डिजिटल सप्लाई चैन सिक्यूरिटी: Difference between revisions

From Vigyanwiki
No edit summary
No edit summary
Line 9: Line 9:
  | access-date=2011-09-16 }}
  | access-date=2011-09-16 }}
</ref>
</ref>




== आपूर्ति श्रृंखला साइबर सुरक्षा संकटों के उदाहरण ==
== आपूर्ति श्रृंखला साइबर सुरक्षा संकटों के उदाहरण ==
*नेटवर्क या कंप्यूटर हार्डवेयर जो की पहले से ही स्थापित मैलवेयर के साथ वितरित किया जाता है।
*नेटवर्क या कंप्यूटर हार्डवेयर जो की पहले से ही स्थापित मैलवेयर के साथ वितरित किया जाता है।  
*मैलवेयर जो की सॉफ़्टवेयर या हार्डवेयर में डाला जाता है (विभिन्न माध्यमों से)
*मैलवेयर जो की सॉफ़्टवेयर या हार्डवेयर में डाला जाता है (विभिन्न माध्यमों से)  
* आपूर्ति श्रृंखला के अन्दर सॉफ़्टवेयर अनुप्रयोगों और नेटवर्क में निर्बलता जो की दुर्भावनापूर्ण [[हैकर (कंप्यूटर सुरक्षा)]] द्वारा खोजी जाती हैं
* आपूर्ति श्रृंखला के अन्दर सॉफ़्टवेयर अनुप्रयोगों और नेटवर्क में निर्बलता जो की दुर्भावनापूर्ण [[हैकर (कंप्यूटर सुरक्षा)]] द्वारा खोजी जाती हैं  
* जाली कंप्यूटर हार्डवेयर
* जाली कंप्यूटर हार्डवेयर  


== संबंधित अमेरिकी सरकार के प्रयास ==
== संबंधित अमेरिकी सरकार के प्रयास ==
* [https://obamawhitehouse.archives.gov/cybersecurity/comhrhenive-national-cybersecurity-initiative व्यापक राष्ट्रीय साइबर पहल]
* [https://obamawhitehouse.archives.gov/cybersecurity/comhrhenive-national-cybersecurity-initiative व्यापक राष्ट्रीय साइबर पहल]  
* रक्षा खरीद विनियम: [[राष्ट्रीय रक्षा प्राधिकरण अधिनियम]] की धारा 806 में उल्लेखित
* रक्षा खरीद विनियम: [[राष्ट्रीय रक्षा प्राधिकरण अधिनियम]] की धारा 806 में उल्लेखित  
* [https://obamawhitehouse.archives.gov/sites/default/files/rss_viewer/internationalstrategy_cyberspace.pdf साइबरस्पेस के लिए अंतर्राष्ट्रीय रणनीति]: व्हाइट हाउस ने पहली बार सुरक्षित और ओपन इंटरनेट के लिए अमेरिका के दृष्टिकोण को सामने रखा। इस प्रकार से रणनीति तीन मुख्य विषयों कूटनीति, विकास और रक्षा की रूपरेखा तैयार करती है।
* [https://obamawhitehouse.archives.gov/sites/default/files/rss_viewer/internationalstrategy_cyberspace.pdf साइबरस्पेस के लिए अंतर्राष्ट्रीय रणनीति]: व्हाइट हाउस ने पहली बार सुरक्षित और ओपन इंटरनेट के लिए अमेरिका के दृष्टिकोण को सामने रखा। इस प्रकार से रणनीति तीन मुख्य विषयों कूटनीति, विकास और रक्षा की रूपरेखा तैयार करती है।  
:* कूटनीति: यह रणनीति राष्ट्रों के मध्य सर्वसम्मति के माध्यम से निर्मित स्वीकार्य राज्य व्यवहार के मानदंडों की स्थापना करके "एक खुले, अंतर-संचालनीय, सुरक्षित और विश्वसनीय सूचना और संचार मूलभूत रूप को बढ़ावा देने" के लिए निर्धारित की गई है।
:* कूटनीति: यह रणनीति राष्ट्रों के मध्य सर्वसम्मति के माध्यम से निर्मित स्वीकार्य राज्य व्यवहार के मानदंडों की स्थापना करके "एक खुले, अंतर-संचालनीय, सुरक्षित और विश्वसनीय सूचना और संचार मूलभूत रूप को बढ़ावा देने" के लिए निर्धारित की गई है।  
:* विकास: इस रणनीति के माध्यम से सरकार "विदेशों में, द्विपक्षीय रूप से और बहुपक्षीय संगठनों के माध्यम से साइबर सुरक्षा क्षमता निर्माण की सुविधा प्रदान करना चाहती है।" इसका उद्देश्य वैश्विक आईटी मूलभूत रूप की रक्षा करना और खुले और सुरक्षित नेटवर्क को बनाए रखने के लिए समीप अंतरराष्ट्रीय साझेदारी बनाना है।
:* विकास: इस रणनीति के माध्यम से सरकार "विदेशों में, द्विपक्षीय रूप से और बहुपक्षीय संगठनों के माध्यम से साइबर सुरक्षा क्षमता निर्माण की सुविधा प्रदान करना चाहती है।" इसका उद्देश्य वैश्विक आईटी मूलभूत रूप की रक्षा करना और खुले और सुरक्षित नेटवर्क को बनाए रखने के लिए समीप अंतरराष्ट्रीय साझेदारी बनाना है।
:* रक्षा: रणनीति कहती है कि सरकार "यह सुनिश्चित करेगी कि हमारे नेटवर्क पर अटैक करने या शोषण करने से जुड़े संकट संभावित लाभों से कहीं अधिक हैं" और सभी देशों से घुसपैठ करने वाले अपराधियों और गैर-राज्य अभिनेताओं की जांच करने, उन्हें पकड़ने और उन पर मुकदमा चलाने का आह्वान किया गया है। जो की नेटवर्क सिस्टम को बाधित करते है।
:* रक्षा: रणनीति कहती है कि सरकार "यह सुनिश्चित करेगी कि हमारे नेटवर्क पर अटैक करने या शोषण करने से जुड़े संकट संभावित लाभों से कहीं अधिक हैं" और सभी देशों से घुसपैठ करने वाले अपराधियों और गैर-राज्य अभिनेताओं की जांच करने, उन्हें पकड़ने और उन पर मुकदमा चलाने का आह्वान किया गया है। जो की नेटवर्क सिस्टम को बाधित करते है।


