Открытый стандарт доверенного поставщика технологий - Open Trusted Technology Provider Standard
Поставщик открытых надежных технологий™ Стандарт (O-TTPS) (Защита от вредоносных программ и контрафактной продукции) является эталоном Открытая группа который также был одобрен для публикации в качестве Информационные технологии стандарт Международная организация по стандартизации и Международная электротехническая комиссия через ISO / IEC JTC 1 и теперь также известен как ISO / IEC 20243: 2015.[1] Стандарт состоит из набора руководящих принципов, требований и рекомендаций, которые соответствуют лучшие практики для глобального безопасность цепочки поставок и целостность коммерческая готовая (COTS) информационные и коммуникационные технологии (ИКТ) продукты.[2][3] В настоящее время он находится в версии 1.1.[4][5] Опубликован также китайский перевод.[6]
Фон
Протокол O-TTPS был разработан в ответ на меняющийся ландшафт и возросшую изощренность атак кибербезопасности во всем мире.[7] Цель состоит в том, чтобы помочь поставщикам создавать качественные продукты и дать своим клиентам больше уверенности в технологических продуктах, которые они покупают.[8] Организации частного и государственного секторов в значительной степени полагаются на продукты COTS ICT для своей деятельности. Эти продукты часто производятся во всем мире, а разработка и производство ведутся на разных площадках в разных странах.[9] O-TTPS разработан для снижения риска поддельных и испорченных компонентов, а также для обеспечения целостности продукта и безопасности цепочки поставок на протяжении всего жизненного цикла продукта.[10][11]
Форум доверенных технологий Open Group (OTTF) - это независимый от поставщиков международный форум, который использует формальный процесс на основе консенсуса для сотрудничества и принятия решений о создании стандартов и программ сертификации для информационных технологий, включая O-TTPS.[12] На форуме поставщики, интеграторы и дистрибьюторы ИКТ работают с организациями и правительствами над разработкой стандартов, определяющих безопасные методы проектирования и производства, а также методы обеспечения безопасности цепочки поставок.[13]
Руководство по использованию открытых доверенных поставщиков технологий в цепочке поставок[14] обеспечивает сопоставление между Национальный институт стандартов и технологий (NIST) Структура кибербезопасности[15] и соответствующие организационные методы, перечисленные в O-TTPS. NIST сослался на O-TTPS в своей специальной публикации NIST 800-161 «Практики управления рисками цепочки поставок для федеральных информационных систем и организаций», которая содержит рекомендации для федеральных агентств по выявлению, оценке и снижению рисков цепочки поставок ИКТ на всех уровнях их организаций.[16]
Цель
Стандарт, разработанный отраслевыми экспертами в рамках Форума, определяет организационные методы, которые обеспечивают защиту от злонамеренно испорченных и поддельных продуктов на протяжении всего жизненного цикла продукта COTS ICT.[17] Жизненный цикл, описанный в стандарте, включает следующие фазы: проектирование, поиск поставщиков, построение, выполнение, распространение, поддержание и утилизация.
Измерение и сертификация
Организации могут быть сертифицированы на соответствие стандарту через Программу аккредитации доверенных поставщиков технологий Open Group.[18] Соответствие стандарту оценивается признанными независимыми оценщиками.[19] После того, как организация была успешно оценена как соответствующая стандарту, она публикуется в Реестре аккредитации Open Group.[20] Процесс оценки третьей стороной регулируется Политикой аккредитации и процедурами оценки.[21]
История
Работа по созданию стандарта началась в январе 2010 года со встречи, организованной Open Group с участием крупных представителей отрасли и Министерство обороны США и НАСА. Открытый форум доверенных технологий был официально учрежден в декабре 2010 года с целью разработки отраслевых стандартов и повышения безопасности глобальных цепочек поставок и целостности продуктов COTS ICT.[22]
Первой публикацией форума был технический документ, описывающий общую структуру Trusted Technology Framework в 2010 году.[23] Технический документ был широко сфокусирован на общих передовых методах, которым следуют хорошие коммерческие организации при создании и поставке своих продуктов COTS ICT. В конце 2010 - начале 2011 года этот широкий фокус был сужен для устранения наиболее серьезных угроз контрафактной и злонамеренно испорченной продукции, в результате чего O-TTPS сосредоточен именно на этих угрозах.
Первая версия O-TTPS была опубликована в апреле 2013 года.[24] Версия 1.1 стандарта O-TTPS была опубликована в июле 2014 года.[4] Эта версия была утверждена ISO / IEC в 2015 году как ISO / IEC 20243: 2015.
Программа аккредитации O-TTPS началась в феврале 2014 года. IBM была первой компанией, получившей аккредитацию на соответствие стандарту.[25]
Стандарт и программа аккредитации были упомянуты в показаниях Конгрессу США относительно рисков в цепочке поставок и кибербезопасности.[26][27] В Закон о разрешении на национальную оборону на 2016 финансовый год Раздел 888 (Стандарты закупок защищенных информационных технологий и систем кибербезопасности) требует, чтобы Министр обороны США провести оценку O-TTPS или аналогичных государственных стандартов открытых технологий и отчитаться перед Комитеты по вооруженным силам из Сенат США и Палата представителей США В течение года.[28]
Смотрите также
- Безопасность цепочки поставок
- Поддельные электронные компоненты
- Международная организация по стандартизации
- Коммерческие готовые
- информационные и коммуникационные технологии
Рекомендации
- ^ «ISO / IEC 20243: 2015». ISO.org. ISO.org. Получено 24 сентября 2015.
