संवृत विश्वसनीय प्रौद्योगिकी प्रदाता मानक: Difference between revisions
No edit summary |
No edit summary |
||
Line 1: | Line 1: | ||
ओपन ट्रस्टेड टेक्नोलॉजी प्रोवाइडर स्टैंडर्ड (ओ-टीटीपीएस) (''दुर्भावनापूर्ण रूप से दागी और नकली उत्पादों को कम करना'') [[खुला समूह]] का मानक है जिसे अंतर्राष्ट्रीय मानकीकरण संगठन द्वारा सूचना प्रौद्योगिकी मानक के रूप में प्रकाशन के लिए भी मंजूरी दी गई है। ISO/IEC JTC 1 के माध्यम से अंतर्राष्ट्रीय [[इंटरनेशनल इलेक्ट्रोटेक्नीकल कमीशन]] अब इसे ISO/IEC 20243:2015 के रूप में भी जाना जाता है।<ref>{{cite web|title=ISO/IEC 20243:2015|url=http://www.iso.org/iso/catalogue_detail.htm?csnumber=67394|website=ISO.org|publisher=ISO.org|access-date=24 September 2015}}</ref> मानक में दिशानिर्देशों, आवश्यकताओं और सिफारिशों का | ओपन ट्रस्टेड टेक्नोलॉजी प्रोवाइडर स्टैंडर्ड (ओ-टीटीपीएस) (''दुर्भावनापूर्ण रूप से दागी और नकली उत्पादों को कम करना'') [[खुला समूह]] का मानक है जिसे अंतर्राष्ट्रीय मानकीकरण संगठन द्वारा सूचना प्रौद्योगिकी मानक के रूप में प्रकाशन के लिए भी मंजूरी दी गई है। ISO/IEC JTC 1 के माध्यम से अंतर्राष्ट्रीय [[इंटरनेशनल इलेक्ट्रोटेक्नीकल कमीशन]] अब इसे ISO/IEC 20243:2015 के रूप में भी जाना जाता है।<ref>{{cite web|title=ISO/IEC 20243:2015|url=http://www.iso.org/iso/catalogue_detail.htm?csnumber=67394|website=ISO.org|publisher=ISO.org|access-date=24 September 2015}}</ref> मानक में दिशानिर्देशों, आवश्यकताओं और सिफारिशों का समूह सम्मिलित है जो वैश्विक [[आपूर्ति श्रृंखला सुरक्षा]] और वाणिज्यिक ऑफ-द-शेल्फ (सीओटीएस) [[सूचना और संचार प्रौद्योगिकी]] (आईसीटी) उत्पादों की अखंडता के लिए सर्वोत्तम प्रथाओं के अनुरूप है।<ref>{{Cite journal|last=Bartol|first=Nadya|date=23 May 2016|title=Cyber supply chain security practices DNA – Filling in the puzzle using a diverse set of disciplines|journal=Technovation|doi=10.1016/j.technovation.2014.01.005|volume=34|issue=7|pages=354–361}}</ref><ref>{{Cite book|title=हमारे डिजिटल जीवन में साइबर सुरक्षा|last=Whitman|first=Dave|publisher=Hudson Whitman Excelsior College Press|date=March 2015|isbn=978-0-9898451-4-4|editor-last=LeClair|editor-first=Jane|chapter=Cybersecurity in Supply Chains|editor-last2=Keeley|editor-first2=Gregory}}</ref> यह वर्तमान में संस्करण 1.1 में है।<ref name=":0">{{cite web|url=https://www2.opengroup.org/ogsys/catalog/C147|title=समूह की प्रकाशन लाइब्रेरी खोलें|website=opengroup.org|publisher=The Open Group|access-date=22 June 2015}}</ref><ref>{{Cite web|url=http://www.iso.org/iso/catalogue_detail.htm?csnumber=67394|title=ISO/IEC 20243:2015 - Information Technology -- Open Trusted Technology ProviderTM Standard (O-TTPS) -- Mitigating maliciously tainted and counterfeit products|website=ISO|access-date=2016-05-23}}</ref> चीनी अनुवाद भी प्रकाशित किया गया है.<ref>{{Cite web|url=https://www2.opengroup.org/ogsys/catalog/C147CH|title=खुला विश्वसनीय प्रौद्योगिकी प्रदाता मानक 1.1 (चीनी)|website=Open Group Publications Library|publisher=The Open Group|access-date=6 June 2016}}</ref> | ||
== पृष्ठभूमि == | == पृष्ठभूमि == | ||
