มาตรฐานผู้ให้บริการเทคโนโลยีที่เชื่อถือได้แบบเปิด

มาตรฐานOpen Trusted Technology Provider Standard (O-TTPS) ( การลดผลกระทบจากผลิตภัณฑ์ที่ปนเปื้อนและของปลอมที่เป็นอันตราย ) เป็นมาตรฐานของThe Open Groupซึ่งได้รับการอนุมัติให้เผยแพร่เป็น มาตรฐาน เทคโนโลยีสารสนเทศโดยองค์การมาตรฐานสากลและคณะกรรมการไฟฟ้าสากลผ่านISO/IEC JTC 1และปัจจุบันรู้จักกันในชื่อ ISO/IEC 20243:2015 ^{[ 1 ]}มาตรฐานนี้ประกอบด้วยชุดแนวทาง ข้อกำหนด และคำแนะนำที่สอดคล้องกับแนวปฏิบัติที่ดีที่สุดสำหรับความปลอดภัยของห่วงโซ่อุปทาน ทั่วโลก และความสมบูรณ์ของผลิตภัณฑ์เทคโนโลยีสารสนเทศและการสื่อสาร (ICT) เชิงพาณิชย์สำเร็จรูป (COTS) ^[²^]^[³^]ปัจจุบันอยู่ในเวอร์ชัน 1.1 ^[⁴^]^[⁵^]นอกจากนี้ยังมีการเผยแพร่ฉบับแปลภาษาจีนด้วย^[⁶^]

พื้นหลัง

O-TTPS ได้รับการพัฒนาขึ้นเพื่อตอบสนองต่อสภาพแวดล้อมที่เปลี่ยนแปลงไปและความซับซ้อนที่เพิ่มขึ้นของการโจมตีทางไซเบอร์ทั่วโลก^{[ 7 ]} จุดประสงค์คือเพื่อช่วยให้ผู้ให้บริการสร้างผลิตภัณฑ์ที่มีความสมบูรณ์และช่วยให้ลูกค้ามีความมั่นใจในผลิตภัณฑ์เทคโนโลยีที่พวกเขาซื้อมากขึ้น^{[ 8 ]}องค์กรภาครัฐและเอกชนส่วนใหญ่พึ่งพาผลิตภัณฑ์ ICT COTS ในการดำเนินงาน ผลิตภัณฑ์เหล่านี้มักผลิตทั่วโลก โดยมีการพัฒนาและการผลิตเกิดขึ้นในสถานที่ต่างๆ ในหลายประเทศ^{[ 9 ]} O-TTPS ได้รับการออกแบบมาเพื่อลดความเสี่ยงของส่วนประกอบปลอมและปนเปื้อน และเพื่อช่วยรับรองความสมบูรณ์ของผลิตภัณฑ์และความปลอดภัยของห่วงโซ่อุปทานตลอดวงจรชีวิตของผลิตภัณฑ์^{[ 10 ]}^{[ 11 ]}

ฟอรัมเทคโนโลยีที่เชื่อถือได้ (OTTF) ของ Open Groupเป็นฟอรัมระหว่างประเทศที่ไม่ขึ้นกับผู้จำหน่าย ซึ่งใช้กระบวนการที่เป็นทางการตามฉันทามติสำหรับการทำงานร่วมกันและการตัดสินใจเกี่ยวกับการสร้างมาตรฐานและโปรแกรมการรับรองสำหรับเทคโนโลยีสารสนเทศ รวมถึง O-TTPS ^{[ 12 ]}ในฟอรัมนี้ ผู้ให้บริการ ICT ผู้บูรณาการ และผู้จัดจำหน่ายทำงานร่วมกับองค์กรและรัฐบาลเพื่อพัฒนามาตรฐานที่ระบุวิธีการทางวิศวกรรมและการผลิตที่ปลอดภัยพร้อมกับแนวปฏิบัติด้านความปลอดภัยของห่วงโซ่อุปทาน^{[ 13 ]}

