со потрошувачите.
Законот за електронски комуникации го предвидува правото на мрежните оператори и давателите на инфраструктура да инсталираат и одржуваат дигитална комуникациска инфраструктура на јавно и приватно земјиште. Ревизијата на Законот за електронски комуникации во 2017 година го направи распоредувањето, одржувањето и надградбата на дигиталната инфраструктура поевтино и полесно. Новите мерки поврзани со телекомуникациската инфраструктура во нацрт-законот за PSTI се засноваат на ревидираниот Закон за електронски комуникации од 2017 година, кој ќе помогне да се обезбеди лансирање на идни ориентирани гигабитни широкопојасни и 5G мрежи.
Законот за PSTI го дополнува Дел 1 од Законот за безбедност на производи и комуникациска инфраструктура од 2022 година, кој ги утврдува минималните безбедносни барања за обезбедување производи на британските потрошувачи. Врз основа на ETSI EN 303 645 v2.1.1, деловите 5.1-1, 5.1-2, 5.2-1 и 5.3-13, како и ISO/IEC 29147:2018 стандардите, соодветните прописи и барања се предложени за лозинки, минимална безбедност ажурирање на временските циклуси и како да пријавите безбедносни проблеми.
Опсегот на производи вклучени:
Поврзани производи поврзани со безбедноста, како што се детектори за чад и магла, детектори за пожар и брави на врати, поврзани уреди за домашна автоматизација, паметни ѕвона на вратите и алармни системи, базни станици и центри за IoT што поврзуваат повеќе уреди, асистенти за паметни домови, паметни телефони, поврзани камери (IP и CCTV), уреди за носење, поврзани фрижидери, машини за перење, замрзнувачи, машини за кафе, контролери за игри и други слични производи.
Опсег на изземени производи:
Производи што се продаваат во Северна Ирска, паметни броила, точки за полнење електрични возила и медицински уреди, како и компјутерски таблети за употреба постари од 14 години.
3. Стандардот ETSI EN 303 645 за безбедност и приватност на IoT производите ги вклучува следните 13 категории на барања:
1) Универзална стандардна безбедност на лозинка
2) Управување и извршување на извештајот за слабости
3) Ажурирања на софтверот
4) Паметно заштеда на безбедносни параметри
5) Комуникациска безбедност
6) Намалете ја изложеноста на нападната површина
7) Заштита на лични информации
8) Интегритет на софтверот
9) Способност за спречување на пречки на системот
10) Проверете ги податоците за телеметрија на системот
11) Погодно за корисниците да бришат лични информации
12) Поедноставување на инсталацијата и одржувањето на опремата
13) Потврдете ги влезните податоци
Барања за сметки и соодветни 2 стандарди
Забрани универзални стандардни лозинки - ETSI EN 303 645 одредби 5.1-1 и 5.1-2
Барања за спроведување методи за управување со извештаи за ранливост - одредби ETSI EN 303 645 5.2-1
ISO/IEC 29147 (2018) клаузула 6.2
Потребна е транспарентност во минималниот временски циклус на безбедносно ажурирање за производите - одредба ETSI EN 303 645 5.3-13
PSTI бара производите да ги исполнуваат горенаведените три безбедносни стандарди пред да бидат пуштени на пазарот. Производителите, увозниците и дистрибутерите на сродни производи мора да ги почитуваат безбедносните барања од овој закон. Производителите и увозниците мора да се погрижат нивните производи да доаѓаат со изјава за усогласеност и да преземат мерки во случај на неуспех на усогласеноста, да водат евиденција за истрага итн. Во спротивно, прекршителите ќе бидат казнети до 10 милиони фунти или 4% од глобалниот приход на компанијата.
4. PSTI Act и Процес на тестирање ETSI EN 303 645:
1) Подготовка на примерок на податоци
3 комплети примероци, вклучувајќи домаќин и додатоци, нешифриран софтвер, прирачници за корисникот/спецификации/поврзани услуги и информации за сметката за најавување
2) Воспоставување на средина за тестирање
Воспоставете средина за тестирање врз основа на упатството за корисникот
3) Извршување проценка на безбедноста на мрежата:
Преглед на документи и техничко тестирање, проверка на прашалниците за добавувачи и обезбедување повратни информации
4) Поправка на слабост
Обезбедете консултантски услуги за да ги поправите проблемите со слабостите
5) Обезбедете извештај за евалуација на PSTI или извештај за евалуација ETSIEN 303645
5.Како да се докаже усогласеноста со барањата на UK PSTI Act?
Минималниот услов е да се исполнат трите барања од Законот за PSTI во врска со лозинките, циклусите на одржување на софтверот и известувањето за ранливост, и да се обезбедат технички документи како што се извештаите за евалуација за овие барања, а исто така да се прави самодекларација за усогласеност. Предлагаме користење на ETSI EN 303 645 за евалуација на Законот за PSTI на ОК. Ова е и најдобрата подготовка за задолжителната имплементација на барањата за сајбер безбедност на ЕУ CE RED директивата, почнувајќи од 1 август 2025 година!
BTF Testing Lab е институција за тестирање акредитирана од кинеската национална служба за акредитација за проценка на сообразност (CNAS), број: L17568. По години на развој, BTF има лабораторија за електромагнетна компатибилност, лабораторија за безжична комуникација, SAR лабораторија, безбедносна лабораторија, лабораторија за доверливост, лабораторија за тестирање батерии, хемиски тестирања и други лаборатории. Има совршена електромагнетна компатибилност, радио фреквенција, безбедност на производот, доверливост на околината, анализа на дефект на материјалот, ROHS/REACH и други способности за тестирање. Лабораторијата за тестирање BTF е опремена со професионални и комплетни капацитети за тестирање, искусен тим од експерти за тестирање и сертификација и можност за решавање на различни сложени проблеми со тестирање и сертификација. Ние се придржуваме до водечките принципи на „праведност, непристрасност, точност и строгост“ и строго ги следиме барањата на системот за управување со лабораторија за тестирање и калибрација ISO/IEC 17025 за научно управување. Посветени сме на клиентите да им обезбедиме услуга со највисок квалитет. Ако имате какви било прашања, ве молиме слободно контактирајте со нас во секое време.
Време на објавување: 16 јануари 2024 година