ओ-टीटीपीएस को बदलते परिदृश्य और दुनिया भर में साइबर सुरक्षा हमलों की बढ़ती | ओ-टीटीपीएस को बदलते परिदृश्य और दुनिया भर में साइबर सुरक्षा हमलों की बढ़ती समष्टिता के जवाब में विकसित किया गया था।<ref name="United States House of Representatives Commerce and Energy Committee">{{cite web|title=IT Supply Chain Security: Review of Government and Industry Efforts|url=http://energycommerce.house.gov/hearing/it-supply-chain-security-review-government-and-industry-efforts|publisher=US House of Representatives|archive-date=27 March 2012}}</ref> इरादा प्रदाताओं को ईमानदारी के साथ उत्पाद बनाने में मदद करना है और अपने ग्राहकों को उनके द्वारा खरीदे जाने वाले प्रौद्योगिकी उत्पादों पर अधिक विश्वास करने में सक्षम बनाना है।<ref>{{cite web|author1=Messmer, Ellen|title=रक्षा विभाग सुरक्षित, वैश्विक उच्च तकनीक आपूर्ति श्रृंखला चाहता है|url=http://www.networkworld.com/article/2196759/malware-cybercrime/defense-department-wants-secure--global-high-tech-supply-chain.html|website=networkworld.com|publisher=IDG (International Data Group)|access-date=30 March 2015|archive-date=15 December 2010}}</ref> निजी और सार्वजनिक क्षेत्र के संगठन अपने परिचालन को चलाने के लिए बड़े पैमाने पर COTS ICT उत्पादों पर निर्भर हैं। इन उत्पादों का उत्पादन अधिकांशतः विश्व स्तर पर किया जाता है, अनेक देशों में विभिन्न साइटों पर विकास और विनिर्माण होता है।<ref>{{cite news|last1=Lennon|first1=Mike|title=यूएससीसी ने साइबर संचालन और साइबर जासूसी के लिए चीनी क्षमताओं पर रिपोर्ट जारी की|url=http://www.securityweek.com/uscc-commissioner-cyberattacks-getting-harder-chinas-leaders-claim-ignorance|access-date=25 January 2016|work=Security Week|issue=9 March 2012|publisher=Wired Business Media|date=9 March 2012}}</ref> ओ-टीटीपीएस को नकली और दागी घटकों के जोखिम को कम करने और उत्पाद के पूरे जीवनचक्र में उत्पाद की अखंडता और आपूर्ति श्रृंखला सुरक्षा सुनिश्चित करने में मदद करने के लिए डिज़ाइन किया गया है।<ref>{{cite web|title=Cybersecurity: An Examination of the Communications Supply Chain (testimony before Committee on Energy and Commerce Subcommittee on Communications and Technology U.S. House of Representatives|url=http://www.itic.org/dotAsset/3/a/3a48cdde-f1e5-4080-9773-315bf14a5142.pdf|publisher=Information Technology Industry Council|access-date=24 September 2015}}</ref><ref>{{cite news|last1=Prince|first1=Brian|title=कंसोर्टियम प्रौद्योगिकी आपूर्ति श्रृंखला के लिए सुरक्षा मानकों को आगे बढ़ाता है|url=http://www.securityweek.com/consortium-pushes-security-standards-technology-supply-chain|access-date=25 January 2016|work=SecurityWeek|issue=March 5, 2012|publisher=Wired Business Media|date=5 March 2012}}</ref> | ||
खुला समूह| ओपन ग्रुप का ट्रस्टेड टेक्नोलॉजी फोरम (ओटीटीएफ) विक्रेता-तटस्थ अंतरराष्ट्रीय मंच है जो ओ-टीटीपीएस सहित सूचना प्रौद्योगिकी के लिए मानकों और प्रमाणन कार्यक्रमों के निर्माण के बारे में सहयोग और निर्णय लेने के लिए औपचारिक सर्वसम्मति आधारित प्रक्रिया का उपयोग करता है।<ref>{{cite web|url=http://www.opengroup.org/getinvolved/becomeamember|title=सदस्यता|publisher=opengroup.org}}</ref> फोरम में, आईसीटी प्रदाता, इंटीग्रेटर्स और वितरक संगठनों और सरकारों के साथ ऐसे मानक विकसित करने के लिए काम करते हैं जो आपूर्ति श्रृंखला सुरक्षा प्रथाओं के साथ-साथ सुरक्षित इंजीनियरिंग और विनिर्माण विधियों को निर्दिष्ट करते हैं।<ref>{{cite web|url=http://opengroup.org/subjectareas/trusted-technology|title=ओपन ग्रुप ट्रस्टेड टेक्नोलॉजी फोरम|website=opengroup.org|publisher=The Open Group|access-date=11 May 2015}}</ref> | खुला समूह| ओपन ग्रुप का ट्रस्टेड टेक्नोलॉजी फोरम (ओटीटीएफ) विक्रेता-तटस्थ अंतरराष्ट्रीय मंच है जो ओ-टीटीपीएस सहित सूचना प्रौद्योगिकी के लिए मानकों और प्रमाणन कार्यक्रमों के निर्माण के बारे में सहयोग और निर्णय लेने के लिए औपचारिक सर्वसम्मति आधारित प्रक्रिया का उपयोग करता है।<ref>{{cite web|url=http://www.opengroup.org/getinvolved/becomeamember|title=सदस्यता|publisher=opengroup.org}}</ref> फोरम में, आईसीटी प्रदाता, इंटीग्रेटर्स और वितरक संगठनों और सरकारों के साथ ऐसे मानक विकसित करने के लिए काम करते हैं जो आपूर्ति श्रृंखला सुरक्षा प्रथाओं के साथ-साथ सुरक्षित इंजीनियरिंग और विनिर्माण विधियों को निर्दिष्ट करते हैं।<ref>{{cite web|url=http://opengroup.org/subjectareas/trusted-technology|title=ओपन ग्रुप ट्रस्टेड टेक्नोलॉजी फोरम|website=opengroup.org|publisher=The Open Group|access-date=11 May 2015}}</ref> | ||