== विश्व संबंधित सरकारी प्रयास ==
== विश्व संबंधित सरकारी प्रयास ==
* [[सामान्य मानदंड]] [[मूल्यांकन आश्वासन स्तर]] (ईएएल) 4 के साथ डिजिटल आपूर्ति श्रृंखला सुरक्षा के सभी प्रासंगिक भाग जैसे उत्पाद, विकास पर्यावरण, आईटी सिस्टम सुरक्षा, मानव संसाधन में प्रक्रियाएं, भौतिक सुरक्षा और मॉड्यूल एएलसी_एफएलआर.3 के साथ मूल्यांकन करने का '''अवसर''' प्रदान करता है। इस प्रकार से (व्यवस्थित दोष निवारण) भौतिक साइट विज़िट द्वारा भी सुरक्षा अद्यतन प्रक्रियाएँ और विधियाँ सम्मिलित है। ईएएल 4 को एसओजीआईएस-एमआरए पर हस्ताक्षर करने वाले देशों में और सीसीआरए पर हस्ताक्षर करने वाले देशों में ईएलए 2 तक पारस्परिक रूप से मान्यता प्राप्त है, किन्तु इसमें एएलसी_एफआरएल.3 भी सम्मिलित है।
* [[सामान्य मानदंड]] [[मूल्यांकन आश्वासन स्तर]] (ईएएल) 4 के साथ डिजिटल आपूर्ति श्रृंखला सुरक्षा के सभी प्रासंगिक भाग जैसे उत्पाद, विकास पर्यावरण, आईटी सिस्टम सुरक्षा, मानव संसाधन में प्रक्रियाएं, भौतिक सुरक्षा और मॉड्यूल एएलसी_एफएलआर.3 के साथ मूल्यांकन करने का '''अवसर''' प्रदान करता है। इस प्रकार से (व्यवस्थित दोष निवारण) भौतिक साइट विज़िट द्वारा भी सुरक्षा अद्यतन प्रक्रियाएँ और विधियाँ सम्मिलित है। ईएएल 4 को एसओजीआईएस-एमआरए पर हस्ताक्षर करने वाले देशों में और सीसीआरए पर हस्ताक्षर करने वाले देशों में ईएलए 2 तक पारस्परिक रूप से मान्यता प्राप्त है, किन्तु इसमें एएलसी_एफआरएल.3 भी सम्मिलित है।  
* रूस: रूस में अनेक वर्षों से गैर-प्रकटीकरण कार्यक्षमता प्रमाणन आवश्यकताएं हैं और वर्तमान में ओपन-सोर्स सॉफ़्टवेयर पर आधारित राष्ट्रीय सॉफ़्टवेयर प्लेटफ़ॉर्म प्रयास प्रारंभ किया है। यह विदेशी आपूर्तिकर्ताओं पर निर्भरता कम करते हुए राष्ट्रीय स्वायत्तता की स्पष्ट इच्छा को दर्शाता है।
* रूस: रूस में अनेक वर्षों से गैर-प्रकटीकरण कार्यक्षमता प्रमाणन आवश्यकताएं हैं और वर्तमान में ओपन-सोर्स सॉफ़्टवेयर पर आधारित राष्ट्रीय सॉफ़्टवेयर प्लेटफ़ॉर्म प्रयास प्रारंभ किया है। यह विदेशी आपूर्तिकर्ताओं पर निर्भरता कम करते हुए राष्ट्रीय स्वायत्तता की स्पष्ट इच्छा को दर्शाता है।  
