El estándar Open Trusted Technology Provider ™ (O-TTPS) ( Mitigación de productos falsificados y mal intencionados) es un estándar de The Open Group que también ha sido aprobado para su publicación como estándar de tecnología de la información por la Organización Internacional de Normalización y la Comisión Electrotécnica Internacional. a través de ISO / IEC JTC 1 y ahora también se conoce como ISO / IEC 20243: 2015. [1] El estándar consiste en un conjunto de pautas, requisitos y recomendaciones que se alinean con las mejores prácticas para la seguridad de la cadena de suministro global y la integridad deproductos comerciales de tecnología de la información y la comunicación (TIC) listos para usar (COTS) . [2] [3] Actualmente se encuentra en la versión 1.1. [4] [5] También se ha publicado una traducción al chino. [6]
Fondo
El O-TTPS se desarrolló en respuesta a un panorama cambiante y la mayor sofisticación de los ataques de ciberseguridad en todo el mundo. [7] La intención es ayudar a los proveedores a crear productos con integridad y permitir que sus clientes tengan más confianza en los productos tecnológicos que compran. [8] Las organizaciones de los sectores público y privado dependen en gran medida de los productos TIC de COTS para ejecutar sus operaciones. Estos productos a menudo se producen a nivel mundial, y el desarrollo y la fabricación se llevan a cabo en diferentes sitios en varios países. [9] El O-TTPS está diseñado para mitigar el riesgo de componentes falsificados y contaminados y para ayudar a garantizar la integridad del producto y la seguridad de la cadena de suministro durante todo el ciclo de vida del producto. [10] [11]
El Trusted Technology Forum (OTTF) de Open Group es un foro internacional neutral para los proveedores que utiliza un proceso formal basado en el consenso para la colaboración y la toma de decisiones sobre la creación de estándares y programas de certificación para tecnología de la información, incluido el O-TTPS. [12] En el foro, los proveedores, integradores y distribuidores de TIC trabajan con organizaciones y gobiernos para desarrollar estándares que especifiquen métodos seguros de ingeniería y fabricación junto con prácticas de seguridad de la cadena de suministro. [13]
La Guía de implementación para aprovechar los proveedores de tecnología de confianza abierta en la cadena de suministro [14] proporciona un mapeo entre el marco de ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST) [15] y las prácticas organizacionales relacionadas enumeradas en el O-TTPS. NIST hizo referencia a O-TTPS en su Publicación especial 800-161 de NIST "Prácticas de gestión de riesgos de la cadena de suministro para organizaciones y sistemas de información federales" que brinda orientación a las agencias federales para identificar, evaluar y mitigar los riesgos de la cadena de suministro de TIC en todos los niveles de sus organizaciones. [dieciséis]
Propósito
El estándar, desarrollado por expertos de la industria dentro del Foro, especifica prácticas organizacionales que brindan garantía contra productos falsificados y corruptos maliciosamente a lo largo del ciclo de vida del producto COTS ICT. [17] El ciclo de vida descrito en el estándar abarca las siguientes fases: diseño, abastecimiento, construcción, cumplimiento, distribución, mantenimiento y eliminación.
Medición y Certificación
Las organizaciones pueden ser certificadas por su conformidad con el estándar a través del Programa de Acreditación de Proveedores de Tecnología de Confianza de Open Group. [18] La conformidad con el estándar es evaluada por evaluadores externos reconocidos. [19] Una vez que se ha evaluado con éxito que una organización cumple con el estándar, la organización se incluye públicamente en el Registro de Acreditación del Grupo Abierto. [20] El proceso de evaluación de terceros se rige por la Política de acreditación y los Procedimientos de evaluación. [21]
Historia
El esfuerzo para construir el estándar comenzó en enero de 2010 con una reunión organizada por The Open Group y que incluyó a los principales representantes de la industria y el Departamento de Defensa de los Estados Unidos y la NASA . El Open Trusted Technology Forum se lanzó formalmente en diciembre de 2010 para desarrollar estándares de la industria y mejorar la seguridad de las cadenas de suministro globales y la integridad de los productos TIC de COTS. [22]
La primera publicación del Foro fue un documento técnico que describía el marco tecnológico de confianza general en 2010. [23] El documento técnico se centró en general en las mejores prácticas generales que siguen las buenas organizaciones comerciales al crear y entregar sus productos TIC COTS. Ese enfoque amplio se redujo a finales de 2010 y principios de 2011 para abordar las amenazas más importantes de productos falsificados y malintencionados que dieron como resultado el O-TTPS, que se centra específicamente en esas amenazas.
