Jump to content

Открытый стандарт поставщика доверенных технологий

    Add links

    Стандарт открытого доверенного поставщика технологий (O-TTPS) ( Устранение вредоносных и контрафактных продуктов ) — это стандарт The Open Group , который также был одобрен для публикации в качестве стандарта информационных технологий Международной организацией по стандартизации и Международной электротехнической комиссией через ISO/IEC JTC 1 , который теперь также известен как ISO/IEC 20243:2015. [1] Стандарт состоит из набора руководств, требований и рекомендаций, которые соответствуют передовым практикам обеспечения безопасности глобальной цепочки поставок и целостности коммерческих готовых (COTS) информационно-коммуникационных технологий (ИКТ). продуктов [2] [3] На данный момент это версия 1.1. [4] [5] Также был опубликован китайский перевод. [6]

    Фон

    [ редактировать ]

    O-TTPS был разработан в ответ на меняющуюся ситуацию и рост сложности атак на кибербезопасность во всем мире. [7] Цель состоит в том, чтобы помочь поставщикам создавать качественные продукты и дать возможность своим клиентам больше доверять технологическим продуктам, которые они покупают. [8] Организации частного и государственного сектора в своей деятельности в значительной степени полагаются на продукты ИКТ COTS. Эти продукты часто производятся по всему миру, при этом разработка и производство осуществляются на разных площадках в разных странах. [9] O-TTPS разработан для снижения риска использования контрафактных и испорченных компонентов, а также для обеспечения целостности продукта и безопасности цепочки поставок на протяжении всего жизненного цикла продукта. [10] [11]

    Форум надежных технологий Open Group (OTTF) — это международный форум, независимый от поставщиков, который использует формальный процесс, основанный на консенсусе, для сотрудничества и принятия решений о создании стандартов и программ сертификации для информационных технологий, включая O-TTPS. [12] На форуме поставщики, интеграторы и дистрибьюторы ИКТ работают с организациями и правительствами над разработкой стандартов, определяющих безопасные методы проектирования и производства, а также методы обеспечения безопасности цепочки поставок. [13]

    Руководство по внедрению использования открытых надежных поставщиков технологий в цепочке поставок [14] обеспечивает сопоставление между структурой кибербезопасности Национального института стандартов и технологий (NIST) [15] и соответствующие организационные практики, перечисленные в O-TTPS. NIST сослался на O-TTPS в своей специальной публикации NIST 800-161 «Практика управления рисками цепочки поставок для федеральных информационных систем и организаций», которая содержит рекомендации для федеральных агентств по выявлению, оценке и снижению рисков цепочки поставок ИКТ на всех уровнях их организаций. [16]

    Цель

    [ редактировать ]

    Стандарт, разработанный отраслевыми экспертами в рамках Форума, определяет организационные методы, обеспечивающие защиту от злонамеренно испорченных и контрафактных продуктов на протяжении всего жизненного цикла продукта COTS ICT. [17] Жизненный цикл, описанный в стандарте, включает в себя следующие этапы: проектирование, поиск, сборка, реализация, распространение, поддержка и утилизация.

    Измерение и сертификация

    [ редактировать ]

    Организации могут быть сертифицированы на соответствие стандарту в рамках Программы аккредитации надежных поставщиков технологий Open Group. [18] Соответствие стандарту оценивается признанными сторонними оценщиками. [19] После того как организация успешно оценена как соответствующая стандарту, она публично вносится в реестр аккредитации Открытой группы. [20] Процесс оценки третьей стороной регулируется Политикой аккредитации и процедурами оценки. [21]

    История

    [ редактировать ]

    Работа над созданием стандарта началась в январе 2010 года со встречи, организованной The Open Group, на которой присутствовали крупные представители отрасли, а также Министерство обороны США и НАСА . Форум открытых надежных технологий был официально запущен в декабре 2010 года с целью разработки отраслевых стандартов, повышения безопасности глобальных цепочек поставок и целостности ИКТ-продуктов COTS. [22]

    Первой публикацией Форума стал официальный документ, описывающий общую структуру доверенных технологий в 2010 году. [23] В информационном документе основное внимание было уделено общим передовым практикам, которым следуют хорошие коммерческие организации при создании и поставке своих COTS-продуктов ИКТ. В конце 2010 — начале 2011 года этот широкий фокус был сужен для устранения наиболее заметных угроз, связанных с контрафактной и вредоносно испорченной продукцией, в результате чего был создан O-TTPS, который фокусируется конкретно на этих угрозах.

    Первая версия O-TTPS была опубликована в апреле 2013 года. [24] Версия 1.1 стандарта O-TTPS была опубликована в июле 2014 года. [4] Эта версия была одобрена ISO/IEC в 2015 году как ISO/IEC 20243:2015.

    Программа аккредитации O-TTPS началась в феврале 2014 года. IBM была первой компанией, получившей аккредитацию на соответствие стандарту. [25]

    Стандарт и программа аккредитации были упомянуты в показаниях, представленных Конгрессу США относительно рисков в цепочке поставок и кибербезопасности. [26] [27] Раздел 888 Закона о полномочиях национальной обороны на 2016 финансовый год (Стандарты закупок безопасных информационных технологий и систем кибербезопасности) требует, чтобы министр обороны США провел оценку O-TTPS или аналогичных общедоступных стандартов открытых технологий и отчитался перед Министерством обороны США. Комитеты по вооруженным силам Сената США и Палаты представителей США в течение года. [28]

    См. также

    [ редактировать ]