* भारत: राष्ट्रीय साइबर सुरक्षा रणनीति के मसौदे में आपूर्ति श्रृंखला संकट की पहचान करता है। इस प्रकार से बहिष्करण के लिए विशिष्ट उत्पादों को लक्षित करने के अतिरिक्त, यह स्वदेशी नवाचार नीतियों पर विचार कर रहा है, इस क्षेत्र में एक सशक्त, विश्व स्तर पर प्रतिस्पर्धी राष्ट्रीय उपस्थिति बनाने के लिए घरेलू आईटीसी आपूर्तिकर्ताओं को प्राथमिकता दे रहा है।
* भारत: राष्ट्रीय साइबर सुरक्षा रणनीति के मसौदे में आपूर्ति श्रृंखला संकट की पहचान करता है। इस प्रकार से बहिष्करण के लिए विशिष्ट उत्पादों को लक्षित करने के अतिरिक्त, यह स्वदेशी नवाचार नीतियों पर विचार कर रहा है, इस क्षेत्र में एक सशक्त, विश्व स्तर पर प्रतिस्पर्धी राष्ट्रीय उपस्थिति बनाने के लिए घरेलू आईटीसी आपूर्तिकर्ताओं को प्राथमिकता दे रहा है।
* चीन: 11वीं पंचवर्षीय योजना (2006-2010) के लक्ष्यों से आगे बढ़ते हुए, चीन ने सुरक्षा-केंद्रित और आक्रामक स्वदेशी नवाचार नीतियों का मिश्रण प्रस्तुत किया और उसे आगे बढ़ाया। चीन को अपनी सरकारी खरीद और बहु-स्तरीय सुरक्षा योजना (एमएलपीएस) को प्रयुक्त करने के लिए एक स्वदेशी नवाचार उत्पाद सूची का उपयोग करने की आवश्यकता है, जिसके लिए (अन्य चीजों के अतिरिक्त) उत्पाद डेवलपर्स और निर्माताओं को चीनी नागरिक या कानूनी व्यक्ति, और उत्पाद कोर टेक्नोलॉजी और कुंजी की आवश्यकता होती है। घटकों के पास स्वतंत्र चीनी या स्वदेशी बौद्धिक संपदा अधिकार होने चाहिए।<ref>{{cite web| url=https://www.bridewellconsulting.com/ |title= Bridewell Consulting }} Thursday, 22 April 2021 </ref>
* चीन: 11वीं पंचवर्षीय योजना (2006-2010) के लक्ष्यों से आगे बढ़ते हुए, चीन ने सुरक्षा-केंद्रित और आक्रामक स्वदेशी नवाचार नीतियों का मिश्रण प्रस्तुत किया और उसे आगे बढ़ाया। इस प्रकार से चीन को अपनी सरकारी खरीद और बहु-स्तरीय सुरक्षा योजना (एमएलपीएस) को प्रयुक्त करने के लिए एक स्वदेशी नवाचार उत्पाद सूची का उपयोग करने की आवश्यकता है, जिसके लिए (अन्य चीजों के अतिरिक्त) उत्पाद डेवलपर्स और निर्माताओं को चीनी नागरिक या कानूनी व्यक्ति, और उत्पाद कोर टेक्नोलॉजी और कुंजी की आवश्यकता होती है। इस प्रकार से घटकों के पास स्वतंत्र चीनी या स्वदेशी बौद्धिक संपदा अधिकार होने चाहिए।<ref>{{cite web| url=https://www.bridewellconsulting.com/ |title= Bridewell Consulting }} Thursday, 22 April 2021 </ref>  




