BIS, CCTV, ER:01

【 印度 】Essential requirement(s) for security of CCTV,針對CCTV的資安要求

/在:

甚麼是 ER:01?

印度電子與資訊技術部(MeitY)於 2024 年 4 月 9 日宣布對 IS 13252 (Part 1):2010 標準進行修訂,規定所有 CCTV 產品需符合 CCTV 的安全基本要求(Essential Requirements, ER)。

  • 原定於 2024 年 10 月 9 日執行
  • 但已延後,新的執行日期為 2025 年 4 月 9 日

我們該怎麼做?

根據印度電子與資訊技術部發布的 Guidelines for implementation of “Essential Requirement(s) for Security of CCTV”

  1. 對於現有依據 IS 13252 (Part 1):2010/IEC 60950-1:2005 的“CCTV 攝像機”持證廠商:
    • 現有型號需於 2025 年 4 月 9 日前,通過線上申請並提交符合 ER:01 的測試報告,以實施 ER。
    • 2025 年 4 月 9 日之後,未符合要求的型號將從許可證範圍中刪除。如果廠商未能於 2025 年 4 月 9 日前採取必要行動,或若無任何型號符合要求,許可證將面臨被註銷的風險。
  2. 對於 CCTV 攝像機的新申請者:
    • 申請時需提交 ER:01 測試報告,並同時提交依據 IS 13252 (Part 1):2010 的測試報告。
    • 在 2025 年 4 月 9 日之前,未提交 ER:01 測試報告的申請仍可被受理,但申請人需提交聲明,保證將於 2025 年 4 月 9 日前實施更新標準。
    • 2025 年 4 月 9 日之後,未符合“CCTV 安全基本要求”的 CCTV 攝像機將無法取得許可證。

執行日期即將來臨,我們建議製造商儘快規劃申請流程,因為整個過程可能需要 2 至 3 個月甚至更久。

我們的服務

  1. 於台灣擁有全面預先評測的能力
    • 提交申請至印度是一個複雜的過程,若測試中有任何一項未通過,可能導致整個申請過程需要重新開始。
    • THE ONE 擁有全面的產品預評估能力,幫助您準備更合適的產品樣本,並送至印度實驗室進行測試。
  2. 與印度合作實驗室及代理機構一起提交至印度官方
    • ER:01 必須在印度境內進行測試(In Country Test)
    • 截至目前(2025/01/17),BIS 僅認可 14 家實驗室進行相關測試及出具報告。
    • THE ONE 擁有與這些認可實驗室的良好合作關係。

目前,無論是台灣還是印度,僅有少數機構能夠處理依據 IS 13252 (Part 1):2010 的 ER:01 全流程。但 THE ONE 網路安全實驗室具備最可靠的技能與印度網絡,能為您提供準確且高效的 ER:01 服務。我們將成為您產品的最佳選擇!

若有任何問題,請隨時聯繫我們的專家 Charles:

IMDA, RG, Cyber

【新加坡】新加坡 IMDA 家用閘道器 RG 法規,資安 與 無線通訊 雙認證

/在:

IMDA TS RG-SEC

新加坡資訊通信媒體發展管理局(Infocomm Media Development Authority, IMDA)自2020年10月起已經發布技術標準 IMDA TS RG-SEC,要求家用閘道器(Residential Gateways, RGs)產品在提供無線通訊服務的同時,需滿足更高層級的網路安全要求。這項規範旨在提升家庭網路設備的安全性,保障用戶數據免受網路威脅。

依據新標準,家用閘道器產品需完成 IMDA 無線通訊認證的註冊流程,並同時申請 CLS標籤(Cybersecurity Labelling Scheme)。CLS標籤由新加坡網路安全局(Cyber Security Agency, CSA)制定,分為四個等級(Level 1~4),依據產品的安全設計與防護能力進行分級。此認證必須由產品的製造商或開發商主動註冊申請。

