UL 2900
La serie de estándares UL 2900, a menudo referida como el Marco UL 2900, fue desarrollada por Underwriters Laboratories (UL) para proporcionar una base para evaluar y certificar la seguridad de los productos conectados. Esta serie se centra en la evaluación de las vulnerabilidades y debilidades del software en dispositivos conectables a la red, considerando tanto el producto como el entorno organizacional.
Solicite una demostración de Secureframe Custom FrameworksDefinición y propósito
El objetivo principal del Marco UL 2900 es proporcionar criterios comprehensivos y consistentes para evaluar las medidas de ciberseguridad implementadas en productos y sistemas conectables a la red. Al ofrecer un conjunto de criterios estandarizados, el marco ayuda a las organizaciones a incorporar seguridad en sus productos desde el principio y garantiza que los consumidores y las empresas puedan confiar en los productos conectados que usan.
Organismo rector
El organismo rector de la serie UL 2900 es Underwriters Laboratories (UL), una empresa global de certificación de seguridad.
Última actualización
La edición más reciente fue publicada en julio de 2017.
Aplica a
El Marco UL 2900 está diseñado para ser aplicable a todos los dispositivos conectables a la red en diversas industrias. Existen ediciones específicas adaptadas para ciertos sectores, tales como:
- UL 2900-1: Requisitos generales aplicables a todos los dispositivos conectables a la red.
- UL 2900-2-1: Requisitos específicos para componentes conectables a la red de sistemas de salud y bienestar.
- UL 2900-2-2: Requisitos específicos para sistemas de control industrial.
Controles y requisitos
La serie UL 2900 generalmente cubre áreas como:
- Evaluación de Debilidades del Software: Identificación de vulnerabilidades de software conocidas.
- Confidencialidad del Sistema de Control y de los Datos: Protección de la integridad y confidencialidad de los datos.
- Actualizaciones de Software y Firmware: Garantizar la seguridad durante todo el ciclo de vida del producto.
- Autenticación y Control de Acceso: Restringir el acceso no autorizado.
- Perímetro(s) de Seguridad Electrónica: Implementación de zonas y conductos de seguridad.
- Documentación del Producto: Proporcionar la información necesaria a los usuarios para una implementación segura.
La norma también implica evaluaciones como pruebas de penetración, evaluaciones de riesgos y análisis de posibles vulnerabilidades de seguridad.
Por favor, consulte la documentación oficial UL 2900 para obtener una lista detallada de controles y requisitos.
Tipo de auditoría, frecuencia y duración
La evaluación y prueba según la serie UL 2900 implica tanto la evaluación de la documentación como pruebas prácticas del producto real para determinar si cumple con los criterios enumerados.
Una vez que un producto logra la certificación UL 2900, puede haber evaluaciones de seguimiento para garantizar el cumplimiento continuo, especialmente si hay cambios significativos en el producto. La frecuencia exacta puede determinarse según el acuerdo entre UL y el fabricante del producto.
La duración de la auditoría varía según la complejidad del producto, la extensión de sus características conectables a la red y los requisitos específicos de la edición UL 2900 que se esté aplicando. La evaluación podría variar de semanas a meses.