영국이 2023년 4월 29일에 발표한 제품 안전 및 통신 인프라법 2023에 따라 영국은 2024년 4월 29일부터 잉글랜드, 스코틀랜드, 웨일스 및 북아일랜드에 적용되는 연결된 소비자 장치에 대한 네트워크 보안 요구 사항을 시행하기 시작합니다. 현재로썬 3개월여밖에 되지 않았으며, 영국 시장에 수출하는 주요 제조사들이 빠른 시일 내에 PSTI 인증을 완료해야 원활한 영국 시장 진출이 가능하다. 발표일로부터 시행까지 12개월의 예상 유예 기간이 있습니다.
1.PSTI 법 문서:
①영국 제품 보안 및 통신 인프라(제품 보안) 제도.
https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime
②제품 보안 및 통신 인프라법 2022。https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
③제품 보안 및 통신 인프라(관련 연결 가능 제품에 대한 보안 요구 사항) 규정 2023。https://www.legislation.gov.uk/uksi/2023/1007/contents/made
2. 법안은 두 부분으로 구성됩니다.
1부: 제품 안전 요구 사항 관련
2023년 영국 정부가 도입한 제품 안전 및 통신 인프라(관련 연결된 제품에 대한 보안 요구 사항) 조례 초안입니다. 이 초안은 의무 주체인 제조업체, 수입업체 및 유통업체의 요구 사항을 다루고 있으며 벌금을 부과할 권리가 있습니다. 위반자에 대해 최대 1,000만 파운드 또는 회사 전 세계 수익의 4%를 부과합니다. 규정을 계속 위반하는 회사에는 하루에 £ 20000의 벌금이 추가로 부과됩니다.
2부: 해당 장비의 설치, 사용 및 업그레이드를 가속화하기 위해 개발된 통신 인프라 지침
이 섹션에서는 IoT 제조업체, 수입업체, 유통업체가 특정 사이버 보안 요구 사항을 준수하도록 요구합니다. 안전하지 않은 소비자 연결 장치로 인한 위험으로부터 시민을 보호하기 위해 광대역 및 최대 기가비트까지의 5G 네트워크 도입을 지원합니다.
전자통신법은 네트워크 운영자와 인프라 제공업체가 공공 및 사유지에 디지털 통신 인프라를 설치하고 유지할 수 있는 권리를 규정합니다. 2017년 전자통신법 개정으로 디지털 인프라의 구축, 유지관리, 업그레이드가 더 저렴하고 쉬워졌습니다. PSTI 법안 초안에 있는 통신 인프라와 관련된 새로운 조치는 2017년 전자통신법 개정안을 기반으로 하며, 이는 미래 지향적인 기가비트 광대역 및 5G 네트워크의 출시를 보장하는 데 도움이 될 것입니다.
PSTI 법은 영국 소비자에게 제품을 제공하기 위한 최소 보안 요구 사항을 규정하는 제품 보안 및 통신 인프라법 2022의 1부를 보완합니다. ETSI EN 303 645 v2.1.1, 섹션 5.1-1, 5.1-2, 5.2-1 및 5.3-13과 ISO/IEC 29147:2018 표준을 기반으로 비밀번호, 최소 보안에 대한 해당 규정 및 요구 사항이 제안됩니다. 업데이트 주기 및 보안 문제 보고 방법.
관련된 제품 범위:
연기 및 안개 감지기, 화재 감지기, 도어 잠금 장치, 연결된 홈 자동화 장치, 스마트 초인종 및 경보 시스템, 여러 장치를 연결하는 IoT 기지국 및 허브, 스마트 홈 보조 장치, 스마트폰, 연결된 카메라(IP 및 CCTV), 웨어러블 디바이스, 커넥티드 냉장고, 세탁기, 냉동고, 커피 머신, 게임 컨트롤러 및 기타 유사한 제품.
면제 제품의 범위:
북아일랜드에서 판매되는 제품, 스마트 미터, 전기 자동차 충전소, 의료 기기, 14세 이상용 컴퓨터 태블릿.