法規時間表

  1. 自2021年4月12日起,所有新上市的家用閘道器產品完成 IMDA 的註冊後需取得 CLS 標籤。
  2. 自2021年10月12日起,所有計劃銷往新加坡的新產品以及已經上市的家用閘道器產品均需強制符合 CLS 與 IMDA 雙認證。

這項規範的全面實施,象徵著新加坡對家庭網路安全的高度重視,同時也為電子產品製造商進入新加坡市場提供了清晰的合規指引。

如客戶對星加坡的RG類型產品有查詢,歡迎致電郵到我們的專業人員提出您的疑問,我們會儘快為您提出專業的意見。

Charles : Charles.liao@theonelab.co

 

Japan Cybersecurity Label

【日本資安】日本推出 JC-STAR 物聯網安全評級制度,歐恩壹全力提供協助。

/在:

JC-STAR 物聯網安全評級制度

日本資訊處理推進機構 (IPA) 近期推出了一項名為 JC-STAR (Japan Cyber-Security Technical Assessment Requirements) 的物聯網安全評級制度,旨在提升物聯網產品的安全性,並為消費者提供清晰的產品安全資訊。 該制度與 ETSI EN 303 645 和 NISTIR 8425 等國際標準相協調,為日本國內物聯網產品的安全建立了一套獨有的評估標準

JC-STAR 制度簡介

JC-STAR 制度是一個基於安全技術要求,用以評估和標示物聯網產品符合安全基準的制度。 該制度根據不同的安全水準設定了不同的安全技術要求,並透過標籤 (labeling) 的方式,讓消費者可以直觀地了解產品的安全程度
  • 目前推出的 「★1」等級是該制度的入門級別,旨在建立一個廣泛適用於各種物聯網產品的基本安全標準確保這些產品具備最低限度的防禦能力,以抵禦常見的網路攻擊
  • 「★1」等級的重點是防止物聯網設備感染惡意軟體並成為殭屍網路的一部分抵禦來自網際網路的遠程攻擊,並明確說明產品缺陷和漏洞的應對和支援政策
  • 此外,「★1」等級也確保在設備報廢或轉售時,可以適當地刪除設備運行過程中產生的數據。

制度適用產品

JC-STAR 「★1」等級主要適用於以下所有條件都滿足的物聯網產品
  • 產品包含硬體設備,標籤將貼在設備上,不包含設備的軟體或雲端服務
  • 設備具有使用網際協定 (IP) 發送和接收數據的功能
  • 設備無論是直接還是間接連接,都可能連接到網際網路
  • 設備難以或無法在購買後添加新的安全功能(除了通過更新添加的功能)
例如常見設備如個人電腦、智慧型手機和平板電腦通常不符合第四條件 ,因此原則上不屬於「★1」等級的適用範圍。 此外,透過物理隔離或完全邏輯斷開與網際網路隔離的設備,亦不屬於「★1」等級的適用範圍

制度申請要求及流程

「★1」等級的評估採用自我宣告的方式,製造商需要自行評估產品是否符合安全標準。 申請流程如下:
  • 準備證明文件: 雖然提交申請時不需要提供證明文件,但在評估過程中,需要準備證明文件,以證明產品符合安全標準。 這些文件可以是技術文件、內部文件、規章制度等
  • 填寫「適合評估清單」: 根據準備好的證明文件,仔細填寫「適合評估清單」,確保每個評估項目的評估結果準確無誤
  • 提交「適合評估清單」: 填寫完成後,只需提交「適合評估清單」即可完成申請
  • IPA 審核: IPA 收到申請後,會對「適合評估清單」進行審核
  • 可能需要提交證明文件: 在評級有效期內,或者 IPA 對申請內容產生疑問時,可能需要提交證明文件以供審核
在申請過程中,您可以選擇使用外部機構 (例如 JC-STAR 評估機構或 JC-STAR 驗證事業者) 協助您進行評估和填寫「適合評估清單」。 此外,即使簽署了保密協議 (NDA),IPA 仍然保留要求申請者提供證明文件的權利。 製造商需要確保所提供的資料真實準確,並積極配合 IPA 的審核要求。

