بر اساس قانون زیرساخت ایمنی محصولات و ارتباطات راه دور 2023 که توسط بریتانیا در 29 آوریل 2023 صادر شد، بریتانیا از 29 آوریل 2024 الزامات امنیتی شبکه را برای دستگاه های مصرف کننده متصل آغاز خواهد کرد که در انگلستان، اسکاتلند، ولز و ایرلند شمالی قابل اجرا است. در حال حاضر، تنها بیش از 3 ماه از آن زمان می گذرد، و تولیدکنندگان بزرگی که به بازار بریتانیا صادر می کنند، باید در اسرع وقت گواهینامه PSTI را تکمیل کنند تا از ورود راحت به بازار بریتانیا اطمینان حاصل کنند. مهلت پیش بینی شده 12 ماه از تاریخ اعلام تا اجرا وجود دارد.
1. اسناد قانون PSTI:
①رژیم امنیت محصول و زیرساخت مخابراتی بریتانیا (امنیت محصول).
https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime
②قانون زیرساخت امنیت محصول و ارتباطات راه دور 2022. https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
③مقررات امنیت محصول و زیرساختهای مخابراتی (الزامات امنیتی برای محصولات قابل اتصال مرتبط) 2023. https://www.legislation.gov.uk/uksi/2023/1007/contents/made
2. لایحه به دو بخش تقسیم می شود:
بخش 1: با توجه به الزامات ایمنی محصول
پیشنویس فرمان ایمنی محصول و زیرساختهای مخابراتی (الزامات امنیتی برای محصولات مرتبط مرتبط) که توسط دولت بریتانیا در سال 2023 ارائه شد. این پیشنویس به خواستههای تولیدکنندگان، واردکنندگان و توزیعکنندگان بهعنوان نهادهای متعهد میپردازد و حق اعمال جریمه را دارد. تا 10 میلیون پوند یا 4 درصد از درآمد جهانی شرکت از متخلفان. شرکت هایی که به نقض مقررات ادامه دهند نیز روزانه 20000 پوند جریمه خواهند شد.
بخش 2: دستورالعملهای زیرساختهای مخابراتی که برای تسریع در نصب، استفاده و ارتقاء چنین تجهیزاتی تدوین شده است.
این بخش از تولیدکنندگان، واردکنندگان و توزیعکنندگان اینترنت اشیا میخواهد که الزامات امنیت سایبری خاصی را رعایت کنند. از معرفی شبکههای پهن باند و 5G تا گیگابیت پشتیبانی میکند تا از شهروندان در برابر خطرات ناشی از دستگاههای ناامن متصل به مصرفکننده محافظت کند.
قانون ارتباطات الکترونیکی حق اپراتورهای شبکه و ارائهدهندگان زیرساخت را برای نصب و نگهداری زیرساختهای ارتباطی دیجیتال در زمینهای عمومی و خصوصی تعیین میکند. بازنگری قانون ارتباطات الکترونیکی در سال 2017 استقرار، نگهداری و ارتقاء زیرساخت های دیجیتال را ارزان تر و آسان تر کرد. اقدامات جدید مربوط به زیرساخت های مخابراتی در پیش نویس لایحه PSTI بر اساس قانون بازنگری شده ارتباطات الکترونیکی سال 2017 است که به اطمینان از راه اندازی شبکه های پهن باند گیگابیتی و 5G در آینده کمک می کند.
قانون PSTI مکمل بخش 1 قانون امنیت محصول و زیرساخت ارتباطی 2022 است که حداقل الزامات امنیتی را برای ارائه محصولات به مصرف کنندگان بریتانیایی تعیین می کند. بر اساس ETSI EN 303 645 v2.1.1، بخش های 5.1-1، 5.1-2، 5.2-1، و 5.3-13، و همچنین استانداردهای ISO/IEC 29147:2018، مقررات و الزامات مربوطه برای رمزهای عبور، حداقل امنیت پیشنهاد شده است. چرخه های زمانی به روز رسانی و نحوه گزارش مشکلات امنیتی.
محدوده محصول درگیر:
محصولات مرتبط با امنیت متصل، مانند آشکارسازهای دود و مه، آشکارسازهای آتش، و قفل درها، دستگاههای اتوماسیون خانگی متصل، زنگهای درب هوشمند و سیستمهای هشدار، ایستگاههای پایه اینترنت اشیا و هابهای اتصال چند دستگاه، دستیاران خانه هوشمند، تلفنهای هوشمند، دوربینهای متصل (IP و دوربین مداربسته)، دستگاه های پوشیدنی، یخچال های متصل، ماشین لباسشویی، فریزر، قهوه ساز، کنترلرهای بازی و سایر محصولات مشابه.
محدوده محصولات معاف:
محصولات فروخته شده در ایرلند شمالی، کنتورهای هوشمند، نقاط شارژ وسایل نقلیه الکتریکی و دستگاههای پزشکی، و همچنین تبلتهای رایانهای برای استفاده بالای 14 سال.