==निजी क्षेत्र के प्रयास==
==निजी क्षेत्र के प्रयास ==


* [https://github.com/slsa-framework/slsa SLSA (सॉफ़्टवेयर कलाकृतियों के लिए आपूर्ति-श्रृंखला स्तर)] संपूर्ण सॉफ़्टवेयर आपूर्ति श्रृंखला में सॉफ़्टवेयर कलाकृतियों की अखंडता सुनिश्चित करने के लिए एक एंड-टू-एंड फ़्रेमवर्क है। आवश्यकताएँ Google के आंतरिक [https://cloud.google.com/security/binary-authorization-for-borg बाइनरी ऑथराइजेशन फॉर बोर्ग] से प्रेरित हैं जो की पिछले 8+ वर्षों से उपयोग में है और यह Google के सभी उत्पादन कार्यभार के लिए अनिवार्य है। एसएलएसए का लक्ष्य उद्योग की स्थिति में सुधार करना है, विशेष रूप से अधिक गंभीर अखंडता संकटों से बचाव के लिए खुले स्रोत में सुधार करना है। एसएलएसए के साथ, उपभोक्ता अपने द्वारा उपभोग किए जाने वाले सॉफ़्टवेयर की सुरक्षा स्थिति के बारे में सूचित विकल्प चुन सकते हैं।<ref>{{Cite web|title=एसएलएसए का परिचय, आपूर्ति श्रृंखला अखंडता के लिए एक एंड-टू-एंड फ्रेमवर्क|url=https://security.googleblog.com/2021/06/introducing-slsa-end-to-end-framework.html|access-date=2021-06-17|website=Google Online Security Blog|language=en}}</ref>
* [https://github.com/slsa-framework/slsa SLSA (सॉफ़्टवेयर कलाकृतियों के लिए आपूर्ति-श्रृंखला स्तर)] संपूर्ण सॉफ़्टवेयर आपूर्ति श्रृंखला में सॉफ़्टवेयर कलाकृतियों की अखंडता सुनिश्चित करने के लिए एक एंड-टू-एंड फ़्रेमवर्क है। इस प्रकार से आवश्यकताएँ Google के आंतरिक [https://cloud.google.com/security/binary-authorization-for-borg बाइनरी ऑथराइजेशन फॉर बोर्ग] से प्रेरित हैं जो की पिछले 8+ वर्षों से उपयोग में है और यह Google के सभी उत्पादन कार्यभार के लिए अनिवार्य है। जिसमे एसएलएसए का लक्ष्य उद्योग की स्थिति में सुधार करना है, विशेष रूप से अधिक गंभीर अखंडता संकटों से बचाव के लिए खुले स्रोत में सुधार करना है। इस प्रकार से एसएलएसए के साथ, उपभोक्ता अपने द्वारा उपभोग किए जाने वाले सॉफ़्टवेयर की सुरक्षा स्थिति के बारे में सूचित विकल्प चुन सकते हैं।<ref>{{Cite web|title=एसएलएसए का परिचय, आपूर्ति श्रृंखला अखंडता के लिए एक एंड-टू-एंड फ्रेमवर्क|url=https://security.googleblog.com/2021/06/introducing-slsa-end-to-end-framework.html|access-date=2021-06-17|website=Google Online Security Blog|language=en}}</ref>  