คู่มือการนำไปใช้เพื่อใช้ประโยชน์จากผู้ให้บริการเทคโนโลยีที่เชื่อถือได้แบบเปิดในห่วงโซ่อุปทาน^{[ 14 ]}ให้การแมประหว่าง กรอบงานความปลอดภัยทางไซเบอร์ ของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) ^{[ 15 ]}และแนวปฏิบัติขององค์กรที่เกี่ยวข้องที่ระบุไว้ใน O-TTPS NIST อ้างอิง O-TTPS ในเอกสารเผยแพร่พิเศษของ NIST หมายเลข 800-161 "แนวปฏิบัติการจัดการความเสี่ยงในห่วงโซ่อุปทานสำหรับระบบสารสนเทศและองค์กรของรัฐบาลกลาง" ซึ่งให้คำแนะนำแก่หน่วยงานของรัฐบาลกลางเกี่ยวกับการระบุ การประเมิน และการลดความเสี่ยงในห่วงโซ่อุปทาน ICT ในทุกระดับขององค์กร^{[ 16 ]}

วัตถุประสงค์

มาตรฐานที่พัฒนาโดยผู้เชี่ยวชาญในอุตสาหกรรมภายในฟอรัม ระบุแนวทางปฏิบัติขององค์กรที่ให้ความมั่นใจต่อผลิตภัณฑ์ที่ปนเปื้อนโดยเจตนาร้ายและของปลอมตลอดวงจรชีวิตของผลิตภัณฑ์ COTS ICT ^{[ 17 ]}วงจรชีวิตที่อธิบายไว้ในมาตรฐานประกอบด้วยขั้นตอนต่อไปนี้: การออกแบบ การจัดหา การสร้าง การส่งมอบ การจัดจำหน่าย การบำรุงรักษา และการกำจัด

การวัดและการรับรอง

องค์กรต่างๆ สามารถได้รับการรับรองว่าสอดคล้องกับมาตรฐานผ่านโครงการรับรองผู้ให้บริการเทคโนโลยีที่เชื่อถือได้ของ Open Group ^{[ 18 ]}การปฏิบัติตามมาตรฐานจะได้รับการประเมินโดยผู้ประเมินบุคคลที่สามที่ได้รับการยอมรับ^{[ 19 ]}เมื่อองค์กรได้รับการประเมินว่าสอดคล้องกับมาตรฐานแล้ว องค์กรนั้นจะได้รับการขึ้นทะเบียนในทะเบียนรับรองของ Open Group อย่างเป็นทางการ^{[ 20 ]}กระบวนการประเมินโดยบุคคลที่สามอยู่ภายใต้การกำกับดูแลของนโยบายการรับรองและขั้นตอนการประเมิน^{[ 21 ]}

ประวัติศาสตร์

ความพยายามในการสร้างมาตรฐานเริ่มต้นในเดือนมกราคม 2010 ด้วยการประชุมที่จัดโดย The Open Group และมีตัวแทนอุตสาหกรรมรายใหญ่ รวมถึงกระทรวงกลาโหมของสหรัฐอเมริกาและNASAเข้าร่วม Open Trusted Technology Forum เปิดตัวอย่างเป็นทางการในเดือนธันวาคม 2010 เพื่อพัฒนามาตรฐานอุตสาหกรรมและเสริมสร้างความปลอดภัยของห่วงโซ่อุปทานทั่วโลกและความสมบูรณ์ของผลิตภัณฑ์ COTS ICT ^{[ 22 ]}