3. استاندارد ETSI EN 303 645 برای امنیت و حریم خصوصی محصولات IoT شامل 13 دسته از الزامات زیر است:
1) امنیت رمز عبور پیش فرض جهانی
2) مدیریت و اجرا گزارش ضعف
3) به روز رسانی نرم افزار
4) صرفه جویی در پارامتر ایمنی هوشمند
5) امنیت ارتباطات
6) کاهش قرار گرفتن در معرض سطح حمله
7) حفاظت از اطلاعات شخصی
8) یکپارچگی نرم افزار
9) قابلیت ضد تداخل سیستم
10) داده های تله متری سیستم را بررسی کنید
11) برای کاربران راحت است که اطلاعات شخصی را حذف کنند
12) نصب و نگهداری تجهیزات را ساده کنید
13) داده های ورودی را تأیید کنید
الزامات قبض و 2 استاندارد مربوطه
گذرواژههای پیشفرض جهانی را ممنوع کنید - مقررات ETSI EN 303 645 5.1-1 و 5.1-2
الزامات پیادهسازی روشهای مدیریت گزارشهای آسیبپذیری - مقررات ETSI EN 303 645 5.2-1
ISO/IEC 29147 (2018) بند 6.2
نیاز به شفافیت در حداقل چرخه زمانی بهروزرسانی امنیتی برای محصولات - ETSI EN 303 645 provision 5.3-13
PSTI از محصولات میخواهد تا قبل از عرضه به بازار، سه استاندارد ایمنی فوق را رعایت کنند. تولیدکنندگان، واردکنندگان و توزیع کنندگان محصولات مرتبط باید الزامات ایمنی این قانون را رعایت کنند. تولیدکنندگان و واردکنندگان باید اطمینان حاصل کنند که محصولات آنها با بیانیه انطباق ارائه می شود و در صورت عدم انطباق، نگهداری سوابق تحقیقات و غیره اقدام کنند. در غیر این صورت، متخلفان تا 10 میلیون پوند یا 4 درصد از درآمد جهانی شرکت جریمه خواهند شد.
4. PSTI Act و فرآیند تست ETSI EN 303 645:
1) آماده سازی داده های نمونه
3 مجموعه نمونه شامل میزبان و لوازم جانبی، نرم افزار رمزگذاری نشده، دفترچه راهنمای کاربر/مشخصات/خدمات مرتبط و اطلاعات حساب ورود
2) ایجاد محیط آزمایش
یک محیط آزمایشی بر اساس دفترچه راهنمای کاربر ایجاد کنید
3) اجرای ارزیابی امنیت شبکه:
بررسی اسناد و تست فنی، بازرسی پرسشنامه های تامین کننده و ارائه بازخورد
4) ترمیم ضعف
ارائه خدمات مشاوره ای برای رفع نقاط ضعف
5) گزارش ارزیابی PSTI یا گزارش ارزیابی ETSIEN 303645 را ارائه دهید
5. چگونه می توان مطابقت با الزامات قانون PSTI انگلستان را اثبات کرد؟
حداقل نیاز، رعایت سه الزام قانون PSTI در مورد رمزهای عبور، چرخههای نگهداری نرمافزار و گزارش آسیبپذیری و ارائه اسناد فنی مانند گزارشهای ارزیابی برای این الزامات است و در عین حال خود اعلامیه انطباق را نیز انجام میدهد. پیشنهاد می کنیم از ETSI EN 303 645 برای ارزیابی قانون PSTI انگلستان استفاده کنید. این همچنین بهترین آمادگی برای اجرای اجباری الزامات امنیت سایبری دستورالعمل اتحادیه اروپا CE RED از اول اوت 2025 است!
آزمایشگاه تست BTF یک موسسه آزمایشی است که توسط سرویس اعتباربخشی ملی چین برای ارزیابی انطباق (CNAS)، شماره: L17568 معتبر است. پس از سال ها توسعه، BTF دارای آزمایشگاه سازگاری الکترومغناطیسی، آزمایشگاه ارتباطات بی سیم، آزمایشگاه SAR، آزمایشگاه ایمنی، آزمایشگاه قابلیت اطمینان، آزمایشگاه تست باتری، آزمایش شیمیایی و آزمایشگاه های دیگر است. دارای سازگاری کامل الکترومغناطیسی، فرکانس رادیویی، ایمنی محصول، قابلیت اطمینان محیطی، تجزیه و تحلیل خرابی مواد، ROHS/REACH و سایر قابلیتهای تست است. آزمایشگاه تست BTF مجهز به امکانات تست حرفه ای و کامل، تیمی مجرب از کارشناسان تست و صدور گواهینامه و توانایی حل مشکلات پیچیده مختلف تست و صدور گواهینامه می باشد. ما به اصول راهنمای "انصاف، بی طرفی، دقت و دقت" پایبند هستیم و الزامات سیستم مدیریت آزمایشگاهی تست و کالیبراسیون ISO/IEC 17025 را برای مدیریت علمی به شدت دنبال می کنیم. ما متعهد به ارائه خدمات با بالاترین کیفیت به مشتریان هستیم. اگر سوالی دارید، لطفا در هر زمان با ما تماس بگیرید.
زمان ارسال: ژانویه 16-2024