歐恩壹為您提供★1服務

歐恩壹可以為您的產品提供申請的服務。
  • 協助文件準備
  • 進行產品評估
  • 按照制度要求來執行需要的測試以便作為評估證明。
  • 提出申請

如有任何需求或查詢,歡迎賜函給我們。

Mail: Charles.liao@theonelab.co

Phone: 02-8601-2828

RED

EN 18031 解讀:歐恩壹為您解說重點

/在:

EN 18031 解讀:歐恩壹為您解說重點

RED 網路安全要求

歐盟於2022年及2023年分別發佈了RED指令的補充授權法案 (EU) 2022/30 和 (EU) 2023/2444,要求製造商在產品設計及生產中遵循三項網路安全要求。該規定自2025年8月1日起強制執行。

  • Article 3.3(d):
    無線電設備不得損害網路或其功能,也不得濫用網路資源,以免造成不可接受的服務降級。
  • Article 3.3(e):
    無線電設備需內建保障措施,以保護用戶和訂閱者的個人資料與隱私。
  • Article 3.3(f):
    無線電設備需支援特定功能,確保防範欺詐行為。

覆蓋範圍與豁免範圍

覆蓋範圍

  • Article 3.3(d) 適用於任何可透過互聯網進行通信的無線電設備,包括直接或透過其他聯網設備進行通信的裝置。
  • Article 3.3(e) 適用於能處理個人資料、流量資料或位置資料的無線電設備,包括互聯網連接的設備、兒童看護設備、大多數無線玩具(根據2009/48/EC指令)、以及佩戴在人體或衣服上的無線裝置。
  • Article 3.3(f) 適用於允許用戶轉移貨幣、金融價值或虛擬貨幣的聯網無線電設備。

豁免範圍

  • Article 3.3 (d)、(e)、(f) 不適用於 (EU) 2017/745 和 (EU) 2017/746 條例所監管的醫療設備。
  • Article 3.3 (e) 和 (f) 不適用於以下設備:
    • (EU) 2018/1139 條例監管的遠端控制無人機設備及非機載特定無線電設備;
    • (EU) 2019/2144 條例監管的機動車輛及相關系統部件;
    • (EU) 2019/520 指令監管的道路收費系統。

 

EN 18031

EN 18031 系列標準包含三部分(EN 18031-1、EN 18031-2 和 EN 18031-3),分別對應 RED 指令的不同網路安全要求:

  • EN 18031-1: 確保無線電設備不會對網路或其運作造成不利影響,並防止濫用網路資源導致服務嚴重受損。適用於任何可透過互聯網進行通信的無線電設備。
  • EN 18031-2: 確保設備具有保護用戶及訂閱者個人資料和隱私的安全措施。適用於處理個人資料的設備,例如互聯網連接設備、兒童護理設備、無線玩具及可穿戴設備。
  • EN 18031-3: 確保允許用戶轉移貨幣或虛擬貨幣的聯網無線電設備具有防範欺詐的功能。

資產類型與評估
EN 18031 以資產為基礎,劃分為四類:安全資產、網路資產、隱私資產和金融資產。安全資產在三個標準中均需考量,其餘三類資產則分別對應各標準,根據類型側重不同。評估方式採用機制概念指導安全措施的應用,並通過機制評估解決適用性與適當性問題。

接下來,我們將逐一深入解析 EN 18031-1、-2 和 -3 的重點內容,請密切關注我們的更新!

 

如有任何跟資安有關的查詢,歡迎與我們的專員 Charles 聯繫 charles.liao@theonelab.co

NCCS

印度電信管理局(TEC)於10月30日發佈了最新通知,涉及「IP路由器和Wi-Fi CPE產品的安全認證」

/在:

印度電信管理局(TEC)於10月30日發佈了最新修訂版的MTCTE通知,內容涉及「IP路由器和Wi-Fi CPE產品的安全認證」。

這些設備用於網絡用途,各自具有不同的功能與特性。路由器旨在在計算機網絡之間傳遞數據包,而客戶端設備(CPE)則用於將客戶端位置連接至服務提供商的網絡。儘管路由器有時可以集成於CPE設置中,但其主要功能並不相同。

