طبق قانون زیرساخت ایمنی محصول و مخابرات 2023 (PSTI) که توسط بریتانیا در 29 آوریل 2023 صادر شد، بریتانیا از 29 آوریل 2024 الزامات امنیتی شبکه را برای دستگاه های مصرف کننده متصل آغاز خواهد کرد که در انگلستان، اسکاتلند، ولز و ایرلند شمالی قابل اجرا است. شرکت های متخلف با جریمه هایی تا سقف 10 میلیون پوند یا 4 درصد از درآمد جهانی خود مواجه خواهند شد.
1. مقدمه ای بر قانون PSTI:
خطمشی ایمنی محصول اتصال مصرفکننده بریتانیا در تاریخ 29 آوریل 2024 اجرا و اجرا میشود. از این تاریخ، قانون تولیدکنندگان محصولاتی را که میتوانند به مصرفکنندگان بریتانیایی متصل شوند ملزم میکند حداقل الزامات ایمنی را رعایت کنند. این حداقل الزامات امنیتی مبتنی بر دستورالعملهای عملکرد امنیتی اینترنت اشیاء مصرفکننده بریتانیا، استاندارد امنیتی مصرفکننده اینترنت اشیا ETSI EN 303 645 در سطح جهانی، و توصیههای نهاد معتبر بریتانیا برای فناوری تهدیدات سایبری، مرکز ملی امنیت سایبری است. این سیستم همچنین تضمین می کند که سایر مشاغل در زنجیره تامین این محصولات در جلوگیری از فروش کالاهای مصرفی ناایمن به مصرف کنندگان و مشاغل انگلیسی نقش دارند.
این سیستم شامل دو قانون است:
1) بخش 1 قانون ایمنی محصولات و زیرساخت های مخابراتی (PSTI) 2022؛
2) امنیت محصول و زیرساخت های مخابراتی (الزامات امنیتی برای محصولات مرتبط مرتبط) قانون 2023.
2. قانون PSTI محدوده محصولات را پوشش می دهد:
1) محدوده محصول کنترل شده PSTI:
این شامل، اما نه محدود به، محصولات متصل به اینترنت است. محصولات معمولی عبارتند از: تلویزیون هوشمند، دوربین IP، روتر، روشنایی هوشمند و محصولات خانگی.
2) محصولات خارج از محدوده کنترل PSTI:
از جمله رایانه ها (الف) رایانه های رومیزی؛ (ب) کامپیوتر لپ تاپ؛ (ج) تبلت هایی که قابلیت اتصال به شبکه های تلفن همراه را ندارند (به طور خاص برای کودکان زیر 14 سال با توجه به کاربرد مورد نظر سازنده طراحی شده اند، نه استثناء)، محصولات پزشکی، محصولات کنتور هوشمند، شارژرهای خودروی الکتریکی و بلوتوث یک محصولات اتصال روی یک لطفاً توجه داشته باشید که این محصولات ممکن است الزامات امنیت سایبری نیز داشته باشند، اما تحت پوشش قانون PSTI نیستند و ممکن است توسط قوانین دیگری تنظیم شوند.
3. سه نکته کلیدی که باید توسط قانون PSTI دنبال شود:
لایحه PSTI شامل دو بخش عمده است: الزامات ایمنی محصول و دستورالعمل های زیرساخت مخابراتی. برای ایمنی محصول، سه نکته کلیدی وجود دارد که نیاز به توجه ویژه دارد:
1) الزامات رمز عبور، بر اساس مقررات نظارتی 5.1-1، 5.1-2. قانون PSTI استفاده از رمزهای عبور پیش فرض جهانی را ممنوع می کند. این بدان معناست که محصول باید یک رمز عبور پیشفرض منحصربهفرد تنظیم کند یا از کاربران بخواهد در اولین استفاده خود رمز عبور تعیین کنند.
2) مسائل مدیریت امنیت، بر اساس مفاد مقرراتی 5.2-1، تولیدکنندگان باید خطمشیهای افشای آسیبپذیری را توسعه داده و به طور عمومی افشا کنند تا اطمینان حاصل شود که افرادی که آسیبپذیریها را کشف میکنند میتوانند به تولیدکنندگان اطلاع دهند و اطمینان حاصل کنند که تولیدکنندگان میتوانند سریعاً به مشتریان اطلاع دهند و اقدامات تعمیر را ارائه دهند.
3) چرخه به روز رسانی ایمنی، بر اساس مفاد مقرراتی 5.3-13، تولیدکنندگان باید کوتاهترین دوره زمانی را که بهروزرسانیهای ایمنی ارائه میکنند، روشن و افشا کنند تا مصرفکنندگان بتوانند دوره پشتیبانی بهروزرسانی ایمنی محصولات خود را درک کنند.
4. PSTI Act و فرآیند تست ETSI EN 303 645:
1) آماده سازی داده های نمونه: 3 مجموعه از نمونه ها شامل میزبان و لوازم جانبی، نرم افزار رمزگذاری نشده، دفترچه راهنمای کاربر/مشخصات/خدمات مرتبط، و اطلاعات حساب ورود به سیستم
2) ایجاد محیط تست: یک محیط آزمایشی را طبق دفترچه راهنمای کاربر ایجاد کنید
3) اجرای ارزیابی امنیت شبکه: بررسی فایل و تست فنی، بررسی پرسشنامه های تامین کننده و ارائه بازخورد
4) تعمیر نقاط ضعف: ارائه خدمات مشاوره ای برای رفع مشکلات ضعف
5) گزارش ارزیابی PSTI یا گزارش ارزیابی ETSI EN 303645 را ارائه دهید
5. اسناد قانون PSTI:
1) رژیم امنیت محصول و زیرساخت های مخابراتی بریتانیا (امنیت محصول).
https://www.gov.uk/government/publications/the-uk-product-security-and- telecommunications-infrastructure-product-security-regime
2) قانون امنیت محصول و زیرساخت های مخابراتی 2022
https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
3) مقررات امنیت محصول و زیرساخت های مخابراتی (الزامات امنیتی برای محصولات قابل اتصال مرتبط) 2023
https://www.legislation.gov.uk/uksi/2023/1007/contents/made
در حال حاضر کمتر از 2 ماه دیگر باقی مانده است. توصیه میشود که تولیدکنندگان عمده صادرکننده به بازار بریتانیا در اسرع وقت گواهینامه PSTI را تکمیل کنند تا از ورود راحت به بازار بریتانیا اطمینان حاصل کنند.
زمان ارسال: مارس-11-2024
