UL 2900-2-3 2020-01 PDF

Полное наименование и описание

UL 2900-2-3 — Software cybersecurity for network-connectable products. Part 2-3: Particular requirements for security and life safety signaling systems. Стандарт задаёт тестируемые критерии и требования к обеспечению кибербезопасности программного обеспечения в сетевых устройствах и системах сигнализации безопасности и жизнеобеспечения.

Аннотация

Стандарт определяет область применения, процессы управления риском и тестовые процедуры для оценки уязвимостей, известных семейств вредоносного ПО и программных слабых мест в продуктах и компонентах систем безопасности и оповещения. Включает уровни оценки (L1–L3) с нарастающей глубиной проверок — от базовой оценки уязвимостей до полноценного тестирования с анализом процессов производителя и тестированием на проникновение. Стандарт служит для подтверждения киберустойчивости устройств в процессе их разработки, сертификации и эксплуатации.

Общая информация

• Статус: Действующий, включён в семейство UL 2900 и прошёл регистрацию/пересмотр в виде ANSI/CAN/UL 2900-2-3 (актуализация/публикация списков — 2023 г.).
• Дата публикации: Первичная публикация — 31 января 2020 (Ed.1). Пересмотры и регистрация/публикация в ANSI/CAN реестре отмечены в 2023 году (21 сентября 2023 — обзор/публикация записей о пересмотре).
• Организация-издатель: Underwriters Laboratories (UL); документ также распространяется/регистрируется через ANSI и совместно как ANSI/CAN/UL 2900-2-3.
• ICS / категории: Привязка к классификации стандартов: 35.030; 35.110; 35.240.50; 35.240.80 (категории, связанные с программным обеспечением и системами управления/сигнализации).
• Редакция / версия: Edition 1 (Ed.1 — 2020) с дальнейшими правками/редлайнами и регистрацией в 2023 г. (ANSI/CAN/UL 2900-2-3 — обновления на основе изменений в базовом UL 2900-1).
• Количество страниц: ~27 страниц (стандарт в PDF-формате; объём официальной публикации Ed.1 — 27 стр.).

Область применения

Стандарт применяется к оценке компонентов и продуктов систем безопасности и жизнеобеспечения, включая (но не ограничиваясь): блоки управления тревогой, системы обнаружения вторжений, цифровое видео и видеосистемы, системы оповещения и эвакуации, серверы управления, ПО автоматизации тревог, оборудование приёма сигналов, средства контроля доступа и сетевые замки, ПСИМ, дымовые/газовые датчики и подобные устройства. Стандарт не заменяет функциональное испытание продукта, если это не оговорено специально.

Ключевые темы и требования

• Оценка уязвимостей и известных образцов вредоносного ПО; обнаружение слабых мест в ПО и бинарных компонентах.
• Требования к управлению риском в продукте: анализ угроз, оценка риска, обоснование исключений и мер смягчения.
• Многоуровневая модель оценки: L1 (базовая проверка), L2 (углублённая с учётом внутренних контролей), L3 (включая процессы производителя и управление жизненным циклом).
• Тестовые методы: fuzz-тестирование, структурированное тестирование на проникновение, статический/динамический анализ, проверка управления обновлениями и отката, логирование и мониторинг событий безопасности.
• Жизненный цикл продукта: требования к обновлениям, управлению компонентами/поставщикам, деактивации и очистке данных при выводе из эксплуатации.
• Сопоставимость с другими рамками и возможная интеграция мер (например, сопоставление с UL 2900-1, IEC/ISO и рекомендациями регуляторов).

Применение и пользователи

Основные пользователи стандарта — производители и разработчики оборудования и ПО для физической безопасности и систем оповещения, интеграторы систем, тестирующие и сертифицирующие организации, а также службы закупок и организации здравоохранения/безопасности, использующие сертификаты при оценке поставщиков. Регуляторы и уполномоченные органы (включая примеры ссылок регуляторов на UL 2900 в ряде юрисдикций) используют стандарт как справочный/оценочный документ при рассмотрении кибертребований.

Связанные стандарты

UL 2900-2-3 является частью семейства UL 2900; тесно взаимосвязан с базовым UL 2900-1 и отраслевыми частями (например, UL 2900-2-1 для медицинских/wellness-устройств, UL 2900-2-2 для промышленных компонентов). Для комплементарной практики часто применяют IEC 62443 (промышленная автоматизация), ETSI EN 303 645 (IoT) и руководства NIST/регуляторов для управления рисками и разработки безопасного ПО.

Ключевые слова

кибераудит, уязвимости, тестирование на проникновение, fuzz-тестирование, жизненный цикл продукта, управление рисками, системы сигнализации, физическая безопасность, UL 2900, L1 L2 L3.

FAQ

В: Что это за стандарт?

О: UL 2900-2-3 — часть серии стандартов UL 2900, посвящённая кибербезопасности программного обеспечения для сетевых компонентсов и устройств систем безопасности и оповещения. Документ задаёт тестируемые критерии и требования для оценки уязвимостей и контроля рисков.

В: Что он регулирует?

О: Он не «регулирует» законодательно, но устанавливает тестируемые критерии и практические требования для оценки и сертификации кибербезопасности продуктов. Охватывает процедуры тестирования, управление риском, требования по логированию, обновлениям и защите от известных вредоносных программ.

В: Кто обычно использует?

О: Производители оборудования и ПО для физической безопасности, интеграторы, лаборатории тестирования и сертификации, заказчики из инфраструктуры и учреждений, а также регуляторы и закупочные отделы для оценки соответствия поставщиков.

В: Он актуален или заменён?

О: Базовая редакция Ed.1 была опубликована 31 января 2020; документ проходил пересмотры и в 2023 году были опубликованы обновления/редлайн‑версии и регистрация в ANSI/CAN. На момент последней официальной регистрации/обновления стандарт считается действующим; при подготовке к сертификации рекомендуется использовать актуальную редакцию и проверять наличие дополнительных правок.

В: Это часть серии?

О: Да — UL 2900-2-3 входит в семейство UL 2900 (с общей базовой частью UL 2900-1 и другими отраслевыми частями, такими как 2-1 и 2-2), которые вместе формируют программу UL Cybersecurity Assurance.

В: Какие ключевые слова?

О: кибербезопасность, сетевые продукты, системы сигнализации, уязвимости, вредоносное ПО, тестирование на проникновение, управление рисками, жизненный цикл, UL 2900.