आपूर्ति श्रृंखला में खुले विश्वसनीय प्रौद्योगिकी प्रदाताओं का लाभ उठाने के लिए कार्यान्वयन मार्गदर्शिका<ref>{{cite web|url=https://www.nist.gov/cyberframework/cybersecurity-framework-industry-resources.cfm|title=आपूर्ति श्रृंखला में खुले विश्वसनीय प्रौद्योगिकी प्रदाताओं का लाभ उठाने के लिए कार्यान्वयन गाइड|website=NIST.Gov cybersecurity industry resources|publisher=The Open Group|access-date=24 September 2015}}</ref> राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (एनआईएसटी) साइबर सुरक्षा ढांचे के | आपूर्ति श्रृंखला में खुले विश्वसनीय प्रौद्योगिकी प्रदाताओं का लाभ उठाने के लिए कार्यान्वयन मार्गदर्शिका<ref>{{cite web|url=https://www.nist.gov/cyberframework/cybersecurity-framework-industry-resources.cfm|title=आपूर्ति श्रृंखला में खुले विश्वसनीय प्रौद्योगिकी प्रदाताओं का लाभ उठाने के लिए कार्यान्वयन गाइड|website=NIST.Gov cybersecurity industry resources|publisher=The Open Group|access-date=24 September 2015}}</ref> राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (एनआईएसटी) साइबर सुरक्षा ढांचे के मध्य मानचित्रण प्रदान करता है<ref>{{cite web|url=https://www.nist.gov/cyberframework/|title=साइबर सुरक्षा ढांचा|website=NIST.Gov|publisher=NIST.Gov|access-date=24 September 2015}}</ref> और ओ-टीटीपीएस में सूचीबद्ध संबंधित संगठनात्मक प्रथाएं। एनआईएसटी ने अपने एनआईएसटी विशेष प्रकाशन 800-161 संघीय सूचना प्रणालियों और संगठनों के लिए आपूर्ति श्रृंखला जोखिम प्रबंधन प्रथाओं में ओ-टीटीपीएस का संदर्भ दिया है जो संघीय एजेंसियों को उनके संगठनों के सभी स्तरों पर आईसीटी आपूर्ति श्रृंखला जोखिमों की पहचान करने, मूल्यांकन करने और कम करने पर मार्गदर्शन प्रदान करता है।<ref>{{Cite journal|title=संघीय सूचना प्रणाली और संगठनों के लिए आपूर्ति श्रृंखला जोखिम प्रबंधन प्रथाएँ|last=Boyens|first=Jon|date=April 2015|publisher=National Institute of Technology and Standards|doi=10.6028/NIST.SP.800-161|doi-access=free}}</ref> | ||
== उद्देश्य == | == उद्देश्य == | ||
फोरम के | फोरम के अंदर उद्योग विशेषज्ञों द्वारा विकसित मानक, संगठनात्मक प्रथाओं को निर्दिष्ट करता है जो COTS ICT उत्पाद जीवनचक्र में दुर्भावनापूर्ण रूप से दागी और नकली उत्पादों के खिलाफ आश्वासन प्रदान करता है।<ref>{{cite web|url=https://energycommerce.house.gov/sites/republicans.energycommerce.house.gov/files/Hearings/OI/20120327/HHRG-112-IF02-WState-LounsburyD-20120327.pdf|title=Executive Summary of The Open Group's testimony to the House Energy and Commerce Oversight and Investigations Subcommittee Hearing on IT Supply Chain Security: Review of Government and Industry Efforts|website=Energycommerce.house.gov|publisher=US Congress|access-date=6 June 2016}}</ref> मानक में वर्णित जीवनचक्र में निम्नलिखित चरण सम्मिलित हैं: डिज़ाइन, सोर्सिंग, निर्माण, पूर्ति, वितरण, रखरखाव और निपटान। | ||
== माप और प्रमाणीकरण == | == माप और प्रमाणीकरण == | ||
