Theo Đạo luật Cơ sở hạ tầng Viễn thông và An toàn Sản phẩm năm 2023 do Vương quốc Anh ban hành vào ngày 29 tháng 4 năm 2023, Vương quốc Anh sẽ bắt đầu thực thi các yêu cầu về bảo mật mạng đối với các thiết bị tiêu dùng được kết nối từ ngày 29 tháng 4 năm 2024, áp dụng cho Anh, Scotland, xứ Wales và Bắc Ireland. Tính đến thời điểm hiện tại chỉ còn hơn 3 tháng, các nhà sản xuất lớn xuất khẩu sang thị trường Anh cần hoàn thành chứng nhận PSTI càng sớm càng tốt để đảm bảo việc thâm nhập thị trường Anh được suôn sẻ. Thời gian ân hạn dự kiến là 12 tháng kể từ ngày công bố cho đến khi thực hiện.
1. Tài liệu Đạo luật PSTI:
①Chế độ An ninh Sản phẩm và Cơ sở Hạ tầng Viễn thông (Bảo mật Sản phẩm) của Vương quốc Anh.
https://www.gov.uk/ Government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime
②Đạo luật cơ sở hạ tầng viễn thông và an ninh sản phẩm 2022。https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
③Quy định 2023 về cơ sở hạ tầng viễn thông và bảo mật sản phẩm (Yêu cầu bảo mật đối với các sản phẩm có thể kết nối có liên quan)。https://www.legislation.gov.uk/uksi/2023/1007/contents/made
2. Dự luật được chia làm hai phần:
Phần 1: Về yêu cầu an toàn sản phẩm
Dự thảo Pháp lệnh về Cơ sở hạ tầng viễn thông và An toàn sản phẩm (Yêu cầu bảo mật đối với các sản phẩm được kết nối liên quan) được chính phủ Anh đưa ra vào năm 2023. Dự thảo này đề cập đến các yêu cầu của các nhà sản xuất, nhà nhập khẩu và nhà phân phối với tư cách là các thực thể có nghĩa vụ và có quyền phạt tiền lên tới 10 triệu bảng Anh hoặc 4% doanh thu toàn cầu của công ty đối với những người vi phạm. Các công ty tiếp tục vi phạm quy định cũng sẽ bị phạt thêm 20000 bảng mỗi ngày.
Phần 2: Hướng dẫn về cơ sở hạ tầng viễn thông, được phát triển để đẩy nhanh việc lắp đặt, sử dụng và nâng cấp các thiết bị đó
Phần này yêu cầu các nhà sản xuất, nhà nhập khẩu và nhà phân phối IoT phải tuân thủ các yêu cầu cụ thể về an ninh mạng. Nó hỗ trợ việc giới thiệu mạng băng thông rộng và 5G lên tới gigabit để bảo vệ người dân khỏi những rủi ro do các thiết bị kết nối tiêu dùng không an toàn gây ra.
Luật Truyền thông điện tử quy định quyền của các nhà khai thác mạng và nhà cung cấp cơ sở hạ tầng trong việc cài đặt và bảo trì cơ sở hạ tầng truyền thông kỹ thuật số trên đất công và đất tư nhân. Luật Truyền thông điện tử sửa đổi năm 2017 đã giúp việc triển khai, bảo trì và nâng cấp cơ sở hạ tầng kỹ thuật số trở nên rẻ hơn và dễ dàng hơn. Các biện pháp mới liên quan đến cơ sở hạ tầng viễn thông trong dự thảo dự luật PSTI dựa trên Đạo luật Truyền thông Điện tử sửa đổi năm 2017, sẽ giúp đảm bảo ra mắt mạng 5G và băng thông rộng gigabit theo định hướng trong tương lai.
Đạo luật PSTI bổ sung Phần 1 của Đạo luật Cơ sở hạ tầng Truyền thông và An ninh Sản phẩm năm 2022, trong đó đặt ra các yêu cầu bảo mật tối thiểu để cung cấp sản phẩm cho người tiêu dùng Anh. Dựa trên ETSI EN 303 645 v2.1.1, các phần 5.1-1, 5.1-2, 5.2-1 và 5.3-13, cũng như các tiêu chuẩn ISO/IEC 29147:2018, các quy định và yêu cầu tương ứng được đề xuất đối với mật khẩu, độ bảo mật tối thiểu cập nhật chu kỳ thời gian và cách báo cáo vấn đề bảo mật.
Phạm vi sản phẩm liên quan:
Các sản phẩm liên quan đến bảo mật được kết nối, chẳng hạn như máy phát hiện khói và sương mù, máy báo cháy và khóa cửa, thiết bị tự động hóa nhà được kết nối, chuông cửa và hệ thống báo động thông minh, trạm cơ sở IoT và trung tâm kết nối nhiều thiết bị, trợ lý nhà thông minh, điện thoại thông minh, camera được kết nối (IP và CCTV), thiết bị đeo, tủ lạnh được kết nối, máy giặt, tủ đông, máy pha cà phê, bộ điều khiển trò chơi và các sản phẩm tương tự khác.
Phạm vi sản phẩm được miễn trừ:
Các sản phẩm được bán ở Bắc Ireland là đồng hồ đo thông minh, điểm sạc xe điện và thiết bị y tế cũng như máy tính bảng dành cho người trên 14 tuổi sử dụng.
