UL 2900-1 2020-06 PDF

Полное наименование и описание

Стандарт ANSI/UL 2900-1 — «Standard for Software Cybersecurity for Network-Connectable Products, Part 1: General Requirements». Определяет общие требования и методы оценки программной кибербезопасности для изделий, подключаемых к сети: управление рисками разработчика, испытания на уязвимости, обнаружение вредоносного ПО и архитектурные требования по защите программного обеспечения.

Аннотация

Документ задаёт набор тестируемых критериев и процедур для проверки защищённости сетевых продуктов (включая встроенное ПО и сетевые интерфейсы) от уязвимостей, программных слабостей и наличия вредоносного ПО. Стандарт служит для оценки продукта и подтверждения соответствия требованиям к безопасности в рамках процессов разработки и вывода на рынок, включая применение в медицинской отрасли.

Общая информация

• Статус: Редакция 1 имела изменение (CHANGE 06/20 — Revision Change, код A от 5 июня 2020); на момент последующих публикаций замещена редакцией 2 от 14 апреля 2023 (редакция 2 — действующая для стандарта).
• Дата публикации: первоначальная публикация редакции 1 — 5 июля 2017; фиксация изменения — 5 июня 2020; редакция 2 опубликована 14 апреля 2023.
• Организация-издатель: Underwriters Laboratories (UL); документ принят и выпускается в консенсусном формате ANSI/UL.
• ICS / категории: Информационные технологии — IT (раздел 35 по классификации ICS), в частности разделы, связанные с IT-безопасностью и разработкой ПО.
• Редакция / версия: Версия, обозначенная как CHANGE 06/20 (июнь 2020) — изменение к редакции 1; последующая полная редакция — Edition 2 (14 апреля 2023).
• Количество страниц: около 33 страниц в действующей (Edition 2) публикации; объём в изменении 06/20 сопоставим и определяется издателем.

Область применения

Стандарт применяется к «network-connectable products» — изделиям и компонентам, имеющим любую форму подключения к сети (Ethernet, Wi‑Fi, Bluetooth и пр.), и предназначен для оценки их программной безопасности. Часто используется для приборов и систем в здравоохранении, промышленности и потребительской электронике, где требуется формализованная проверка устойчивости к уязвимостям, программным ошибкам и вредоносному ПО.

Ключевые темы и требования

• Установление процесса управления рисками разработчика продукта (risk management для ПО и обновлений).
• Методы оценки и тестирования на наличие уязвимостей, слабых мест в ПО и присутствия вредоносного кода (включая статические и динамические тесты, пенетрационные проверки и анализ образцов).
• Требования к архитектурным и проектным элементам управления безопасностью (контроль доступа, обновления, логирование, устойчивость к ошибкам).
• Процедуры документирования, отчётности и демонстрации соответствия в рамках заявлений о кибербезопасности (включая применение при регистрации медицинских устройств).

Применение и пользователи

Основные пользователи: производители сетевых и встраиваемых устройств, инженеры по обеспечению безопасности ПО, лаборатории тестирования и сертификации, регуляторы и команды по соответствию (compliance). Особенно актуален для производителей медицинских устройств и компонентов, так как стандарт используется при подготовке материалов для регуляторных органов и как ориентир для тестирования кибербезопасности.

Связанные стандарты

UL 2900-1 — часть серии UL 2900; связана с отраслевыми частями (например, UL 2900-2-1 для медицинских компонентов) и с международными руководящими документами по кибербезопасности устройств и процессов. Стандарт может перекликаться с рекомендациями FDA, AAMI и с нормами по управлению уязвимостями и SDLC (разработка безопасного ПО).

Ключевые слова

UL 2900-1, кибербезопасность ПО, network-connectable products, уязвимости, тестирование безопасности, вредоносное ПО, управление рисками, медицинские устройства.

FAQ

В: Что это за стандарт?

О: UL 2900-1 — общий раздел серии стандартов UL 2900, задаёт тестируемые и воспроизводимые критерии для оценки кибербезопасности сетевых изделий и их программного обеспечения.

В: Что он регулирует?

О: Он не «регулирует» в смысле законодательства, но устанавливает требования и методики тестирования (управление рисками, испытания на уязвимости и присутствие вредоносного ПО, архитектурные требования), которые используются производителями и лабораториями для демонстрации уровня кибербезопасности продукта.

В: Кто обычно использует?

О: Производители встраиваемых и сетевых устройств, инженеры кибербезопасности, испытательные лаборатории и организации, готовящие документацию для регуляторов (особенно в медицинской сфере). Сертификация/оценка по UL 2900 часто применяется как доказательство надлежащей практики.

В: Он актуален или заменён?

О: Версия с пометкой CHANGE 06/20 отражает ревизию от 5 июня 2020; позже выпущена редакция 2 (14 апреля 2023), которая является текущей редакцией стандарта на момент публикации этой карточки. Для применений важно ссылаться на конкретную редакцию и дату (например, изменение 06/20 vs Edition 2 — 2023).

В: Это часть серии?

О: Да — UL 2900-1 является частью серии UL 2900. Серия включает общие требования (часть 1) и отраслевые/продуктовые подразделы (например, 2900-2-1 для медицинских/wellness-компонентов), формируя единый набор тестируемых критериев для разных классов изделий.

В: Какие ключевые слова?

О: кибербезопасность, сеть, встраиваемое ПО, уязвимости, тестирование, вредоносное ПО, управление рисками, медицинские устройства.