संगठनों को ओपन ग्रुप के विश्वसनीय प्रौद्योगिकी प्रदाता प्रत्यायन कार्यक्रम के माध्यम से मानक के अनुरूप प्रमाणित किया जा सकता है।<ref>{{cite web|title=समूह प्रत्यायन कार्यक्रम खोलें|url=http://ottps-accred.opengroup.org/home-public|website=Open Group|publisher=Open Group|access-date=22 June 2015}}</ref> मानक के अनुरूपता का मूल्यांकन मान्यता प्राप्त तृतीय पक्ष मूल्यांकनकर्ताओं द्वारा किया जाता है।<ref>{{cite web|title=मान्यता प्राप्त मूल्यांकनकर्ता रजिस्टर|url=http://ottps-accred.opengroup.org/recognized-assessors|website=opengroup.org|publisher=The Open Group|access-date=11 May 2015}}</ref> बार जब किसी संगठन को मानक के अनुरूप सफलतापूर्वक मूल्यांकन किया जाता है | संगठनों को ओपन ग्रुप के विश्वसनीय प्रौद्योगिकी प्रदाता प्रत्यायन कार्यक्रम के माध्यम से मानक के अनुरूप प्रमाणित किया जा सकता है।<ref>{{cite web|title=समूह प्रत्यायन कार्यक्रम खोलें|url=http://ottps-accred.opengroup.org/home-public|website=Open Group|publisher=Open Group|access-date=22 June 2015}}</ref> मानक के अनुरूपता का मूल्यांकन मान्यता प्राप्त तृतीय पक्ष मूल्यांकनकर्ताओं द्वारा किया जाता है।<ref>{{cite web|title=मान्यता प्राप्त मूल्यांकनकर्ता रजिस्टर|url=http://ottps-accred.opengroup.org/recognized-assessors|website=opengroup.org|publisher=The Open Group|access-date=11 May 2015}}</ref> बार जब किसी संगठन को मानक के अनुरूप सफलतापूर्वक मूल्यांकन किया जाता है तब संगठन को ओपन ग्रुप के मान्यता रजिस्टर में सार्वजनिक रूप से सूचीबद्ध किया जाता है।<ref>{{cite web|title=समूह का विश्वसनीय प्रौद्योगिकी रजिस्टर खोलें|url=http://ottps-accred.opengroup.org/accreditation-register|website=The Open Group|publisher=The Open Group|access-date=22 June 2015}}</ref> तृतीय पक्ष मूल्यांकन प्रक्रिया प्रत्यायन नीति और मूल्यांकन प्रक्रियाओं द्वारा शासित होती है।<ref>{{cite web|title=विश्वसनीय प्रौद्योगिकी प्रदाता मानक (ओ-टीटीपीएस) मान्यता नीति खोलें|url=http://ottps-accred.opengroup.org/sites/ottps-accred.opengroup.org/files/docs/O-TTPS_Accreditation_Policy_pdf/O-TTPS_Accreditation_Policy.pdf|website=The Open Group|publisher=The Open Group|access-date=25 January 2016}}</ref> | ||
== इतिहास == | == इतिहास == | ||
मानक बनाने का प्रयास जनवरी 2010 में द ओपन ग्रुप द्वारा आयोजित बैठक के साथ शुरू हुआ जिसमें प्रमुख उद्योग प्रतिनिधि और संयुक्त राज्य अमेरिका के रक्षा विभाग और [[नासा]] | मानक बनाने का प्रयास जनवरी 2010 में द ओपन ग्रुप द्वारा आयोजित बैठक के साथ शुरू हुआ जिसमें प्रमुख उद्योग प्रतिनिधि और संयुक्त राज्य अमेरिका के रक्षा विभाग और [[नासा]] सम्मिलित थे। उद्योग मानकों को विकसित करने और वैश्विक आपूर्ति श्रृंखलाओं की सुरक्षा और COTS ICT उत्पादों की अखंडता को बढ़ाने के लिए ओपन ट्रस्टेड टेक्नोलॉजी फोरम को औपचारिक रूप से दिसंबर 2010 में लॉन्च किया गया था।<ref>{{cite web|title=ओपन ग्रुप ने वैश्विक प्रौद्योगिकी आपूर्ति श्रृंखला को सुरक्षित करने के लिए सर्वोत्तम प्रथाओं की पहचान करने के लिए विश्वसनीय प्रौद्योगिकी फोरम के गठन की घोषणा की|url=http://www.opengroup.org/news/press/open-group-announces-formation-trusted-technology-forum-identify-best-practices-securing-|website=opengroup.org|publisher=Open Group|access-date=16 April 2015}}</ref> | ||
फोरम का पहला प्रकाशन 2010 में समग्र विश्वसनीय प्रौद्योगिकी ढांचे का वर्णन करने वाला श्वेतपत्र था।<ref>{{cite web|url=https://www2.opengroup.org/ogsys/catalog/W157|title=विश्वसनीय प्रौद्योगिकी ढाँचा खोलें|website=opengroup.org|publisher=The Open Group|access-date=April 13, 2015}}</ref> श्वेतपत्र मोटे तौर पर उन समग्र सर्वोत्तम प्रथाओं पर केंद्रित था जिनका पालन अच्छे वाणिज्यिक संगठन अपने COTS ICT उत्पादों के निर्माण और वितरण के दौरान करते हैं। नकली और दुर्भावनापूर्ण रूप से दागी उत्पादों के सबसे प्रमुख खतरों को संबोधित करने के लिए उस व्यापक फोकस को 2010 के अंत और 2011 की शुरुआत में सीमित कर दिया गया था, जिसके परिणामस्वरूप ओ-टीटीपीएस आया जो विशेष रूप से उन खतरों पर केंद्रित है। | फोरम का पहला प्रकाशन 2010 में समग्र विश्वसनीय प्रौद्योगिकी ढांचे का वर्णन करने वाला श्वेतपत्र था।