3. Tiêu chuẩn ETSI EN 303 645 về bảo mật và quyền riêng tư của các sản phẩm IoT bao gồm 13 loại yêu cầu sau:
1) Bảo mật mật khẩu mặc định chung
2) Quản lý và thực thi báo cáo điểm yếu
3) Cập nhật phần mềm
4) Lưu thông số an toàn thông minh
5) Bảo mật thông tin liên lạc
6) Giảm tiếp xúc với bề mặt tấn công
7) Bảo vệ thông tin cá nhân
8) Tính toàn vẹn của phần mềm
9) Khả năng chống nhiễu của hệ thống
10) Kiểm tra dữ liệu đo từ xa của hệ thống
11) Thuận tiện cho người dùng xóa thông tin cá nhân
12) Đơn giản hóa việc lắp đặt và bảo trì thiết bị
13) Xác minh dữ liệu đầu vào
Yêu cầu hóa đơn và 2 tiêu chuẩn tương ứng
Cấm mật khẩu mặc định phổ quát - ETSI EN 303 645 quy định 5.1-1 và 5.1-2
Yêu cầu thực hiện các phương pháp quản lý báo cáo lỗ hổng - ETSI EN 303 645 quy định 5.2-1
Điều khoản 6.2 của ISO/IEC 29147 (2018)
Yêu cầu tính minh bạch trong chu kỳ thời gian cập nhật bảo mật tối thiểu cho sản phẩm - điều khoản ETSI EN 303 645 5.3-13
PSTI yêu cầu các sản phẩm phải đáp ứng ba tiêu chuẩn an toàn nêu trên trước khi được đưa ra thị trường. Các nhà sản xuất, nhà nhập khẩu và nhà phân phối các sản phẩm liên quan phải tuân thủ các yêu cầu về an toàn của luật này. Các nhà sản xuất và nhập khẩu phải đảm bảo rằng sản phẩm của họ đi kèm tuyên bố tuân thủ và phải hành động trong trường hợp không tuân thủ, lưu giữ hồ sơ điều tra, v.v. Nếu không, những người vi phạm sẽ bị phạt lên tới 10 triệu bảng Anh hoặc 4% doanh thu toàn cầu của công ty.
4. Đạo luật PSTI và Quy trình thử nghiệm ETSI EN 303 645:
1) Chuẩn bị dữ liệu mẫu
3 bộ mẫu bao gồm máy chủ và phụ kiện, phần mềm không được mã hóa, hướng dẫn sử dụng/thông số kỹ thuật/dịch vụ liên quan và thông tin tài khoản đăng nhập
2) Thiết lập môi trường thử nghiệm
Thiết lập môi trường thử nghiệm dựa trên hướng dẫn sử dụng
3)Thực hiện đánh giá an ninh mạng:
Xem xét tài liệu và kiểm tra kỹ thuật, kiểm tra bảng câu hỏi của nhà cung cấp và cung cấp phản hồi
4) Sửa chữa điểm yếu
Cung cấp dịch vụ tư vấn khắc phục các điểm yếu
5) Cung cấp báo cáo đánh giá PSTI hoặc báo cáo đánh giá ETSIEN 303645
5. Làm thế nào để chứng minh việc tuân thủ các yêu cầu của Đạo luật PSTI của Vương quốc Anh?
Yêu cầu tối thiểu là đáp ứng ba yêu cầu của Đạo luật PSTI liên quan đến mật khẩu, chu trình bảo trì phần mềm và báo cáo lỗ hổng, đồng thời cung cấp các tài liệu kỹ thuật như báo cáo đánh giá cho các yêu cầu này, đồng thời tự tuyên bố tuân thủ. Chúng tôi khuyên bạn nên sử dụng ETSI EN 303 645 để đánh giá Đạo luật PSTI của Vương quốc Anh. Đây cũng là sự chuẩn bị tốt nhất cho việc thực hiện bắt buộc các yêu cầu về an ninh mạng của chỉ thị CE RED của EU bắt đầu từ ngày 1 tháng 8 năm 2025!
Phòng thí nghiệm kiểm tra BTF là tổ chức kiểm tra được công nhận bởi Dịch vụ Chứng nhận Quốc gia Trung Quốc về Đánh giá Sự phù hợp (CNAS), số: L17568. Sau nhiều năm phát triển, BTF có phòng thí nghiệm tương thích điện từ, phòng thí nghiệm truyền thông không dây, phòng thí nghiệm SAR, phòng thí nghiệm an toàn, phòng thí nghiệm độ tin cậy, phòng thí nghiệm kiểm tra pin, kiểm tra hóa học và các phòng thí nghiệm khác. Có khả năng tương thích điện từ hoàn hảo, tần số vô tuyến, an toàn sản phẩm, độ tin cậy về môi trường, phân tích lỗi vật liệu, ROHS/REACH và các khả năng kiểm tra khác. Phòng thí nghiệm kiểm tra BTF được trang bị cơ sở kiểm tra chuyên nghiệp và đầy đủ, đội ngũ chuyên gia kiểm tra và chứng nhận giàu kinh nghiệm cũng như khả năng giải quyết các vấn đề kiểm tra và chứng nhận phức tạp khác nhau. Chúng tôi tuân thủ các nguyên tắc chỉ đạo "công bằng, khách quan, chính xác và nghiêm ngặt" và tuân thủ nghiêm ngặt các yêu cầu của hệ thống quản lý phòng thí nghiệm hiệu chuẩn và thử nghiệm ISO/IEC 17025 để quản lý khoa học. Chúng tôi cam kết mang đến cho khách hàng dịch vụ chất lượng cao nhất. Nếu bạn có bất kỳ câu hỏi nào, xin vui lòng liên hệ với chúng tôi bất cứ lúc nào.
Thời gian đăng: Jan-16-2024