自去年首次提議將這些產品納入MTCTE通知後,TEC已兩次延後強制認證日期。初始截止日期設為今年4月1日。隨後,在2024年4月16日,全國通信安全中心(NCCS)發佈通知,將設備分為兩類,分別標記為S No.1和S No.2。聯合的MTCTE與NCCS平台設定於7月1日接受S No.1的安全認證申請,並於10月1日接受S No.2的申請。

在最新通知中,TEC進一步將S No.2產品的申請截止日期延長至11月30日。此類產品包括「已通過MTCTE ER認證並已部署於持牌人(TSP)網絡中的IP路由器和Wi-Fi CPE設備,且計劃進行硬體或軟體更動」。

申請流程為基於文件的自我聲明,符合印度電信安全保證要求(ITSAR)。通知中已附上聲明格式。在提交申請後,將發放一張「臨時證書」(Pro Tem Certificate),有效期為六個月,以便在正式認證完成前能持續供應此類產品。

如需了解更多有關項目及提交要求的詳情,請聯繫charles.liao@theonelab.co

欲進一步瞭解來自NCCS的詳情,請查閱官方文件

EU CRA

歐盟 CRA 法規簡介——歐盟 RED 以外之資安法規

/在:

歐盟 CRA 法規簡介

「網路韌性法(Cyber Resilience Act, CRA)是歐盟於2022年提出並在今年10月通過的法規,目的是確保連網產品的網路安全性。CRA為所有數位產品設立了嚴格的網路安全要求,特別針對可能連接至網際網路的設備與軟體。法規的重點是確保這些產品在整個生命周期中保持安全,以減少潛在的網路威脅和漏洞風險。 

CRA的重要時間點 

·         20229:歐盟執委會提出《資安韌性法》草案,旨在為所有進入歐盟市場的物聯網(IoT)設備提供資安指引與規範。 

·         202410:歐盟理事會正式採納該法案,為數位產品設立新的安全要求。 

·         202411月:預計法案會在歐盟官方公報上發布。法規發布後的20天內開始生效,並且企業有36個月來準備遵守新規定。 

主要內容與要求 

CRA 包含多項重要的網路安全要求,主要涉及以下幾個方面: 

1.      設計安全:產品從設計到生產階段就要內建安全功能,防止網路攻擊。 

2.      持續更新:連網產品必須支援定期安全更新和漏洞修補,保持長期安全性。 

3.      資訊透明:製造商需提供產品安全資訊,包括安全設計、已知風險和更新政策。 

4.      監管與罰則:市場監管機構會檢查產品的安全性,不合規定者可能會被罰款或下架。 

CRA涵蓋哪些產品? 

CRA 的範圍非常廣,主要是包含所有能連網的數位設備,例如: 

1.  智慧家居產品:像智慧冰箱、電視、音響、門鎖、監控攝影機、智慧玩具等。 

2.  穿戴式裝置:智慧手錶、健康監測器等,因能連接手機或網路而納入規範。 

3.  日常IoT設備:包括智慧燈泡、連網插座、家用安全防護系統等。 

4.  工業IoT設備:如工廠的監控系統、自動化設備等,為了保障工業網路安全也涵蓋在內。 

哪些產品不受CRA影響? 

CRA 對所有數位產品都有影響嗎?不完全是!以下類別因有其他專門法規保護,所以不在CRA的適用範圍內: 

·         醫療設備:已經有更嚴格的醫療法規確保安全。 

·         航空設備:飛機和相關系統都受航空法規監管。 

·         汽車:歐盟車輛安全法已經為汽車的安全性上了雙重保險。 

此外,開源軟體在非商業用途下的部分也被豁免,不用擔心這些開源社群被 CRA 壓得喘不過氣來。 

CRA 的願景 

CRA 就像歐盟為數位世界建設的安全防護牆,確保每一件產品的安全。當我們在日常生活中使用各種智慧設備時,CRA 就在幕後默默地為我們的隱私和安全把關。對企業來說,這不僅僅是一個新的合規挑戰,更是提升產品可信度與市場競爭力的機會! 