== अन्य सन्दर्भ ==
== अन्य सन्दर्भ ==
* [http://www.fsisac.com/ वित्तीय क्षेत्र सूचना साझाकरण और विश्लेषण केंद्र]
* [http://www.fsisac.com/ वित्तीय क्षेत्र सूचना साझाकरण और विश्लेषण केंद्र]  
* [https://obamawhitehouse.archives.gov/sites/default/files/rss_viewer/internationalstrategy_cyberspace.pdf साइबरस्पेस के लिए अंतर्राष्ट्रीय रणनीति] (व्हाइट हाउस से)
* [https://obamawhitehouse.archives.gov/sites/default/files/rss_viewer/internationalstrategy_cyberspace.pdf साइबरस्पेस के लिए अंतर्राष्ट्रीय रणनीति] (व्हाइट हाउस से)  
* [https://obamawhitehouse.archives.gov/sites/default/files/rss_viewer/NSTICstrategy_041511.pdf एनएसटीआईसी]
* [https://obamawhitehouse.archives.gov/sites/default/files/rss_viewer/NSTICstrategy_041511.pdf एनएसटीआईसी]  
* [http://www.safecode.org/publications/SAFECode_Software_Integrity_Controls0610.pdf सेफकोड श्वेतपत्र]
* [http://www.safecode.org/publications/SAFECode_Software_Integrity_Controls0610.pdf सेफकोड श्वेतपत्र]  
* [https://www.opengroup.org/ttf/ ट्रस्टेड टेक्नोलॉजी फोरम और ओपन ट्रस्टेड टेक्नोलॉजी प्रोवाइडर स्टैंडर्ड (O-TTPS)]
* [https://www.opengroup.org/ttf/ ट्रस्टेड टेक्नोलॉजी फोरम और ओपन ट्रस्टेड टेक्नोलॉजी प्रोवाइडर स्टैंडर्ड (O-TTPS)]  
* [https://www.tophatsecurity.com/ddx/ साइबर आपूर्ति श्रृंखला सुरक्षा समाधान]
* [https://www.tophatsecurity.com/ddx/ साइबर आपूर्ति श्रृंखला सुरक्षा समाधान]  
* [https://www.csmonitor.com/World/Passcode/2016/0518/Flaws-in-networking-devices-highlight-tech-industry-s-quality-control-problem फ़र्मवेयर में मैलवेयर प्रत्यारोपण]
* [https://www.csmonitor.com/World/Passcode/2016/0518/Flaws-in-networking-devices-highlight-tech-industry-s-quality-control-problem फ़र्मवेयर में मैलवेयर प्रत्यारोपण]  
* [https://www.atlanticcouncil.org/in-depth-research-reports/issue-brief/supply-चेन-इन-द-सॉफ्टवेयर-एरा/ सॉफ्टवेयर युग में आपूर्ति श्रृंखला]
* [https://www.atlanticcouncil.org/in-depth-research-reports/issue-brief/supply-चेन-इन-द-सॉफ्टवेयर-एरा/ सॉफ्टवेयर युग में आपूर्ति श्रृंखला]  
* [https://www.cisa.gov/publication/ict-scrm-task-force-interim-report सूचना और संचार टेक्नोलॉजी आपूर्ति श्रृंखला संकट प्रबंधन कार्य बल: अंतरिम रिपोर्ट]
* [https://www.cisa.gov/publication/ict-scrm-task-force-interim-report सूचना और संचार टेक्नोलॉजी आपूर्ति श्रृंखला संकट प्रबंधन कार्य बल: अंतरिम रिपोर्ट]  


== यह भी देखें ==
== यह भी देखें ==
*आपूर्ति श्रृंखला
*आपूर्ति श्रृंखला  
*[[आपूर्ति श्रृंखला जोखिम प्रबंधन|आपूर्ति श्रृंखला संकट प्रबंधन]]
*[[आपूर्ति श्रृंखला जोखिम प्रबंधन|आपूर्ति श्रृंखला संकट प्रबंधन]]  
*आपूर्ति श्रृंखला सुरक्षा
*आपूर्ति श्रृंखला सुरक्षा  
*आईएसओ/पीएएस 28000
*आईएसओ/पीएएस 28000  
*[[एनआईएसटी]]
*[[एनआईएसटी]]  
*[[भरोसेमंद कंप्यूटिंग|विश्वसनीय कंप्यूटिंग]]
*[[भरोसेमंद कंप्यूटिंग|विश्वसनीय कंप्यूटिंग]]  