- ^ Бартол, Надя (23 мая 2016 г.). «ДНК практик безопасности киберпоставок - разгадывать головоломку с помощью разнообразного набора дисциплин». Техновация. 34 (7): 354–361. Дои:10.1016 / j.technovation.2014.01.005.
- ^ Уитмен, Дэйв (март 2015 г.). «Кибербезопасность в цепочках поставок». В Леклере, Джейн; Кили, Грегори (ред.). Кибербезопасность в нашей цифровой жизни. Hudson Whitman Excelsior College Press. ISBN 978-0-9898451-4-4.
- ^ а б «Публикационная библиотека Open Group». opengroup.org. Открытая группа. Получено 22 июн 2015.
- ^ «ISO / IEC 20243: 2015 - Информационные технологии - Стандарт открытого надежного поставщика технологий (O-TTPS) - Защита от злонамеренно испорченных и поддельных продуктов». ISO. Получено 2016-05-23.
- ^ «Стандарт открытого поставщика доверенных технологий 1.1 (китайский)». Библиотека публикаций Open Group. Открытая группа. Получено 6 июн 2016.
- ^ «Безопасность цепочки поставок ИТ: обзор усилий правительства и отрасли». Палата представителей США.
- ^ Мессмер, Эллен. «Министерству обороны нужна безопасная глобальная цепочка поставок высоких технологий». networkworld.com. IDG (Международная группа данных). Получено 30 марта 2015.
- ^ Леннон, Майк (9 марта 2012 г.). «USCC публикует отчет о возможностях Китая для киберопераций и кибершпионажа». Неделя безопасности (9 марта 2012 г.). Проводные деловые СМИ. Получено 25 января 2016.
- ^ «Кибербезопасность: исследование цепочки поставок средств связи (свидетельские показания перед Комитетом по энергетике и торговле подкомитетом по связи и технологиям Палаты представителей США») (PDF). Совет индустрии информационных технологий. Получено 24 сентября 2015.
- ^ Принц, Брайан (5 марта 2012 г.). «Консорциум продвигает стандарты безопасности для цепочки поставок технологий». SecurityWeek (5 марта 2012 г.). Проводные деловые СМИ. Получено 25 января 2016.
- ^ "Членство". opengroup.org.
- ^ "Форум доверенных технологий Open Group". opengroup.org. Открытая группа. Получено 11 мая 2015.
- ^ «Руководство по использованию открытых доверенных поставщиков технологий в цепочке поставок». Ресурсы отрасли кибербезопасности NIST.Gov. Открытая группа. Получено 24 сентября 2015.
- ^ «Структура кибербезопасности». NIST.Gov. NIST.Gov. Получено 24 сентября 2015.
- ^ Бойенс, Джон (апрель 2015 г.). «Практика управления рисками цепочки поставок для федеральных информационных систем и организаций». Национальный институт технологий и стандартов. Дои:10.6028 / NIST.SP.800-161. Цитировать журнал требует
| журнал =
(помощь) - ^ «Краткое изложение свидетельских показаний Open Group на слушаниях подкомитета по надзору в сфере энергетики и торговли и расследованиям по безопасности цепочки поставок ИТ: обзор усилий правительства и отрасли» (PDF). Energycommerce.house.gov. Конгресс США. Получено 6 июн 2016.
- ^ «Программа аккредитации открытых групп». Открытая группа. Открытая группа. Получено 22 июн 2015.
- ^ «Реестр признанных экспертов». opengroup.org. Открытая группа. Получено 11 мая 2015.
- ^ "Реестр надежных технологий Open Group". Открытая группа. Открытая группа. Получено 22 июн 2015.
- ^ «Политика аккредитации Open Trusted Technology Provider ™ Standard (O-TTPS)» (PDF). Открытая группа. Открытая группа. Получено 25 января 2016.
- ^ «Open Group объявляет о создании форума надежных технологий для определения передовых методов обеспечения безопасности глобальной цепочки поставок технологий». opengroup.org. Открытая группа. Получено 16 апреля 2015.
- ^ «Open Trusted Technology Framework». opengroup.org. Открытая группа. Получено 13 апреля, 2015.
- ^ «О-ТТПС». opengroup.org. Открытая группа. Получено 11 мая 2015.
- ^ «IBM Secure Engineering». ibm.com. IBM Corp. Получено 13 апреля 2015.
- ^ «Комитет по энергетике и торговле, Палата представителей США». Комитет Палаты представителей США по энергетике и торговле. Получено 13 апреля 2015.
- ^ "Сенат США, коммерческая наука и транспорт". Сенат США. Получено 13 апреля 2015.
- ^ «Закон о разрешении на национальную оборону на 2016 финансовый год (S. 1356)». GovTrack.us. Получено 2016-05-23.
внешняя ссылка
- http://csrc.nist.gov/scrm/references.html
- http://www.afcea.org/committees/cyber/documents/Supplychain.pdf
- http://www.networkworld.com/article/2196759/malware-cybercrime/defense-department-wants-secure--global-high-tech-supply-chain.html
- http://www.computerworlduk.com/news/security/3343185/the-open-group-previews-o-ttps-security-standard-for-supply-chains/
- http://www.opengroup.org/subjectareas/trusted-technology
- http://www.infoworld.com/article/2613780/supply-chain-management/supply-chain-2013--stop-playing-whack-a-mole-with-security-threats.html
- http://washingtontechnology.com/microsites/2012/sewp-2012/04-program-office-takes-leadership-role.aspx
- https://www.dhs.gov/news/2011/01/06/securing-global-supply-chain
- http://blogs.ca.com/2013/04/12/the-launch-of-the-open-trusted-technology-provider-standard/?intcmp=searchresultclick&resultnum=1