如果您對 CRA 有任何需求或疑問,或是需要進一步的測試與合規協助,歡迎隨時聯繫歐恩壹資安實驗室!我們將竭誠為您服務,確保您的產品符合最新的網路安全法規標準。

RED——EN 303 645 & EN 18031 series

/在:

歐恩壹是一家純資安的實驗室,其中歐規的資安標準是我們重點發展跟專注的領域。
《無線電設備指令》 (RED) 的全新資安要求將於 2025 年 8 月正式實施,以下為大家介紹一下針對這份指令中的資安要求所發布的兩份標準。

 

ETSI EN 303 645

在 2019 年 ETSI TC CYBER 發佈第一個消費性 IoT 產品資安標準,在吸收多方意見後演變為 ETSI EN 303 645。ETSI EN 303 645 旨在透過為消費性 IoT 產品建立資安基礎要求。它提供了 13 項資安指引共 68 條條款來防止針對智慧型裝置的大規模攻擊,並為未來的物聯網認證計畫提供基礎。

ETSI EN 303 645 主要提供資安指引,另外 ETSI 也撰寫了 ETSI TS 103 701 為測試及評估的具體方法。ETSI EN 303 645 已經過多年實測證明其行之有效,而且廣泛的資安指引亦為其他類型電子產品的資安測試評估提供了方向。因此很多其他國家在撰寫資安標準也有高度參考 ETSI EN 303 645 ,例如英國的 PSTI 及新加坡的 Cybersecurity Labelling Scheme 等。

EN 18031 series

資安標準 EN 18031 系列完全是針對 RED 即將實施的新要求而撰寫,目標是成為滿足 RED 的資安統一標準 (harmonized standard)。未來的 Cyber Resilient Act (CRA) 也有可能採用 EN 18031 系列作為其基礎要求。

目前,EN 18031 系列已獲歐盟投票核准成為正式的 EN 標準。與僅適用於 IoT 產品的 ETSI EN 303 645 不同,EN 18031 系列涵蓋所有可連網的無線電設備,包括筆記型電腦、智能手機和路由器等,並提供更為明確的評估測試方法。

歐恩壹的能力

歐恩壹已經取得EN 303645的TAF認證,並且預計於2025年Q1取得EN18031的認證。我們有完整的能力及解決方法可以提供給不同IoT產品的客戶,因此歡迎您就您的產品向我們提出您的疑惑,以幫助您們及早規劃歐洲資安的市場。

【合作】恭喜歐恩壹與歐陸電檢簽署資安合作備忘錄

/在:

熱烈慶祝歐恩壹與歐陸電檢達成合作協議。

我們決心以歐恩壹的資安技術配合歐陸電檢龐大的客戶市場,共同為不同的電子業界夥伴提供最優質的資安測試服務。

這也表達我們歐恩壹實驗室的實力達到世界水平,可以與跨國企業建立具深度之合作關係。

 

簽署協議當日,歐恩壹以資安實驗室總監阮先生(Norton)為代表,與Eurofins 德國NB Mr.Thami、Euofins 台灣電檢代表Ethan共同簽署資安合作。

透過這個合作協議,我們會堅定的為客戶提供最專業的檢測及客戶服務,使您的產品可以完成資安認證銷售到世界各地。

 

假如您也有電子產品需要外銷,卻不肯定是否需要通過資安認證,誠摯邀請您來函 service@theonelab.co 向我們查詢。

IoT cybersecurity

【EDM】IoT產品的新挑戰

/在:

IoT cybersecurity

在物聯網(IoT)市場迅速擴張的同時,資安風險也隨之增加。世界各國今年陸續開始為IoT產品制定嚴格的資安法規,其中包括:

l   英國的PSTI2024 429已執行)

l   歐洲的RED —— EN 303645EN1803120258月)

l   美國的CyberTrust Mark計劃(已在規劃)

l   印度的BIS中的網路安全要求(已推出CCTV、錄像機等等的要求)