== संदर्भ ==
== संदर्भ ==

Revision as of 21:01, 27 September 2023

डिजिटल आपूर्ति श्रृंखला सुरक्षा आपूर्ति श्रृंखला के अन्दर साइबर सुरक्षा को बढ़ाने के प्रयासों को संदर्भित करती है। यह आपूर्ति श्रृंखला सुरक्षा का एक उपसमूह है और सूचना टेक्नोलॉजी सिस्टम, सॉफ़्टवेयर और कंप्यूटर नेटवर्क के लिए साइबर सुरक्षा आवश्यकताओं के प्रबंधन पर केंद्रित है, जो की साइबर-आतंकवाद, मैलवेयर, डेटा चोरी और उन्नत निरंतर संकट (एपीटी) जैसे संकटों से प्रेरित हैं। ) इस प्रकार से संकटों को कम करने के लिए विशिष्ट आपूर्ति श्रृंखला साइबर सुरक्षा गतिविधियों में केवल विश्वसनीय विक्रेताओं से खरीदारी सम्मिलित है,[1] और बाहरी नेटवर्क से महत्वपूर्ण मशीनों को डिस्कनेक्ट करना, और उपयोगकर्ताओं को उन संकटों और सुरक्षात्मक उपायों के बारे में शिक्षित करना जो वे उठा सकते हैं।

इस प्रकार से संयुक्त राज्य अमेरिका के होमलैंड सिक्योरिटी विभाग के राष्ट्रीय सुरक्षा और कार्यक्रम निदेशालय के कार्यवाहक उप अवर सचिव, ग्रेग शेफ़र ने एक सुनवाई में कहा कि उन्हें पता है कि ऐसे उदाहरण हैं जहां संयुक्त राज्य अमेरिका में बेचे जाने वाले आयातित इलेक्ट्रॉनिक और कंप्यूटर उपकरणों पर मैलवेयर पाया गया है।[2]


आपूर्ति श्रृंखला साइबर सुरक्षा संकटों के उदाहरण

  • नेटवर्क या कंप्यूटर हार्डवेयर जो की पहले से ही स्थापित मैलवेयर के साथ वितरित किया जाता है।
  • मैलवेयर जो की सॉफ़्टवेयर या हार्डवेयर में डाला जाता है (विभिन्न माध्यमों से)
  • आपूर्ति श्रृंखला के अन्दर सॉफ़्टवेयर अनुप्रयोगों और नेटवर्क में निर्बलता जो की दुर्भावनापूर्ण हैकर (कंप्यूटर सुरक्षा) द्वारा खोजी जाती हैं
  • जाली कंप्यूटर हार्डवेयर

संबंधित अमेरिकी सरकार के प्रयास

  • कूटनीति: यह रणनीति राष्ट्रों के मध्य सर्वसम्मति के माध्यम से निर्मित स्वीकार्य राज्य व्यवहार के मानदंडों की स्थापना करके "एक खुले, अंतर-संचालनीय, सुरक्षित और विश्वसनीय सूचना और संचार मूलभूत रूप को बढ़ावा देने" के लिए निर्धारित की गई है।
  • विकास: इस रणनीति के माध्यम से सरकार "विदेशों में, द्विपक्षीय रूप से और बहुपक्षीय संगठनों के माध्यम से साइबर सुरक्षा क्षमता निर्माण की सुविधा प्रदान करना चाहती है।" इसका उद्देश्य वैश्विक आईटी मूलभूत रूप की रक्षा करना और खुले और सुरक्षित नेटवर्क को बनाए रखने के लिए समीप अंतरराष्ट्रीय साझेदारी बनाना है।
  • रक्षा: रणनीति कहती है कि सरकार "यह सुनिश्चित करेगी कि हमारे नेटवर्क पर अटैक करने या शोषण करने से जुड़े संकट संभावित लाभों से कहीं अधिक हैं" और सभी देशों से घुसपैठ करने वाले अपराधियों और गैर-राज्य अभिनेताओं की जांच करने, उन्हें पकड़ने और उन पर मुकदमा चलाने का आह्वान किया गया है। जो की नेटवर्क सिस्टम को बाधित करते है।

