Според Законот за безбедност на производи и телекомуникациска инфраструктура од 2023 година (ПСТИ) издадена од ОК на 29 април 2023 година, ОК ќе започне со спроведување на барањата за мрежна безбедност за поврзани уреди за корисници од 29 април 2024 година, што се применуваат за Англија, Шкотска, Велс и Северна Ирска. Прекршителите на компаниите ќе се соочат со казни до 10 милиони фунти или 4% од нивниот глобален приход.
1.Вовед во Законот за PSTI:
Политиката за безбедност на производот Consumer Connect на Обединетото Кралство ќе стапи на сила и ќе се применува на 29 април 2024 година. Почнувајќи од овој датум, законот ќе бара од производителите на производи што можат да се поврзат со британските потрошувачи да се усогласат со минималните безбедносни барања. Овие минимални безбедносни барања се засноваат на Упатствата за практики за безбедност на потрошувачите на Интернет на нештата во Обединетото Кралство, глобално водечкиот потрошувачки безбедносен стандард за Интернет на нештата ETSI EN 303 645 и препораките од авторитетното тело на Обединетото Кралство за технологија за сајбер закани, Националниот центар за сајбер безбедност. Овој систем, исто така, ќе обезбеди дека другите бизниси во синџирот на снабдување на овие производи играат улога во спречувањето на небезбедните производи за широка потрошувачка да им се продаваат на британските потрошувачи и бизниси.
Овој систем вклучува две закони:
1) Дел 1 од Законот за безбедност на производи и телекомуникациска инфраструктура (PSTI) од 2022 година;
2) Закон за безбедност на производот и телекомуникациска инфраструктура (Безбедносни барања за поврзани поврзани производи) од 2023 година.
2. Законот за PSTI го опфаќа опсегот на производи:
1) PSTI контролиран опсег на производи:
Тоа вклучува, но не е ограничено на, производи поврзани со Интернет. Типични производи вклучуваат: паметен ТВ, IP камера, рутер, интелигентно осветлување и производи за домаќинството.
2) Производи надвор од опсегот на контрола на PSTI:
Вклучувајќи компјутери (а) десктоп компјутери; (б) Лаптоп компјутер; (в) Таблети кои немаат можност за поврзување со мобилни мрежи (дизајнирани специјално за деца под 14 години според намената на производителот, не исклучок), медицински производи, производи за паметни броила, полначи за електрични возила и Bluetooth еден - производи за поврзување на еден. Имајте предвид дека овие производи може да имаат и барања за сајбер-безбедност, но тие не се опфатени со Законот за PSTI и може да бидат регулирани со други закони.
3. Три клучни точки што треба да се следат со Законот за PSTI:
Предлог-законот за PSTI вклучува два главни дела: барања за безбедност на производите и упатства за телекомуникациската инфраструктура. За безбедност на производот, постојат три клучни точки на кои треба посебно да се обрне внимание:
1) Барања за лозинка, врз основа на регулаторните одредби 5.1-1, 5.1-2. Законот за PSTI забранува употреба на универзални стандардни лозинки. Ова значи дека производот мора да постави единствена стандардна лозинка или да бара од корисниците да постават лозинка при првата употреба.
2) Прашањата за управување со безбедноста, врз основа на регулаторните одредби 5.2-1, производителите треба да развијат и јавно да обелоденат политики за откривање на ранливости за да се осигураат дека поединците кои откриваат пропусти можат да ги известат производителите и да обезбедат дека производителите можат веднаш да ги известат клиентите и да обезбедат мерки за поправка.
3) Циклусот за безбедносно ажурирање, врз основа на регулаторните одредби 5.3-13, производителите треба да го разјаснат и откријат најкраткиот временски период што ќе го обезбедат за безбедносни ажурирања, за да можат потрошувачите да го разберат периодот на поддршка за безбедносно ажурирање на нивните производи.
4. Закон за PSTI и Процес на тестирање ETSI EN 303 645:
1) Подготовка на примерок на податоци: 3 групи примероци, вклучувајќи домаќин и додатоци, нешифриран софтвер, прирачници за корисникот/спецификации/поврзани услуги и информации за сметката за најавување
2) Воспоставување на околина за тестирање: Воспоставете тест средина според упатството за корисникот
3) Извршување проценка на безбедноста на мрежата: преглед на датотеки и техничко тестирање, проверка на прашалници за добавувачи и обезбедување повратни информации
4) Поправка на слабостите: Обезбедете консултантски услуги за да ги поправите проблемите со слабостите
5) Обезбедете извештај за евалуација на PSTI или извештај за евалуација ETSI EN 303645
5. Документи од Законот за PSTI:
1) Режимот за безбедност на производи и телекомуникациска инфраструктура (Безбедност на производите) на Обединетото Кралство.
https://www.gov.uk/government/publications/the-uk-product-security-and- telecommunications-infrastructure-product-security-regime
2) Закон за безбедност на производите и телекомуникациската инфраструктура од 2022 година
https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
3) Регулативи за безбедност на производот и телекомуникациска инфраструктура (Безбедносни барања за релевантни производи што можат да се поврзат) 2023 година
https://www.legislation.gov.uk/uksi/2023/1007/contents/made
Засега има помалку од 2 месеци. Се препорачува главните производители кои извезуваат на пазарот во ОК да ја завршат PSTI сертификацијата што е можно поскоро за да обезбедат непречен влез на пазарот во ОК.
Време на објавување: Мар-11-2024