這意味著,各IoT產品生產商將需要迅速應對這個重大的需求,以免在相關強制期因未能達到標準而影響市場銷售,甚至被罰。

我們的價值

歐恩壹資安實驗室正是為此而生,作為領先的IoT資安專家,我們致力於為您提供最前沿的安全解決方案,助您在新法規環境下輕鬆應對挑戰,保護您的產品和用戶免受網絡威脅。

歐恩壹資安實驗室的創立源於我們對數字安全日益增加的需求的深刻認識。隨著物聯網設備在全球範圍內的普及,這些設備也成為了網絡攻擊的主要目標。為了應對這一挑戰,我們匯集了一支由資深資安專家、工程師和研究人員組成的團隊,致力於開發和提供符合最高安全標準的解決方案。

我們的服務

我們的服務範圍涵蓋了廣泛的IoT產品資安需求,無論是家庭自動化設備、智能家電、聯網產品等等,歐恩壹資安實驗室都能提供專業的安全評估和解決方案。我們的工作基於嚴格的國際標準,並通過財團法人全國認證基金會(TAF)的認可(編號:4248),以確保我們的安全措施達到並超過業界最嚴格的要求。

在全球市場中,我們的服務範圍不僅限於歐洲,還涵蓋了東南亞、美國、印度等地。我們的團隊深入了解各地市場的特殊需求和安全挑戰,並為此制定了針對性的安全策略,確保我們的客戶在任何市場中都能保持領先地位。

我們誠摯地邀請您了解更多關於歐恩壹資安實驗室的信息,並期待有機會與您合作,共同推動IoT產品安全的未來。

如需更多資訊或合作洽談,請隨時與我們聯繫。歐恩壹團隊隨時為您服務。

UK PSTI

資安新聞-英國《產品安全和電信基礎設施法案》( PSTI )的最新要求

/在:

英國 PSTI

UK PSTI

英國《產品安全和電信基礎設施法案》( PSTI )主要針對智能設備的網絡安全要求,此強制性要求已於2024年4月實施。
以下是需要進行 PSTI 檢測的產品類型例外情況以及如何滿足 PSTI 要求的詳細說明。

PSTI檢測適用於廣泛的互聯網連接設備,包括但不限於:

  • 智能家居設備(如智能燈泡、智能鎖、智能恒溫器)
  • 消費類電子產品(如智能電視、智能揚聲器、智能手表)
  • 互聯玩具和嬰兒監控器
  • 互聯健康和健身設備(如智能手環)
  • 其他具有互聯功能的設備
製造商應根據PSTI的具體條款,針對其產品進行網絡安全風險評估,並採取必要的技術措施來減輕這些風險。通過遵循這些步驟和要求,製造商可以確保其產品符合PSTI的網絡安全標
準,為消費者提供更安全的使用體驗。

例外情況

以下類別的設備不在PSTI檢測範圍內:
  • 企業級網絡設備
  • 工業控制系統
  • 僅具備簡單功能且無互聯網連接能力的設備
  • 個人電腦和筆記本電腦
這些產品通常有專門的安全標準和監管機構進行檢測和認證,因此不需要符合PSTI的要求。

PSTI的要求

要滿足PSTI的要求,製造商應遵循以下步驟:
  1. 固件更新機制:確保設備能夠接收並自動安裝安全更新,以修補已知的漏洞。
  2. 唯一預設密碼:每個設備應使用唯一的預設密碼,或要求用戶在首次使用時設置強密碼。
  3. 漏洞報告通道:建立易於訪問的漏洞報告機制,允許用戶和安全研究人員報告設備的安全問題。

歐恩壹的資安測試實驗室具備提供滿足最新PTSI資安方面要求的測試及認證服務。我們會持續關注法規最新的實施狀況,並按法規發展提供適切的資安測試服務,為客戶提供最新的資安測試及認證解決方案。

For further information, please contact:

Email: service@theonelab.co