3. IoT 제품의 보안 및 개인 정보 보호에 대한 ETSI EN 303 645 표준에는 다음과 같은 13가지 범주의 요구 사항이 포함됩니다.
1) 범용 기본 비밀번호 보안
2) 취약점 보고 관리 및 실행
3) 소프트웨어 업데이트
4) 스마트 안전 파라미터 저장
5) 통신보안
6) 공격 표면 노출 감소
7) 개인정보 보호
8) 소프트웨어 무결성
9) 시스템 간섭 방지 능력
10) 시스템 원격 측정 데이터 확인
11) 이용자가 개인정보를 삭제하는데 편리함
12) 장비 설치 및 유지 관리 단순화
13) 입력 데이터 확인
Bill 요건 및 해당 2가지 기준
범용 기본 비밀번호 금지 - ETSI EN 303 645 조항 5.1-1 및 5.1-2
취약성 보고서 관리 방법 구현을 위한 요구 사항 - ETSI EN 303 645 조항 5.2-1
ISO/IEC 29147(2018) 6.2항
제품에 대한 최소 보안 업데이트 시간 주기의 투명성 요구 - ETSI EN 303 645 조항 5.3-13
PSTI에서는 제품이 시장에 출시되기 전에 위의 세 가지 안전 표준을 충족해야 합니다. 관련 제품의 제조업체, 수입업체 및 유통업체는 이 법의 안전 요구 사항을 준수해야 합니다. 제조업체와 수입업체는 자신의 제품에 규정 준수 성명이 포함되어 있는지 확인하고 규정 준수 실패 시 조치를 취하고 조사 기록을 보관하는 등의 조치를 취해야 합니다. 그렇지 않으면 위반자에게 최대 천만 파운드 또는 회사 전 세계 매출의 4%에 해당하는 벌금이 부과됩니다.
4.PSTI법 및 ETSI EN 303 645 테스트 프로세스:
1) 샘플 데이터 준비
호스트 및 액세서리, 암호화되지 않은 소프트웨어, 사용자 매뉴얼/사양/관련 서비스, 로그인 계정 정보를 포함한 샘플 3세트
2) 테스트 환경 구축
사용자 매뉴얼을 기반으로 테스트 환경 구축
3) 네트워크 보안 평가 실행:
문서 검토 및 기술 테스트, 공급업체 설문 조사 및 피드백 제공
4) 약점 수리
취약점 문제 해결을 위한 컨설팅 서비스 제공
5) PSTI 평가 보고서 또는 ETSIEN 303645 평가 보고서 제공
5.영국 PSTI법의 요구 사항 준수를 어떻게 증명할 수 있나요?
최소 요구 사항은 비밀번호, 소프트웨어 유지 관리 주기, 취약점 보고에 관한 PSTI 법의 세 가지 요구 사항을 충족하고 이러한 요구 사항에 대한 평가 보고서와 같은 기술 문서를 제공하는 동시에 준수 자체 선언을 하는 것입니다. 영국 PSTI 법을 평가하려면 ETSI EN 303 645를 사용하는 것이 좋습니다. 이는 또한 2025년 8월 1일부터 시작되는 EU CE RED 지침의 사이버 보안 요구 사항을 의무적으로 구현하기 위한 최선의 준비이기도 합니다!
BTF 테스트 연구소는 중국 국가적합성평가인증원(CNAS)의 인증을 받은 테스트 기관입니다(번호: L17568). 수년간의 개발 끝에 BTF는 전자기 호환성 실험실, 무선 통신 실험실, SAR 실험실, 안전 실험실, 신뢰성 실험실, 배터리 테스트 실험실, 화학 테스트 및 기타 실험실을 보유하고 있습니다. 완벽한 전자기 호환성, 무선 주파수, 제품 안전, 환경 신뢰성, 재료 고장 분석, ROHS/REACH 및 기타 테스트 기능을 갖추고 있습니다. BTF 테스트 연구소는 전문적이고 완벽한 테스트 시설, 경험이 풍부한 테스트 및 인증 전문가 팀, 다양하고 복잡한 테스트 및 인증 문제를 해결할 수 있는 능력을 갖추고 있습니다. 우리는 "공정성, 공평성, 정확성 및 엄격함"이라는 기본 원칙을 준수하고 과학적 관리를 위한 ISO/IEC 17025 테스트 및 교정 실험실 관리 시스템의 요구 사항을 엄격하게 따릅니다. 우리는 고객에게 최고 품질의 서비스를 제공하기 위해 최선을 다하고 있습니다. 질문이 있으시면 언제든지 저희에게 연락 주시기 바랍니다.
게시 시간: 2024년 1월 16일