เอกสารเผยแพร่ฉบับแรกของฟอรัมคือเอกสารไวท์เปเปอร์ที่อธิบายกรอบเทคโนโลยีที่เชื่อถือได้โดยรวมในปี 2553 ^{[ 23 ]}เอกสารไวท์เปเปอร์นี้มุ่งเน้นไปที่แนวปฏิบัติที่ดีที่สุดโดยรวมที่องค์กรเชิงพาณิชย์ที่ดีปฏิบัติตามในขณะที่สร้างและส่งมอบผลิตภัณฑ์ COTS ICT ของตน ขอบเขตที่กว้างนั้นถูกจำกัดให้แคบลงในช่วงปลายปี 2553 และต้นปี 2554 เพื่อจัดการกับภัยคุกคามที่โดดเด่นที่สุดของผลิตภัณฑ์ปลอมและผลิตภัณฑ์ที่ปนเปื้อนอย่างเป็นอันตราย ส่งผลให้เกิด O-TTPS ซึ่งมุ่งเน้นไปที่ภัยคุกคามเหล่านั้นโดยเฉพาะ

O-TTPS เวอร์ชันแรกได้รับการเผยแพร่ในเดือนเมษายน พ.ศ. 2556 ^{[ 24 ]}มาตรฐาน O-TTPS เวอร์ชัน 1.1 ได้รับการเผยแพร่ในเดือนกรกฎาคม พ.ศ. 2557 ^{[ 4 ]}เวอร์ชันนี้ได้รับการอนุมัติโดย ISO/IEC ในปี พ.ศ. 2558 ในชื่อ ISO/IEC 20243:2015

โปรแกรมการรับรอง O-TTPS เริ่มขึ้นในเดือนกุมภาพันธ์ พ.ศ. 2557 IBMเป็นบริษัทแรกที่ได้รับการรับรองว่าสอดคล้องกับมาตรฐาน^{[ 25 ]}

โปรแกรมมาตรฐานและการรับรองได้ถูกกล่าวถึงในคำให้การที่ส่งไปยังรัฐสภาสหรัฐฯ เกี่ยวกับความเสี่ยงของห่วงโซ่อุปทานและความปลอดภัยทางไซเบอร์^{[ 26 ]}^{[ 27 ]}พระราชบัญญัติการอนุญาตการป้องกันประเทศสำหรับปีงบประมาณ 2016มาตรา 888 (มาตรฐานสำหรับการจัดซื้อเทคโนโลยีสารสนเทศที่ปลอดภัยและระบบความปลอดภัยทางไซเบอร์) กำหนดให้รัฐมนตรีว่าการกระทรวงกลาโหมสหรัฐฯดำเนินการประเมิน O-TTPS หรือมาตรฐานเทคโนโลยีสาธารณะแบบเปิดที่คล้ายคลึงกัน และรายงานต่อคณะกรรมการด้านกองทัพของวุฒิสภาสหรัฐฯและสภาผู้แทนราษฎรสหรัฐฯภายในหนึ่งปี^{[ 28 ]}

ดูเพิ่มเติม

ลิงก์ภายนอก

http://csrc.nist.gov/scrm/references.html
http://www.afcea.org/committees/cyber/documents/Supplychain.pdf
https://www.networkworld.com/article/716997/malware-cybercrime-defense-department-wants-secure-global-high-tech-supply-chain.html
http://www.computerworlduk.com/news/security/3343185/the-open-group-previews-o-ttps-security-standard-for-supply-chains/
http://www.opengroup.org/subjectareas/trusted-technology
http://www.infoworld.com/article/2613780/supply-chain-management/supply-chain-2013--stop-playing-whack-a-mole-with-security-threats.html
http://washingtontechnology.com/microsites/2012/sewp-2012/04-program-office-takes-leadership-role.aspx
https://www.dhs.gov/news/2011/01/06/securing-global-supply-chain
http://blogs.ca.com/2013/04/12/the-launch-of-the-open-trusted-technology-provider-standard/?intcmp=searchresultclick&resultnum=1

[ 1 ]

[

[

[

[

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]

[ 14 ]

[ 15 ]

[ 16 ]

[ 17 ]

[ 18 ]

[ 19 ]

[ 20 ]

[ 21 ]

[ 22 ]

[ 23 ]

[ 24 ]

[ 25 ]

[ 26 ]

[ 27 ]

[ 28 ]