<ref>{{cite web|url=https://www2.opengroup.org/ogsys/catalog/W157|title=विश्वसनीय प्रौद्योगिकी ढाँचा खोलें|website=opengroup.org|publisher=The Open Group|access-date=April 13, 2015}}</ref> श्वेतपत्र मोटे तौर पर उन समग्र सर्वोत्तम प्रथाओं पर केंद्रित था जिनका पालन अच्छे वाणिज्यिक संगठन अपने COTS ICT उत्पादों के निर्माण और वितरण के दौरान करते हैं। नकली और दुर्भावनापूर्ण रूप से दागी उत्पादों के सबसे प्रमुख खतरों को संबोधित करने के लिए उस व्यापक फोकस को 2010 के अंत और 2011 की शुरुआत में सीमित कर दिया गया था, जिसके परिणामस्वरूप ओ-टीटीपीएस आया जो विशेष रूप से उन खतरों पर केंद्रित है। | ||
Line 19: | Line 19: | ||
ओ-टीटीपीएस प्रत्यायन कार्यक्रम फरवरी 2014 में शुरू हुआ। [[आईबीएम]] मानक के अनुरूप मान्यता प्राप्त करने वाली पहली कंपनी थी।<ref>{{cite web|title=आईबीएम सिक्योर इंजीनियरिंग|url=http://www-03.ibm.com/security/secure-engineering/ibmottpsaccreditation.html|website=ibm.com|publisher=IBM Corp|access-date=13 April 2015}}</ref> | ओ-टीटीपीएस प्रत्यायन कार्यक्रम फरवरी 2014 में शुरू हुआ। [[आईबीएम]] मानक के अनुरूप मान्यता प्राप्त करने वाली पहली कंपनी थी।<ref>{{cite web|title=आईबीएम सिक्योर इंजीनियरिंग|url=http://www-03.ibm.com/security/secure-engineering/ibmottpsaccreditation.html|website=ibm.com|publisher=IBM Corp|access-date=13 April 2015}}</ref> | ||
आपूर्ति श्रृंखला जोखिम और साइबर सुरक्षा के संबंध में अमेरिकी कांग्रेस को दी गई गवाही में मानक और मान्यता कार्यक्रम का उल्लेख किया गया है।<ref>{{cite web|title=ऊर्जा और वाणिज्य समिति, संयुक्त राज्य अमेरिका की प्रतिनिधि सभा|url=http://energycommerce.house.gov/hearing/it-supply-chain-security-review-government-and-industry-efforts|publisher=United States House Energy and Commerce Committee|access-date=13 April 2015}}</ref><ref>{{cite web|title=अमेरिकी सीनेट वाणिज्य विज्ञान और परिवहन|url=http://www.commerce.senate.gov/public/?a=Files.Serve&File_id=EC6AF856-95AA-449C-8BF1-A763C9B9B3CF|publisher=US Senate|access-date=13 April 2015}}</ref> [[वित्तीय वर्ष 2016 के लिए राष्ट्रीय रक्षा प्राधिकरण अधिनियम]] की धारा 888 (सुरक्षित सूचना प्रौद्योगिकी और साइबर सुरक्षा प्रणालियों की खरीद के लिए मानक) के लिए आवश्यक है कि [[संयुक्त राज्य अमेरिका के रक्षा सचिव]] ओ-टीटीपीएस या समान सार्वजनिक, खुली प्रौद्योगिकी मानकों का मूल्यांकन करें और | आपूर्ति श्रृंखला जोखिम और साइबर सुरक्षा के संबंध में अमेरिकी कांग्रेस को दी गई गवाही में मानक और मान्यता कार्यक्रम का उल्लेख किया गया है।<ref>{{cite web|title=ऊर्जा और वाणिज्य समिति, संयुक्त राज्य अमेरिका की प्रतिनिधि सभा|url=http://energycommerce.house.gov/hearing/it-supply-chain-security-review-government-and-industry-efforts|publisher=United States House Energy and Commerce Committee|access-date=13 April 2015}}</ref><ref>{{cite web|title=अमेरिकी सीनेट वाणिज्य विज्ञान और परिवहन|url=http://www.commerce.senate.gov/public/?a=Files.Serve&File_id=EC6AF856-95AA-449C-8BF1-A763C9B9B3CF|publisher=US Senate|access-date=13 April 2015}}</ref> [[वित्तीय वर्ष 2016 के लिए राष्ट्रीय रक्षा प्राधिकरण अधिनियम]] की धारा 888 (सुरक्षित सूचना प्रौद्योगिकी और साइबर सुरक्षा प्रणालियों की खरीद के लिए मानक) के लिए आवश्यक है कि [[संयुक्त राज्य अमेरिका के रक्षा सचिव]] ओ-टीटीपीएस या समान सार्वजनिक, खुली प्रौद्योगिकी मानकों का मूल्यांकन करें और सूची करें। वर्ष के अंदर [[संयुक्त राज्य अमेरिका की सीनेट]] और संयुक्त राज्य अमेरिका के प्रतिनिधि सभा की [[सशस्त्र सेवाओं पर संयुक्त राज्य अमेरिका की सीनेट समिति]]।<ref>{{Cite web|url=https://www.govtrack.us/congress/bills/114/s1356|title=National Defense Authorization Act for Fiscal Year 2016 (S. 1356)|website=GovTrack.us|access-date=2016-05-23}}</ref> | ||