La primera versión de O-TTPS se publicó en abril de 2013. [24] La versión 1.1 de la norma O-TTPS se publicó en julio de 2014. [4] Esta versión fue aprobada por ISO / IEC en 2015 como ISO / IEC 20243: 2015 .
El Programa de Acreditación O-TTPS comenzó en febrero de 2014. IBM fue la primera empresa en lograr la acreditación de conformidad con el estándar. [25]
El programa estándar y de acreditación se ha mencionado en el testimonio entregado al Congreso de los Estados Unidos con respecto al riesgo de la cadena de suministro y la ciberseguridad. [26] [27] La Ley de Autorización de Defensa Nacional para el año fiscal 2016 Sección 888 (Estándares para la adquisición de tecnología de información segura y sistemas de seguridad cibernética) requiere que el Secretario de Defensa de los Estados Unidos realice una evaluación de O-TTPS o público similar, abierto estándares de tecnología e informar a los Comités de Servicios Armados del Senado de los Estados Unidos y la Cámara de Representantes de los Estados Unidos dentro de un año. [28]
Ver también
- Seguridad de la cadena de suministro
- Componentes electrónicos falsificados
- Organización Internacional de Normalización
- Comercial listo para usar
- Tecnología de información y comunicaciones
Referencias
- ^ "ISO / IEC 20243: 2015" . ISO.org . ISO.org . Consultado el 24 de septiembre de 2015 .
- ^ Bartol, Nadya (23 de mayo de 2016). "ADN de prácticas de seguridad de la cadena de suministro cibernético - Llenando el rompecabezas utilizando un conjunto diverso de disciplinas". Tecnovación . 34 (7): 354–361. doi : 10.1016 / j.technovation.2014.01.005 .
- ^ Whitman, Dave (marzo de 2015). "Ciberseguridad en cadenas de suministro". En LeClair, Jane; Keeley, Gregory (eds.). Ciberseguridad en nuestra vida digital . Hudson Whitman Excelsior College Press. ISBN 978-0-9898451-4-4.
- ^ a b "Biblioteca de publicaciones de Open Group" . opengroup.org . El grupo abierto . Consultado el 22 de junio de 2015 .
- ^ "ISO / IEC 20243: 2015 - Tecnología de la información - Estándar Open Trusted Technology ProviderTM (O-TTPS) - Mitigación de productos falsificados y contaminados de forma maliciosa" . ISO . Consultado el 23 de mayo de 2016 .
- ^ "Proveedor de tecnología de confianza abierta estándar 1.1 (chino)" . Biblioteca de publicaciones del grupo abierto . El grupo abierto . Consultado el 6 de junio de 2016 .
- ^ "Seguridad de la cadena de suministro de TI: revisión de los esfuerzos del gobierno y de la industria" . Cámara de Representantes de Estados Unidos.
- ^ Messmer, Ellen. "El Departamento de Defensa quiere una cadena de suministro de alta tecnología segura y global" . networkworld.com . IDG (Grupo Internacional de Datos) . Consultado el 30 de marzo de 2015 .
- ^ Lennon, Mike (9 de marzo de 2012). "USCC publica informe sobre capacidades chinas para operaciones cibernéticas y espionaje cibernético" . Semana de la Seguridad (9 de marzo de 2012). Medios comerciales con cable . Consultado el 25 de enero de 2016 .
- ^ "Cybersecurity: An Examination of the Communications Supply Chain (testimonio ante el Comité de Energía y Comercio Subcomité de Comunicaciones y Tecnología de la Cámara de Representantes de los Estados Unidos" (PDF) . Consejo de la Industria de Tecnología de la Información . Consultado el 24 de septiembre de 2015 .