    Ссылки

    [ редактировать ]
    1. ^ «ИСО/МЭК 20243:2015» . ISO.org . ISO.org . Проверено 24 сентября 2015 г.
    2. ^ Бартол, Надя (23 мая 2016 г.). «ДНК практик кибербезопасности цепочки поставок - решение головоломки с использованием разнообразного набора дисциплин». Техновация . 34 (7): 354–361. doi : 10.1016/j.technovation.2014.01.005 .
    3. ^ Уитмен, Дэйв (март 2015 г.). «Кибербезопасность в цепочках поставок». В Леклере, Джейн; Кили, Грегори (ред.). Кибербезопасность в нашей цифровой жизни . Хадсон Уитмен Эксельсиор Колледж Пресс. ISBN  978-0-9898451-4-4 .
    4. ^ Jump up to: а б «Библиотека публикаций Открытой группы» . opengroup.org . Открытая группа . Проверено 22 июня 2015 г.
    5. ^ «ISO/IEC 20243:2015 – Информационные технологии – Стандарт открытого доверенного поставщика технологий (O-TTPS) – Уменьшение вредоносных испорченных и контрафактных продуктов» . ИСО . Проверено 23 мая 2016 г.
    6. ^ «Стандарт поставщика открытых доверенных технологий 1.1 (китайский)» . Открытая библиотека публикаций группы . Открытая группа . Проверено 6 июня 2016 г.
    7. ^ «Безопасность цепочки поставок ИТ: обзор усилий правительства и отрасли» . Палата представителей США.
    8. ^ Мессмер, Эллен. «Министерству обороны нужна безопасная глобальная цепочка поставок высоких технологий» . Сетевой мир . IDG (Международная группа данных) . Проверено 30 марта 2015 г.
    9. ^ Леннон, Майк (9 марта 2012 г.). «USCC публикует отчет о возможностях Китая в сфере киберопераций и кибершпионажа» . Неделя безопасности . № 9, март 2012. Wired Business Media . Проверено 25 января 2016 г.
    10. ^ «Кибербезопасность: исследование цепочки поставок средств связи (свидетельские показания перед Подкомитетом по коммуникациям и технологиям Палаты представителей США по энергетике и торговле» (PDF) . Совет индустрии информационных технологий . Проверено 24 сентября 2015 г. .
    11. ^ Принс, Брайан (5 марта 2012 г.). «Консорциум продвигает стандарты безопасности для цепочки поставок технологий» . Неделя Безопасности . № 5 марта 2012. Wired Business Media . Проверено 25 января 2016 г.
    12. ^ «Членство» . opengroup.org.
    13. ^ «Форум открытой группы по надежным технологиям» . opengroup.org . Открытая группа . Проверено 11 мая 2015 г.
    14. ^ «Руководство по внедрению использования открытых надежных поставщиков технологий в цепочке поставок» . Ресурсы NIST.Gov для отрасли кибербезопасности . Открытая группа . Проверено 24 сентября 2015 г.
    15. ^ «Система кибербезопасности» . NIST.Gov . NIST.Gov . Проверено 24 сентября 2015 г.
    16. ^ Бойенс, Джон (апрель 2015 г.). «Практика управления рисками цепочки поставок для федеральных информационных систем и организаций» . Национальный институт технологий и стандартов. дои : 10.6028/NIST.SP.800-161 . {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )
    17. ^ «Резюме показаний Открытой группы на слушаниях Подкомитета по надзору и расследованиям Палаты представителей по вопросам безопасности цепочки поставок ИТ: обзор усилий правительства и отрасли» (PDF) . Energycommerce.house.gov . Конгресс США . Проверено 6 июня 2016 г.
    18. ^ «Программа аккредитации открытых групп» . Открытая группа . Открытая группа . Проверено 22 июня 2015 г.
    19. ^ «Реестр признанных оценщиков» . opengroup.org . Открытая группа . Проверено 11 мая 2015 г.
    20. ^ «Реестр надежных технологий Открытой группы» . Открытая группа . Открытая группа . Проверено 22 июня 2015 г.
    21. ^ «Политика аккредитации стандарта открытого доверенного поставщика технологий (O-TTPS)» (PDF) . Открытая группа . Открытая группа . Проверено 25 января 2016 г.
    22. ^ «Открытая группа объявляет о создании Форума надежных технологий для выявления лучших практик по обеспечению безопасности глобальной цепочки поставок технологий» . opengroup.org . Открытая группа . Проверено 16 апреля 2015 г.
    23. ^ «Открытая инфраструктура доверенных технологий» . opengroup.org . Открытая группа . Проверено 13 апреля 2015 г.
    24. ^ «О-ТТПС» . opengroup.org . Открытая группа . Проверено 11 мая 2015 г.
    25. ^ «IBM Secure Engineering» . IBM.com . Корпорация IBM . Проверено 13 апреля 2015 г.
    26. ^ «Комитет по энергетике и торговле Палаты представителей США» . Комитет Палаты представителей США по энергетике и торговле . Проверено 13 апреля 2015 г.
    27. ^ «Коммерческая наука и транспорт Сената США» . Сенат США . Проверено 13 апреля 2015 г.
    28. ^ «Закон о полномочиях национальной обороны на 2016 финансовый год (S. 1356)» . GovTrack.us . Проверено 23 мая 2016 г.
    [ редактировать ]
    Retrieved from "https://en.wikipedia.org/w/index.php?title=Open_Trusted_Technology_Provider_Standard&oldid=1220930168"
    Arc.Ask3.Ru: конец переведенного документа.
    Arc.Ask3.Ru
    Номер скриншота №: bd2bb1c9c7f1160702a4ab8985f7bd86__1714150800
    URL1:https://arc.ask3.ru/arc/aa/bd/86/bd2bb1c9c7f1160702a4ab8985f7bd86.html
    Заголовок, (Title) документа по адресу, URL1:
    Open Trusted Technology Provider Standard - Wikipedia
    Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)