==यह भी देखें== | ==यह भी देखें== | ||
* आपूर्ति श्रृंखला सुरक्षा | * आपूर्ति श्रृंखला सुरक्षा |
Revision as of 19:06, 27 September 2023
ओपन ट्रस्टेड टेक्नोलॉजी प्रोवाइडर स्टैंडर्ड (ओ-टीटीपीएस) (दुर्भावनापूर्ण रूप से दागी और नकली उत्पादों को कम करना) खुला समूह का मानक है जिसे अंतर्राष्ट्रीय मानकीकरण संगठन द्वारा सूचना प्रौद्योगिकी मानक के रूप में प्रकाशन के लिए भी मंजूरी दी गई है। ISO/IEC JTC 1 के माध्यम से अंतर्राष्ट्रीय इंटरनेशनल इलेक्ट्रोटेक्नीकल कमीशन अब इसे ISO/IEC 20243:2015 के रूप में भी जाना जाता है।[1] मानक में दिशानिर्देशों, आवश्यकताओं और सिफारिशों का समूह सम्मिलित है जो वैश्विक आपूर्ति श्रृंखला सुरक्षा और वाणिज्यिक ऑफ-द-शेल्फ (सीओटीएस) सूचना और संचार प्रौद्योगिकी (आईसीटी) उत्पादों की अखंडता के लिए सर्वोत्तम प्रथाओं के अनुरूप है।[2][3] यह वर्तमान में संस्करण 1.1 में है।[4][5] चीनी अनुवाद भी प्रकाशित किया गया है.[6]
पृष्ठभूमि
ओ-टीटीपीएस को बदलते परिदृश्य और दुनिया भर में साइबर सुरक्षा हमलों की बढ़ती समष्टिता के जवाब में विकसित किया गया था।[7] इरादा प्रदाताओं को ईमानदारी के साथ उत्पाद बनाने में मदद करना है और अपने ग्राहकों को उनके द्वारा खरीदे जाने वाले प्रौद्योगिकी उत्पादों पर अधिक विश्वास करने में सक्षम बनाना है।[8] निजी और सार्वजनिक क्षेत्र के संगठन अपने परिचालन को चलाने के लिए बड़े पैमाने पर COTS ICT उत्पादों पर निर्भर हैं। इन उत्पादों का उत्पादन अधिकांशतः विश्व स्तर पर किया जाता है, अनेक देशों में विभिन्न साइटों पर विकास और विनिर्माण होता है।[9] ओ-टीटीपीएस को नकली और दागी घटकों के जोखिम को कम करने और उत्पाद के पूरे जीवनचक्र में उत्पाद की अखंडता और आपूर्ति श्रृंखला सुरक्षा सुनिश्चित करने में मदद करने के लिए डिज़ाइन किया गया है।[10][11]
खुला समूह| ओपन ग्रुप का ट्रस्टेड टेक्नोलॉजी फोरम (ओटीटीएफ) विक्रेता-तटस्थ अंतरराष्ट्रीय मंच है जो ओ-टीटीपीएस सहित सूचना प्रौद्योगिकी के लिए मानकों और प्रमाणन कार्यक्रमों के निर्माण के बारे में सहयोग और निर्णय लेने के लिए औपचारिक सर्वसम्मति आधारित प्रक्रिया का उपयोग करता है।[12] फोरम में, आईसीटी प्रदाता, इंटीग्रेटर्स और वितरक संगठनों और सरकारों के साथ ऐसे मानक विकसित करने के लिए काम करते हैं जो आपूर्ति श्रृंखला सुरक्षा प्रथाओं के साथ-साथ सुरक्षित इंजीनियरिंग और विनिर्माण विधियों को निर्दिष्ट करते हैं।[13]
आपूर्ति श्रृंखला में खुले विश्वसनीय प्रौद्योगिकी प्रदाताओं का लाभ उठाने के लिए कार्यान्वयन मार्गदर्शिका[14] राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (एनआईएसटी) साइबर सुरक्षा ढांचे के मध्य मानचित्रण प्रदान करता है[15] और ओ-टीटीपीएस में सूचीबद्ध संबंधित संगठनात्मक प्रथाएं। एनआईएसटी ने अपने एनआईएसटी विशेष प्रकाशन 800-161 संघीय सूचना प्रणालियों और संगठनों के लिए आपूर्ति श्रृंखला जोखिम प्रबंधन प्रथाओं में ओ-टीटीपीएस का संदर्भ दिया है जो संघीय एजेंसियों को उनके संगठनों के सभी स्तरों पर आईसीटी आपूर्ति श्रृंखला जोखिमों की पहचान करने, मूल्यांकन करने और कम करने पर मार्गदर्शन प्रदान करता है।[16]
उद्देश्य
फोरम के अंदर उद्योग विशेषज्ञों द्वारा विकसित मानक, संगठनात्मक प्रथाओं को निर्दिष्ट करता है जो COTS ICT उत्पाद जीवनचक्र में दुर्भावनापूर्ण रूप से दागी और नकली उत्पादों के खिलाफ आश्वासन प्रदान करता है।[17] मानक में वर्णित जीवनचक्र में निम्नलिखित चरण सम्मिलित हैं: डिज़ाइन, सोर्सिंग, निर्माण, पूर्ति, वितरण, रखरखाव और निपटान।
माप और प्रमाणीकरण
संगठनों को ओपन ग्रुप के विश्वसनीय प्रौद्योगिकी प्रदाता प्रत्यायन कार्यक्रम के माध्यम से मानक के अनुरूप प्रमाणित किया जा सकता है।[18] मानक के अनुरूपता का मूल्यांकन मान्यता प्राप्त तृतीय पक्ष मूल्यांकनकर्ताओं द्वारा किया जाता है।[19] बार जब किसी संगठन को मानक के अनुरूप सफलतापूर्वक मूल्यांकन किया जाता है तब संगठन को ओपन ग्रुप के मान्यता रजिस्टर में सार्वजनिक रूप से सूचीबद्ध किया जाता है।[20] तृतीय पक्ष मूल्यांकन प्रक्रिया प्रत्यायन नीति और मूल्यांकन प्रक्रियाओं द्वारा शासित होती है।[21]
