UL 2900
Die UL 2900-Serie von Normen, oft als UL 2900 Framework bezeichnet, wurde von Underwriters Laboratories (UL) entwickelt, um eine Grundlage für die Bewertung und Zertifizierung der Sicherheit vernetzter Produkte zu schaffen. Diese Serie konzentriert sich auf die Bewertung von Software-Schwachstellen und Schwächen in netzwerkfähigen Geräten, wobei sowohl das Produkt als auch das organisatorische Umfeld berücksichtigt werden.
Fordern Sie eine Demo der Secureframe Custom Frameworks anDefinition und Zweck
Das Hauptziel des UL 2900 Frameworks besteht darin, umfassende und konsistente Kriterien für die Bewertung der implementierten Cybersecurity-Maßnahmen in netzwerkfähigen Produkten und Systemen bereitzustellen. Durch das Angebot einer Reihe standardisierter Kriterien unterstützt das Framework Organisationen dabei, von Anfang an Sicherheit in ihre Produkte zu integrieren und sicherzustellen, dass Verbraucher und Unternehmen den vernetzten Produkten, die sie verwenden, vertrauen können.
Gremienorganisation
Die Gremienorganisation für die UL 2900-Serie ist Underwriters Laboratories (UL), ein globales Sicherheitszertifizierungsunternehmen.
Zuletzt aktualisiert
Die neueste Ausgabe wurde im Juli 2017 veröffentlicht.
Gilt für
Das UL 2900 Framework soll für alle netzwerkfähigen Geräte in verschiedenen Branchen anwendbar sein. Es gibt spezifische Ausgaben, die auf bestimmte Sektoren zugeschnitten sind, wie:
- UL 2900-1: Allgemeine Anforderungen, die für alle netzwerkfähigen Geräte gelten.
- UL 2900-2-1: Spezifische Anforderungen für netzwerkfähige Komponenten von Gesundheits- und Wellnesssystemen.
- UL 2900-2-2: Spezifische Anforderungen für Industrie-Steuerungssysteme.
Kontrollen und Anforderungen
Die UL 2900-Serie deckt in der Regel Bereiche ab wie:
- Evaluation von Software-Schwächen: Identifizierung bekannter Software-Schwachstellen.
- Kontrollsystem und Datensicherheit: Schutz der Datenintegrität und Vertraulichkeit.
- Software- und Firmware-Updates: Gewährleistung der Sicherheit während des gesamten Produktlebenszyklus.
- Authentifizierung und Zugriffskontrolle: Einschränkung des unbefugten Zugriffs.
- Elektronische Sicherheitsperimeter(e): Umsetzung von Sicherheitszonen und -kanälen.
- Produktdokumentation: Bereitstellung der notwendigen Informationen für Benutzer für eine sichere Implementierung.
Die Norm beinhaltet auch Bewertungen wie Penetrationstests, Risikobewertungen und Analysen potenzieller Sicherheitslücken.
Bitte beachten Sie die offizielle UL 2900 Dokumentation für eine detaillierte Liste der Kontrollen und Anforderungen.
Prüfungsart, Häufigkeit und Dauer
Bewertung und Prüfung gemäß der UL 2900-Serie umfassen sowohl die Bewertung der Dokumentation als auch praktische Tests des tatsächlichen Produkts, um festzustellen, ob es die aufgeführten Kriterien erfüllt.
Sobald ein Produkt die UL 2900-Zertifizierung erreicht, können Folgeüberprüfungen durchgeführt werden, um die fortlaufende Einhaltung sicherzustellen, insbesondere wenn es wesentliche Änderungen am Produkt gibt. Die genaue Häufigkeit kann auf der Grundlage der Vereinbarung zwischen UL und dem Hersteller des Produkts bestimmt werden.
Die Dauer des Audits variiert je nach Komplexität des Produkts, dem Umfang seiner netzwerkfähigen Funktionen und den spezifischen Anforderungen der angewendeten UL 2900-Version. Die Bewertung kann von Wochen bis zu Monaten dauern.