1. Главная
  2. Стандарты Туркменистана
  3. TDS
  4. Ст UL 2900-1 2023-04

UL 2900-1 2023-04 PDF

Ст UL 2900-1 2023-04

Название на английском:
St UL 2900-1 2023-04

Название на русском:
Ст UL 2900-1 2023-04

Описание на русском:

Оригинальный стандарт UL 2900-1 2023-04 в PDF полная версия. Дополнительная инфо + превью по запросу

Описание на английском:
Original standard UL 2900-1 2023-04 in PDF full version. Additional info + preview on request
Статус документа:
Действующий
Формат:
Электронный (PDF)
Срок поставки (английская версия):
1 рабочий день
Срок поставки (русская версия):
250 рабочих дня(ей)
Артикул (SKU):
Stul1272
Выберите версию документа:
4 200 руб.

Полное наименование и описание

ANSI/CAN/UL 2900-1:2023 — «Software Cybersecurity for Network-Connectable Products, Part 1: General Requirements». Стандарт устанавливает общие требования по оценке и тестированию защищённости программного обеспечения сетевых подключаемых изделий на предмет уязвимостей, программных слабых мест и вредоносного ПО, а также требования к процессу управления рисками со стороны разработчика и к архитектурным средствам защиты.

Аннотация

Стандарт задаёт процедуру и критерии для проведения оценки кибербезопасности сетевых изделий: требования к жизненному циклу разработки ПО, методы тестирования (включая сканирование уязвимостей и динамическое тестирование), критерии наличия архитектурных средств управления рисками и рекомендации по обнаружению/удалению вредоносного ПО. UL 2900-1 не регламентирует функциональные испытания аппаратуры и не содержит требований к аппаратной части изделия.

Общая информация

  • Статус: Действующий стандарт (active / current).
  • Дата публикации: редакция 2 опубликована UL 14 апреля 2023 г.; принята в виде ANSI/CAN/UL 2900-1:2023 в декабре 2023 г. (ANSI publication December 13, 2023).
  • Организация-издатель: Underwriters Laboratories (UL / UL Standards & Engagement).
  • ICS / категории: примерные классификации — 35.030; 35.110; 35.240.50 (кибербезопасность ПО и связанных систем).
  • Редакция / версия: Edition 2 (обновлённая редакция 2023), формализованная как ANSI/CAN/UL 2900-1:2023.
  • Количество страниц: около 33–34 страниц в зависимости от издания/формата (публикации UL / поставщики стандартов указывают 33–34 стр.).

Область применения

Стандарт применяется к сетевым подключаемым изделиям (network‑connectable products) любых отраслей, подлежащим оценке на предмет уязвимостей, программных слабых мест и обнаружения вредоносного ПО. Он ориентирован на проверку мер безопасности программного обеспечения и архитектуры изделия, а также на оценку процессов управления рисками у поставщика/разработчика; не предназначен для тестирования функциональной безопасности аппаратуры или проверки корректности функциональных возможностей.

Ключевые темы и требования

  • Управление рисками безопасности программного обеспечения у производителя (процессы, документация, реакция на уязвимости и патч‑менеджмент).
  • Методы оценки: статический и динамический анализ, сканирование уязвимостей, тестирование на присутствие вредоносного ПО, испытания безопасности интерфейсов и коммуникаций.
  • Требования к архитектурным средствам контроля рисков: аутентификация, управление доступом, защита каналов связи, целостность и обновляемость ПО.
  • Критерии оценки результатов тестирования и требования к отчётности по уязвимостям и их устранению.
  • Интеграция подходов «security by design» и процедура отслеживания жизненного цикла ПО (включая управление зависимостями и сторонними компонентами).

Применение и пользователи

UL 2900-1 полезен производителям встраиваемых/промышленного/потребительского ПО и устройств IoT, поставщикам медицинских и промышленно‑технологических изделий, тестовым лабораториям, аккредитованным органам сертификации, и заказчикам (закупщикам, регуляторам), которые требуют подтверждения киберустойчивости сетевых продуктов. Также стандарт применяется в программе оказания услуг UL (CAP) для сертификации и оценки изделий.

Связанные стандарты

UL 2900-1 является частью серии UL 2900 (включая части для отраслей, например UL 2900-2-1 для медицинских/wellness‑систем). В практике часто сопоставляют или дополняют требования UL 2900 с IEC 62443 (промышленные/OT‑системы), ISO/IEC 27001 (ISMS), NIST CSF и отраслевыми документами (например, IEC 81001‑5‑1 для медицинского ПО). UL Solutions и другие поставщики указывают на использование этих стандартов в комбинации при сертификации и оценках.

Ключевые слова

UL 2900-1; кибербезопасность ПО; network‑connectable products; vulnerability testing; secure development lifecycle; malware detection; risk management; UL CAP; IoT security.

FAQ

В: Что это за стандарт?

О: Это общий набор требований и методов оценки кибербезопасности программного обеспечения сетевых подключаемых изделий — ANSI/CAN/UL 2900-1:2023 (Part 1: General Requirements).

В: Что он регулирует?

О: Не регулирует функциональную безопасность или аппаратные характеристики; регламентирует требования к процессам разработчика, архитектурные контроли безопасности и конкретные методы тестирования изделий на уязвимости и вредоносное ПО.

В: Кто обычно использует?

О: Производители устройств и ПО, лаборатории и органы оценки/сертификации, специалисты по кибербезопасности, регуляторы и покупатели, требующие подтверждения защищённости сетевых продуктов.

В: Он актуален или заменён?

О: На момент публикации редакции 2 в 2023 году стандарт действующий; он обновляет и заменяет редакцию 2017 года (ANSI/CAN/UL 2900-1:2017). Рекомендуется проверять возможные последующие поправки и уведомления издателя.

В: Это часть серии?

О: Да — UL 2900 представляет собой серию стандартов по кибербезопасности сетевых изделий (части 2‑x посвящены отраслевым/специфичным требованиям, например UL 2900-2-1 для медицинских/wellness‑систем).

В: Какие ключевые слова?

О: кибербезопасность, уязвимости, malware, network‑connectable products, SDLC, риск‑менеджмент, тестирование безопасности, UL CAP.