इतिहास
मानक बनाने का प्रयास जनवरी 2010 में द ओपन ग्रुप द्वारा आयोजित बैठक के साथ शुरू हुआ जिसमें प्रमुख उद्योग प्रतिनिधि और संयुक्त राज्य अमेरिका के रक्षा विभाग और नासा सम्मिलित थे। उद्योग मानकों को विकसित करने और वैश्विक आपूर्ति श्रृंखलाओं की सुरक्षा और COTS ICT उत्पादों की अखंडता को बढ़ाने के लिए ओपन ट्रस्टेड टेक्नोलॉजी फोरम को औपचारिक रूप से दिसंबर 2010 में लॉन्च किया गया था।[22] फोरम का पहला प्रकाशन 2010 में समग्र विश्वसनीय प्रौद्योगिकी ढांचे का वर्णन करने वाला श्वेतपत्र था।[23] श्वेतपत्र मोटे तौर पर उन समग्र सर्वोत्तम प्रथाओं पर केंद्रित था जिनका पालन अच्छे वाणिज्यिक संगठन अपने COTS ICT उत्पादों के निर्माण और वितरण के दौरान करते हैं। नकली और दुर्भावनापूर्ण रूप से दागी उत्पादों के सबसे प्रमुख खतरों को संबोधित करने के लिए उस व्यापक फोकस को 2010 के अंत और 2011 की शुरुआत में सीमित कर दिया गया था, जिसके परिणामस्वरूप ओ-टीटीपीएस आया जो विशेष रूप से उन खतरों पर केंद्रित है।
ओ-टीटीपीएस का पहला संस्करण अप्रैल 2013 में प्रकाशित हुआ था।[24] ओ-टीटीपीएस मानक का संस्करण 1.1 जुलाई 2014 में प्रकाशित हुआ था।[4]इस संस्करण को आईएसओ/आईईसी द्वारा 2015 में आईएसओ/आईईसी 20243:2015 के रूप में अनुमोदित किया गया था।
ओ-टीटीपीएस प्रत्यायन कार्यक्रम फरवरी 2014 में शुरू हुआ। आईबीएम मानक के अनुरूप मान्यता प्राप्त करने वाली पहली कंपनी थी।[25]
आपूर्ति श्रृंखला जोखिम और साइबर सुरक्षा के संबंध में अमेरिकी कांग्रेस को दी गई गवाही में मानक और मान्यता कार्यक्रम का उल्लेख किया गया है।[26][27] वित्तीय वर्ष 2016 के लिए राष्ट्रीय रक्षा प्राधिकरण अधिनियम की धारा 888 (सुरक्षित सूचना प्रौद्योगिकी और साइबर सुरक्षा प्रणालियों की खरीद के लिए मानक) के लिए आवश्यक है कि संयुक्त राज्य अमेरिका के रक्षा सचिव ओ-टीटीपीएस या समान सार्वजनिक, खुली प्रौद्योगिकी मानकों का मूल्यांकन करें और सूची करें। वर्ष के अंदर संयुक्त राज्य अमेरिका की सीनेट और संयुक्त राज्य अमेरिका के प्रतिनिधि सभा की सशस्त्र सेवाओं पर संयुक्त राज्य अमेरिका की सीनेट समिति।[28]
यह भी देखें
- आपूर्ति श्रृंखला सुरक्षा
- नकली इलेक्ट्रॉनिक घटक
- इंटरनैशनल ऑर्गनाइज़ेशन फॉर स्टैंडर्डाइज़ेशन
- शेल्फ के वाणिज्यिक
- सूचना व संचार तकनीक
संदर्भ
- ↑ "ISO/IEC 20243:2015". ISO.org. ISO.org. Retrieved 24 September 2015.
- ↑ Bartol, Nadya (23 May 2016). "Cyber supply chain security practices DNA – Filling in the puzzle using a diverse set of disciplines". Technovation. 34 (7): 354–361. doi:10.1016/j.technovation.2014.01.005.
- ↑ Whitman, Dave (March 2015). "Cybersecurity in Supply Chains". In LeClair, Jane; Keeley, Gregory (eds.). हमारे डिजिटल जीवन में साइबर सुरक्षा. Hudson Whitman Excelsior College Press. ISBN 978-0-9898451-4-4.
- ↑ 4.0 4.1 "समूह की प्रकाशन लाइब्रेरी खोलें". opengroup.org. The Open Group. Retrieved 22 June 2015.
- ↑ "ISO/IEC 20243:2015 - Information Technology -- Open Trusted Technology ProviderTM Standard (O-TTPS) -- Mitigating maliciously tainted and counterfeit products". ISO. Retrieved 2016-05-23.
- ↑ "खुला विश्वसनीय प्रौद्योगिकी प्रदाता मानक 1.1 (चीनी)". Open Group Publications Library. The Open Group. Retrieved 6 June 2016.
- ↑ "IT Supply Chain Security: Review of Government and Industry Efforts". US House of Representatives.
{{cite web}}
:|archive-date=
requires|archive-url=
(help) - ↑ Messmer, Ellen. "रक्षा विभाग सुरक्षित, वैश्विक उच्च तकनीक आपूर्ति श्रृंखला चाहता है". networkworld.com. IDG (International Data Group). Retrieved 30 March 2015.