विश्व संबंधित सरकारी प्रयास

  • सामान्य मानदंड मूल्यांकन आश्वासन स्तर (ईएएल) 4 के साथ डिजिटल आपूर्ति श्रृंखला सुरक्षा के सभी प्रासंगिक भाग जैसे उत्पाद, विकास पर्यावरण, आईटी सिस्टम सुरक्षा, मानव संसाधन में प्रक्रियाएं, भौतिक सुरक्षा और मॉड्यूल एएलसी_एफएलआर.3 के साथ मूल्यांकन करने का अवसर प्रदान करता है। इस प्रकार से (व्यवस्थित दोष निवारण) भौतिक साइट विज़िट द्वारा भी सुरक्षा अद्यतन प्रक्रियाएँ और विधियाँ सम्मिलित है। ईएएल 4 को एसओजीआईएस-एमआरए पर हस्ताक्षर करने वाले देशों में और सीसीआरए पर हस्ताक्षर करने वाले देशों में ईएलए 2 तक पारस्परिक रूप से मान्यता प्राप्त है, किन्तु इसमें एएलसी_एफआरएल.3 भी सम्मिलित है।
  • रूस: रूस में अनेक वर्षों से गैर-प्रकटीकरण कार्यक्षमता प्रमाणन आवश्यकताएं हैं और वर्तमान में ओपन-सोर्स सॉफ़्टवेयर पर आधारित राष्ट्रीय सॉफ़्टवेयर प्लेटफ़ॉर्म प्रयास प्रारंभ किया है। यह विदेशी आपूर्तिकर्ताओं पर निर्भरता कम करते हुए राष्ट्रीय स्वायत्तता की स्पष्ट इच्छा को दर्शाता है।
  • भारत: राष्ट्रीय साइबर सुरक्षा रणनीति के मसौदे में आपूर्ति श्रृंखला संकट की पहचान करता है। इस प्रकार से बहिष्करण के लिए विशिष्ट उत्पादों को लक्षित करने के अतिरिक्त, यह स्वदेशी नवाचार नीतियों पर विचार कर रहा है, इस क्षेत्र में एक सशक्त, विश्व स्तर पर प्रतिस्पर्धी राष्ट्रीय उपस्थिति बनाने के लिए घरेलू आईटीसी आपूर्तिकर्ताओं को प्राथमिकता दे रहा है।
  • चीन: 11वीं पंचवर्षीय योजना (2006-2010) के लक्ष्यों से आगे बढ़ते हुए, चीन ने सुरक्षा-केंद्रित और आक्रामक स्वदेशी नवाचार नीतियों का मिश्रण प्रस्तुत किया और उसे आगे बढ़ाया। इस प्रकार से चीन को अपनी सरकारी खरीद और बहु-स्तरीय सुरक्षा योजना (एमएलपीएस) को प्रयुक्त करने के लिए एक स्वदेशी नवाचार उत्पाद सूची का उपयोग करने की आवश्यकता है, जिसके लिए (अन्य चीजों के अतिरिक्त) उत्पाद डेवलपर्स और निर्माताओं को चीनी नागरिक या कानूनी व्यक्ति, और उत्पाद कोर टेक्नोलॉजी और कुंजी की आवश्यकता होती है। इस प्रकार से घटकों के पास स्वतंत्र चीनी या स्वदेशी बौद्धिक संपदा अधिकार होने चाहिए।[3]


निजी क्षेत्र के प्रयास

  • SLSA (सॉफ़्टवेयर कलाकृतियों के लिए आपूर्ति-श्रृंखला स्तर) संपूर्ण सॉफ़्टवेयर आपूर्ति श्रृंखला में सॉफ़्टवेयर कलाकृतियों की अखंडता सुनिश्चित करने के लिए एक एंड-टू-एंड फ़्रेमवर्क है। इस प्रकार से आवश्यकताएँ Google के आंतरिक बाइनरी ऑथराइजेशन फॉर बोर्ग से प्रेरित हैं जो की पिछले 8+ वर्षों से उपयोग में है और यह Google के सभी उत्पादन कार्यभार के लिए अनिवार्य है। जिसमे एसएलएसए का लक्ष्य उद्योग की स्थिति में सुधार करना है, विशेष रूप से अधिक गंभीर अखंडता संकटों से बचाव के लिए खुले स्रोत में सुधार करना है। इस प्रकार से एसएलएसए के साथ, उपभोक्ता अपने द्वारा उपभोग किए जाने वाले सॉफ़्टवेयर की सुरक्षा स्थिति के बारे में सूचित विकल्प चुन सकते हैं।[4]


अन्य सन्दर्भ

यह भी देखें

संदर्भ

  1. Mayounga, Andre (May 2017). Cyber-Supply Chain Visibility: A Grounded Theory of Cybersecurity with Supply Chain Management - ProQuest (in English).
  2. "Homeland Security: Devices, Components Coming In With Malware". InformationWeek. 2011-07-11. Retrieved 2011-09-16.
  3. "Bridewell Consulting". Thursday, 22 April 2021
  4. "एसएलएसए का परिचय, आपूर्ति श्रृंखला अखंडता के लिए एक एंड-टू-एंड फ्रेमवर्क". Google Online Security Blog (in English). Retrieved 2021-06-17.