stringtranslate.com

Открытый стандарт поставщика доверенных технологий

Стандарт Open Trusted Technology Provider (O-TTPS) ( Mitigating Maliciously Tainted and Counterfeit Products ) — это стандарт Open Group , который также был одобрен для публикации в качестве стандарта информационных технологий Международной организацией по стандартизации и Международной электротехнической комиссией через ISO/IEC JTC 1 и теперь также известен как ISO/IEC 20243:2015. [1] Стандарт состоит из набора руководящих принципов, требований и рекомендаций, которые соответствуют передовой практике обеспечения безопасности глобальной цепочки поставок и целостности коммерческих готовых (COTS) информационно-коммуникационных технологий (ИКТ). [2] [3] В настоящее время он находится в версии 1.1. [4] [5] Также был опубликован перевод на китайский язык. [6]

Фон

O-TTPS был разработан в ответ на меняющийся ландшафт и возросшую сложность кибератак во всем мире. [7] Цель состоит в том, чтобы помочь поставщикам создавать продукты с целостностью и дать возможность их клиентам быть более уверенными в технологических продуктах, которые они покупают. [8] Частные и государственные организации в значительной степени полагаются на продукты COTS ICT для ведения своей деятельности. Эти продукты часто производятся по всему миру, а разработка и производство осуществляются на разных площадках в разных странах. [9] O-TTPS разработан для снижения риска поддельных и испорченных компонентов и для обеспечения целостности продукта и безопасности цепочки поставок на протяжении всего жизненного цикла продукта. [10] [11]

Форум доверенных технологий Open Group (OTTF) — это нейтральный по отношению к поставщикам международный форум, который использует формальный процесс на основе консенсуса для сотрудничества и принятия решений о создании стандартов и программ сертификации для информационных технологий, включая O-TTPS. [12] На форуме поставщики, интеграторы и дистрибьюторы ИКТ работают с организациями и правительствами для разработки стандартов, которые определяют безопасные методы проектирования и производства, а также практики безопасности цепочки поставок. [13]

Руководство по внедрению использования открытых доверенных поставщиков технологий в цепочке поставок [14] обеспечивает сопоставление между Национальным институтом стандартов и технологий (NIST) Cybersecurity Framework [15] и соответствующими организационными практиками, перечисленными в O-TTPS. NIST ссылается на O-TTPS в своей Специальной публикации NIST 800-161 «Практики управления рисками в цепочке поставок для федеральных информационных систем и организаций», которая содержит руководство для федеральных агентств по выявлению, оценке и снижению рисков в цепочке поставок ИКТ на всех уровнях их организаций. [16]

Цель

Стандарт, разработанный отраслевыми экспертами Форума, определяет организационные практики, которые обеспечивают гарантии против вредоносных и поддельных продуктов на протяжении всего жизненного цикла COTS ICT-продукта. [17] Жизненный цикл, описанный в стандарте, охватывает следующие фазы: проектирование, снабжение, сборка, выполнение, распространение, поддержание и утилизация.

Измерение и сертификация

Организации могут быть сертифицированы на соответствие стандарту через Программу аккредитации доверенных поставщиков технологий Open Group. [18] Соответствие стандарту оценивается признанными сторонними оценщиками. [19] После того, как организация успешно прошла оценку на соответствие стандарту, она публично включается в Реестр аккредитации Open Group. [20] Процесс оценки третьей стороной регулируется Политикой аккредитации и процедурами оценки. [21]

История

Работа по созданию стандарта началась в январе 2010 года со встречи, организованной The Open Group и включавшей в себя представителей основных отраслей, а также Министерства обороны США и NASA . Форум Open Trusted Technology был официально запущен в декабре 2010 года для разработки отраслевых стандартов и повышения безопасности глобальных цепочек поставок и целостности продуктов COTS ICT. [22]

Первой публикацией Форума был официальный документ, описывающий общую структуру Trusted Technology Framework в 2010 году. [23] Официальный документ был в целом сосредоточен на общих передовых практиках, которым следуют хорошие коммерческие организации при создании и поставке своих COTS ICT-продуктов. Этот широкий фокус был сужен в конце 2010 и начале 2011 года для решения наиболее серьезных угроз контрафактной и вредоносной продукции, что привело к появлению O-TTPS, который фокусируется конкретно на этих угрозах.

Первая версия O-TTPS была опубликована в апреле 2013 года. [24] Версия 1.1 стандарта O-TTPS была опубликована в июле 2014 года. [4] Эта версия была одобрена ISO/IEC в 2015 году как ISO/IEC 20243:2015.