- ^ Prince, Brian (5 de marzo de 2012). "El consorcio impulsa los estándares de seguridad para la cadena de suministro de tecnología" . SecurityWeek (5 de marzo de 2012). Medios comerciales con cable . Consultado el 25 de enero de 2016 .
- ^ "Membresía" . opengroup.org.
- ^ "Foro de Tecnología de Confianza del Grupo Abierto" . opengroup.org . El grupo abierto . Consultado el 11 de mayo de 2015 .
- ^ "Guía de implementación para aprovechar los proveedores de tecnología de confianza abierta en la cadena de suministro" . Recursos de la industria de ciberseguridad de NIST.Gov . El grupo abierto . Consultado el 24 de septiembre de 2015 .
- ^ "Marco de ciberseguridad" . NIST.Gov . NIST.Gov . Consultado el 24 de septiembre de 2015 .
- ^ Boyens, Jon (abril de 2015). "Prácticas de gestión de riesgos de la cadena de suministro para organizaciones y sistemas de información federales" . Instituto Nacional de Tecnología y Estándares. doi : 10.6028 / NIST.SP.800-161 . Cite journal requiere
|journal=
( ayuda ) - ^ "Resumen ejecutivo del testimonio de The Open Group ante la audiencia del subcomité de investigación y supervisión de energía y comercio de la Cámara sobre seguridad de la cadena de suministro de TI: revisión de los esfuerzos del gobierno y la industria" (PDF) . Energycommerce.house.gov . Congreso de Estados Unidos . Consultado el 6 de junio de 2016 .
- ^ "Programa de Acreditación de Grupos Abiertos" . Grupo abierto . Grupo abierto . Consultado el 22 de junio de 2015 .
- ^ "Registro de Asesores Reconocidos" . opengroup.org . El grupo abierto . Consultado el 11 de mayo de 2015 .
- ^ "Registro de tecnología de confianza de Open Group" . El grupo abierto . El grupo abierto . Consultado el 22 de junio de 2015 .
- ^ "Política de acreditación del estándar Open Trusted Technology Provider ™ (O-TTPS)" (PDF) . El grupo abierto . El grupo abierto . Consultado el 25 de enero de 2016 .
- ^ "The Open Group anuncia la formación de un foro de tecnología confiable para identificar las mejores prácticas para asegurar la cadena de suministro de tecnología global" . opengroup.org . Grupo abierto . Consultado el 16 de abril de 2015 .
- ^ "Marco de tecnología de confianza abierta" . opengroup.org . El grupo abierto . Consultado el 13 de abril de 2015 .
- ^ "O-TTPS" . opengroup.org . El grupo abierto . Consultado el 11 de mayo de 2015 .
- ^ "Ingeniería segura de IBM" . ibm.com . IBM Corp . Consultado el 13 de abril de 2015 .
- ^ "Comité de Energía y Comercio, Cámara de Representantes de Estados Unidos" . Comité de Comercio y Energía de la Cámara de los Estados Unidos . Consultado el 13 de abril de 2015 .
- ^ "Ciencia y transporte del comercio del Senado de los Estados Unidos" . Senado de Estados Unidos . Consultado el 13 de abril de 2015 .
- ^ "Ley de Autorización de Defensa Nacional para el año fiscal 2016 (S. 1356)" . GovTrack.us . Consultado el 23 de mayo de 2016 .
enlaces externos
- http://csrc.nist.gov/scrm/references.html
- http://www.afcea.org/committees/cyber/documents/Supplychain.pdf
- http://www.networkworld.com/article/2196759/malware-cybercrime/defense-department-wants-secure--global-high-tech-supply-chain.html
- http://www.computerworlduk.com/news/security/3343185/the-open-group-previews-o-ttps-security-standard-for-supply-chains/
- http://www.opengroup.org/subjectareas/trusted-technology
- http://www.infoworld.com/article/2613780/supply-chain-management/supply-chain-2013--stop-playing-whack-a-mole-with-security-threats.html
- http://washingtontechnology.com/microsites/2012/sewp-2012/04-program-office-takes-leadership-role.aspx
- https://www.dhs.gov/news/2011/01/06/securing-global-supply-chain
- http://blogs.ca.com/2013/04/12/the-launch-of-the-open-trusted-technology-provider-standard/?intcmp=searchresultclick&resultnum=1