Otwarty standard zaufanego dostawcy technologii

Open Trusted Technology Provider Standard (O-TTPS) ( Mitigating Maliciously Tainted and Counterfeit Products ) to standard The Open Group, który został również zatwierdzony do publikacji jako standard informatyczny przez Międzynarodową Organizację Normalizacyjną i Międzynarodową Komisję Elektrotechniczną za pośrednictwem ISO/IEC JTC 1 i jest obecnie znany również jako ISO/IEC 20243:2015. Norma składa się z zestawu wytycznych, wymagań i zaleceń, które są zgodne z najlepszymi praktykami na rzecz bezpieczeństwa globalnego łańcucha dostaw i integralności gotowych komercyjnych produktów technologii informacyjno-komunikacyjnych ( ICT ). Obecnie jest w wersji 1.1. Opublikowano również chińskie tłumaczenie.

Tło

O-TTPS został opracowany w odpowiedzi na zmieniający się krajobraz i rosnące wyrafinowanie ataków cybernetycznych na całym świecie. Celem jest pomoc dostawcom w tworzeniu produktów w sposób uczciwy i umożliwienie ich klientom większego zaufania do produktów technologicznych, które kupują. Organizacje sektora prywatnego i publicznego polegają w dużej mierze na produktach ICT firmy COTS, aby prowadzić swoją działalność. Produkty te są często wytwarzane na całym świecie, a prace rozwojowe i produkcja odbywają się w różnych lokalizacjach w wielu krajach. O-TTPS ma na celu ograniczenie ryzyka związanego z podrobionymi i skażonymi komponentami oraz zapewnienie integralności produktu i bezpieczeństwa łańcucha dostaw przez cały cykl życia produktu.

Open Group's Trusted Technology Forum (OTTF) to międzynarodowe forum niezależne od dostawców, które wykorzystuje formalny proces oparty na konsensusie do współpracy i podejmowania decyzji dotyczących tworzenia standardów i programów certyfikacji technologii informatycznych, w tym O-TTPS. Na forum dostawcy ICT, integratorzy i dystrybutorzy współpracują z organizacjami i rządami w celu opracowania standardów określających bezpieczne metody inżynierii i produkcji wraz z praktykami bezpieczeństwa łańcucha dostaw.

Przewodnik po implementacji wykorzystania otwartych zaufanych dostawców technologii w łańcuchu dostaw zawiera mapowanie między ramami bezpieczeństwa cybernetycznego Narodowego Instytutu Standardów i Technologii (NIST) a powiązanymi praktykami organizacyjnymi wymienionymi w O-TTPS. NIST odniósł się do O-TTPS w swojej specjalnej publikacji NIST 800-161 „Praktyki zarządzania ryzykiem łańcucha dostaw dla federalnych systemów informacyjnych i organizacji”, która zawiera wytyczne dla agencji federalnych dotyczące identyfikacji, oceny i łagodzenia ryzyka łańcucha dostaw ICT na wszystkich poziomach ich organizacji.

Zamiar

Norma, opracowana przez ekspertów branżowych w ramach Forum, określa praktyki organizacyjne, które zapewniają ochronę przed złośliwie skażonymi i podrobionymi produktami w całym cyklu życia produktu COTS ICT. Cykl życia opisany w normie obejmuje następujące fazy: projektowanie, pozyskiwanie, budowanie, realizacja, dystrybucja, utrzymanie i utylizacja.

Pomiar i certyfikacja

Organizacje mogą uzyskać certyfikat zgodności ze standardem w ramach programu akredytacji Trusted Technology Provider Accreditation Program Open Group. Zgodność ze standardem jest oceniana przez uznanych zewnętrznych audytorów. Po pozytywnej ocenie organizacji jako zgodnej ze standardem jest ona publicznie wpisana do rejestru akredytacyjnego Open Group. Proces oceny przez stronę trzecią jest regulowany przez Politykę akredytacji i Procedury oceny.

Historia

Prace nad stworzeniem standardu rozpoczęły się w styczniu 2010 r. od spotkania zorganizowanego przez The Open Group, w którym uczestniczyli główni przedstawiciele przemysłu oraz Departament Obrony Stanów Zjednoczonych i NASA . Forum Otwartej Zaufanej Technologii zostało formalnie zainaugurowane w grudniu 2010 r. w celu opracowania standardów branżowych i zwiększenia bezpieczeństwa globalnych łańcuchów dostaw oraz integralności produktów COTS ICT.

Pierwszą publikacją Forum była biała księga opisująca ogólne ramy Trusted Technology Framework z 2010 roku. Biała księga była szeroko skoncentrowana na ogólnych najlepszych praktykach, które dobre organizacje komercyjne stosują podczas tworzenia i dostarczania swoich produktów COTS ICT. Ten szeroki zakres zainteresowania został zawężony pod koniec 2010 r. i na początku 2011 r., aby zająć się najpoważniejszymi zagrożeniami związanymi z podrabianymi i złośliwie skażonymi produktami, w wyniku czego powstał O-TTPS, który koncentruje się konkretnie na tych zagrożeniach.

Pierwsza wersja standardu O-TTPS została opublikowana w kwietniu 2013 r. Wersja 1.1 standardu O-TTPS została opublikowana w lipcu 2014 r. Wersja ta została zatwierdzona przez ISO/IEC w 2015 r. jako ISO/IEC 20243:2015.

Program akredytacji O-TTPS rozpoczął się w lutym 2014 roku. IBM jako pierwsza firma uzyskała akredytację na zgodność ze standardem.

Standard i program akredytacji zostały wymienione w zeznaniach złożonych przed Kongresem USA w sprawie ryzyka łańcucha dostaw i cyberbezpieczeństwa. Ustawa o zezwoleniach na obronę narodową na rok podatkowy 2016, sekcja 888 (Standardy dotyczące zamówień na bezpieczną technologię informacyjną i systemy bezpieczeństwa cybernetycznego) wymaga, aby Sekretarz Obrony Stanów Zjednoczonych przeprowadził ocenę O-TTPS lub podobnych publicznych, otwartych standardów technologicznych i zgłosił je do Komisji Sił Zbrojnych Senatu USA i Izby Reprezentantów USA w ciągu roku.

Zobacz też

Linki zewnętrzne