Программа аккредитации O-TTPS началась в феврале 2014 года. IBM стала первой компанией, получившей аккредитацию на соответствие стандарту. [25]

Стандарт и программа аккредитации были упомянуты в показаниях, представленных Конгрессу США относительно рисков цепочки поставок и кибербезопасности. [26] [27] Закон о национальной обороне на 2016 финансовый год, раздел 888 (Стандарты закупки защищенных информационных технологий и систем кибербезопасности), требует, чтобы министр обороны США провел оценку O-TTPS или аналогичных публичных, открытых технологических стандартов и представил отчет в Комитеты по вооруженным силам Сената США и Палаты представителей США в течение года. [28]

Смотрите также

Ссылки

  1. ^ "ISO/IEC 20243:2015". ISO.org . ISO.org . Получено 24 сентября 2015 г. .
  2. ^ Бартол, Надя (23 мая 2016 г.). «Практики обеспечения безопасности цепочки поставок в киберпространстве DNA – Заполнение головоломки с использованием разнообразного набора дисциплин». Technovation . 34 (7): 354–361. doi :10.1016/j.technovation.2014.01.005.
  3. ^ Уитман, Дэйв (март 2015 г.). «Кибербезопасность в цепочках поставок». В LeClair, Jane; Keeley, Gregory (ред.). Кибербезопасность в нашей цифровой жизни . Hudson Whitman Excelsior College Press. ISBN 978-0-9898451-4-4.
  4. ^ ab "Библиотека публикаций Open Group". opengroup.org . The Open Group . Получено 22 июня 2015 г. .
  5. ^ "ISO/IEC 20243:2015 - Информационные технологии - Стандарт Open Trusted Technology ProviderTM (O-TTPS) - Смягчение последствий вредоносных и поддельных продуктов". ISO . Получено 23.05.2016 .
  6. ^ "Open Trusted Technology Provider Standard 1.1 (китайский)". Библиотека публикаций Open Group . The Open Group . Получено 6 июня 2016 г.
  7. ^ «Безопасность цепочки поставок ИТ: обзор усилий правительства и отрасли». Палата представителей США.
  8. ^ Мессмер, Эллен. «Министерство обороны хочет безопасную, глобальную высокотехнологичную цепочку поставок». Network World . IDG (International Data Group) . Получено 30 марта 2015 г.
  9. ^ Леннон, Майк (9 марта 2012 г.). «USCC выпускает отчет о возможностях Китая в области киберопераций и кибершпионажа». Security Week . № 9 марта 2012 г. Wired Business Media . Получено 25 января 2016 г.
  10. ^ «Кибербезопасность: исследование цепочки поставок коммуникаций (показания перед Комитетом по энергетике и торговле, Подкомитетом по коммуникациям и технологиям Палаты представителей США» (PDF) . Совет по информационным технологиям . Получено 24 сентября 2015 г. .
  11. Принс, Брайан (5 марта 2012 г.). «Консорциум продвигает стандарты безопасности для цепочки поставок технологий». SecurityWeek . № 5 марта 2012 г. Wired Business Media . Получено 25 января 2016 г.
  12. ^ "Членство". opengroup.org.
  13. ^ "Форум доверенных технологий Open Group". opengroup.org . The Open Group . Получено 11 мая 2015 г. .
  14. ^ "Руководство по внедрению использования открытых доверенных поставщиков технологий в цепочке поставок". Ресурсы отрасли кибербезопасности NIST.Gov . The Open Group . Получено 24 сентября 2015 г.
  15. ^ "Cybersecurity Framework". NIST.Gov . NIST.Gov . Получено 24 сентября 2015 г. .
  16. ^ Бойенс, Джон (апрель 2015 г.). «Практики управления рисками цепочки поставок для федеральных информационных систем и организаций». Национальный институт технологий и стандартов. doi : 10.6028/NIST.SP.800-161 . {{cite journal}}: Цитировать журнал требует |journal=( помощь )
  17. ^ «Резюме показаний The Open Group на слушаниях Подкомитета по надзору и расследованиям в энергетике и торговле Палаты представителей по безопасности цепочки поставок ИТ: обзор усилий правительства и отрасли» (PDF) . Energycommerce.house.gov . Конгресс США . Получено 6 июня 2016 г. .
  18. ^ "Программа аккредитации Open Group". Open Group . Open Group . Получено 22 июня 2015 г. .
  19. ^ "Recognized Assessor Register". opengroup.org . The Open Group . Получено 11 мая 2015 г. .
  20. ^ "Open Group's Trusted Technology Register". The Open Group . The Open Group . Получено 22 июня 2015 г. .
  21. ^ "Политика аккредитации Open Trusted Technology Provider Standard (O-TTPS)" (PDF) . The Open Group . The Open Group . Получено 25 января 2016 г. .
  22. ^ "The Open Group объявляет о создании форума Trusted Technology Forum для выявления лучших практик обеспечения безопасности глобальной цепочки поставок технологий". opengroup.org . Open Group . Получено 16 апреля 2015 г. .
  23. ^ "Open Trusted Technology Framework". opengroup.org . The Open Group . Получено 13 апреля 2015 г. .
  24. ^ "O-TTPS". opengroup.org . The Open Group . Получено 11 мая 2015 г. .
  25. ^ "IBM Secure Engineering". ibm.com . IBM Corp. Архивировано из оригинала 11 апреля 2015 г. Получено 13 апреля 2015 г.
  26. ^ "Комитет по энергетике и торговле, Палата представителей США". Комитет по энергетике и торговле Палаты представителей США . Получено 13 апреля 2015 г.
  27. ^ "US Senate Commerce Science & Transportation". Сенат США . Получено 13 апреля 2015 г.
  28. ^ "Закон о национальной обороне на 2016 финансовый год (S. 1356)". GovTrack.us . Получено 23.05.2016 .

Внешние ссылки