巴西 ACT 77/2021(Cybersecurity Requirements for Telecommunications Equipment)是巴西国家通讯管理局(ANATEL)发布的电信设备网络安全要求法案,以下是对该法案的详细介绍:
一、发布与生效
发布时间:2021年1月5日。
生效时间:发布后180天,即2021年7月5日。
二、适用范围
该法案适用于所有连接到互联网和电信网络基础设施设备的终端设备,包括但不限于智能网关设备、路由器、调制解调器等。
三、核心要求
设计安全性原则:产品应根据设计安全性原则进行开发,确保从设计阶段就考虑网络安全因素。
声明书要求:在申请设备批准时,申请人需向ANATEL提交一份声明书,内容包括:
产品是根据设计安全性原则开发的。
设备及其供应商当时满足本文件的哪些要求。
申请人认识到随着技术发展以及新威胁或漏洞的出现,网络安全要求将不断更新,包括监管和行政要求。
特定网络安全要求:包括但不限于:
软件/固件更新:设备应支持软件/固件的更新,以修复已知漏洞并提升安全性。
远程管理:设备应支持安全的远程管理功能,确保管理员可以远程配置和管理设备。
安装与操作:设备的安装和操作应符合安全最佳实践,防止因误操作导致的安全风险。
访问设备配置:设备应提供安全的访问控制机制,防止未授权访问设备配置。
个人信息和敏感资料保护:设备应采取措施保护用户的个人信息和敏感资料,防止数据泄露和滥用。
市场监督:ANATEL在实施市场监督计划时,可以评估产品及其供应商是否符合本法案的要求。
四、影响与意义
提升设备安全性:该法案的实施将促使制造商提升设备的网络安全性能,减少因设备安全问题引发的网络安全风险。
保护消费者权益:通过要求制造商采取必要的安全措施,该法案有助于保护消费者的个人隐私和数据安全。
促进产业发展:该法案的实施将推动智能网关设备等电信设备行业向更加安全、可靠的方向发展,提高产品的市场竞争力。