{{cite web}}
:|archive-date=
requires|archive-url=
(help) - ↑ Lennon, Mike (9 March 2012). "यूएससीसी ने साइबर संचालन और साइबर जासूसी के लिए चीनी क्षमताओं पर रिपोर्ट जारी की". Security Week. No. 9 March 2012. Wired Business Media. Retrieved 25 January 2016.
- ↑ "Cybersecurity: An Examination of the Communications Supply Chain (testimony before Committee on Energy and Commerce Subcommittee on Communications and Technology U.S. House of Representatives" (PDF). Information Technology Industry Council. Retrieved 24 September 2015.
- ↑ Prince, Brian (5 March 2012). "कंसोर्टियम प्रौद्योगिकी आपूर्ति श्रृंखला के लिए सुरक्षा मानकों को आगे बढ़ाता है". SecurityWeek. No. March 5, 2012. Wired Business Media. Retrieved 25 January 2016.
- ↑ "सदस्यता". opengroup.org.
- ↑ "ओपन ग्रुप ट्रस्टेड टेक्नोलॉजी फोरम". opengroup.org. The Open Group. Retrieved 11 May 2015.
- ↑ "आपूर्ति श्रृंखला में खुले विश्वसनीय प्रौद्योगिकी प्रदाताओं का लाभ उठाने के लिए कार्यान्वयन गाइड". NIST.Gov cybersecurity industry resources. The Open Group. Retrieved 24 September 2015.
- ↑ "साइबर सुरक्षा ढांचा". NIST.Gov. NIST.Gov. Retrieved 24 September 2015.
- ↑ Boyens, Jon (April 2015). "संघीय सूचना प्रणाली और संगठनों के लिए आपूर्ति श्रृंखला जोखिम प्रबंधन प्रथाएँ". National Institute of Technology and Standards. doi:10.6028/NIST.SP.800-161.
{{cite journal}}
: Cite journal requires|journal=
(help) - ↑ "Executive Summary of The Open Group's testimony to the House Energy and Commerce Oversight and Investigations Subcommittee Hearing on IT Supply Chain Security: Review of Government and Industry Efforts" (PDF). Energycommerce.house.gov. US Congress. Retrieved 6 June 2016.
- ↑ "समूह प्रत्यायन कार्यक्रम खोलें". Open Group. Open Group. Retrieved 22 June 2015.
- ↑ "मान्यता प्राप्त मूल्यांकनकर्ता रजिस्टर". opengroup.org. The Open Group. Retrieved 11 May 2015.
- ↑ "समूह का विश्वसनीय प्रौद्योगिकी रजिस्टर खोलें". The Open Group. The Open Group. Retrieved 22 June 2015.
- ↑ "विश्वसनीय प्रौद्योगिकी प्रदाता मानक (ओ-टीटीपीएस) मान्यता नीति खोलें" (PDF). The Open Group. The Open Group. Retrieved 25 January 2016.
- ↑ "ओपन ग्रुप ने वैश्विक प्रौद्योगिकी आपूर्ति श्रृंखला को सुरक्षित करने के लिए सर्वोत्तम प्रथाओं की पहचान करने के लिए विश्वसनीय प्रौद्योगिकी फोरम के गठन की घोषणा की". opengroup.org. Open Group. Retrieved 16 April 2015.
- ↑ "विश्वसनीय प्रौद्योगिकी ढाँचा खोलें". opengroup.org. The Open Group. Retrieved April 13, 2015.
- ↑ "ओ-टीटीपीएस". opengroup.org. The Open Group. Retrieved 11 May 2015.
- ↑ "आईबीएम सिक्योर इंजीनियरिंग". ibm.com. IBM Corp. Retrieved 13 April 2015.
- ↑ "ऊर्जा और वाणिज्य समिति, संयुक्त राज्य अमेरिका की प्रतिनिधि सभा". United States House Energy and Commerce Committee. Retrieved 13 April 2015.
- ↑ "अमेरिकी सीनेट वाणिज्य विज्ञान और परिवहन". US Senate. Retrieved 13 April 2015.
- ↑ "National Defense Authorization Act for Fiscal Year 2016 (S. 1356)". GovTrack.us. Retrieved 2016-05-23.
बाहरी संबंध
- http://csrc.nist.gov/scrm/references.html
- http://www.afcea.org/committees/cyber/documents/Supplychain.pdf
- http://www.networkworld.com/article/2196759/malware-cybercrime/defense-department-wants-secure--global-high-tech-supply-chain.html
- http://www.computerworlduk.com/news/security/3343185/the-open-group-previews-o-ttps-security-standard-for-supply-chains/
- http://www.opengroup.org/subjectareas/trusted-technology
- http://www.infoworld.com/article/2613780/supply-chain-management/supply-chain-2013--stop-playing-whack-a-mole-with-security-threats.html
- http://washingtontechnology.com/microsites/2012/sewp-2012/04-program-office-takes-leadership-role.aspx
- https://www.dhs.gov/news/2011/01/06/securing-global-supply-chain
- http://blogs.ca.com/2013/04/12/the-launch-of-the-open-trusted-technology-provider-standard/?intcmp=searchresultclick&resultnum=1