भारत सरकार की साइबर सुरक्षा आश्वासन पहल के हिस्से के रूप में इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय (MeitY) द्वारा भारतीय सामान्य मानदंड प्रमाणन योजना (IC3S) की स्थापना की गई है। योजना का उद्देश्य आईटी सुरक्षा उत्पादों का मूल्यांकन और प्रमाणित करना है। और सुरक्षा प्रोफाइल (पीपी) सामान्य मानदंड मानकों की आवश्यकताओं के खिलाफ, आश्वासन स्तर ईएएल 1 से ईएएल4 तक। इस कार्यक्रम में मुख्य खिलाड़ी आईटी सुरक्षा उत्पादों या सुरक्षा प्रोफाइल, प्रायोजक, सामान्य मानदंड परीक्षण प्रयोगशाला (सीसीटीएल) और प्रमाणन निकाय के विकासकर्ता हैं। यह योजना सीसीआरए के अन्य सदस्य देशों (सामान्य) के साथ अंतर्राष्ट्रीय पारस्परिक मान्यता व्यवस्था के तहत राष्ट्रीय प्रमाणन प्रदान करती है। मानदंड मान्यता व्यवस्था), सभी सदस्य देशों में स्वीकार्य।
अन्य देशों के साथ, भारत पहले से ही एक प्रमाणपत्र अधिकृत राष्ट्र के रूप में सीसीआरए का सदस्य बन गया है। CCRA के अनुच्छेद 1 के अनुसार, एक सदस्य देशों द्वारा जारी किए गए प्रमाणपत्र अन्य देशों में बिना पुन: प्रमाणन के स्वीकार किए जाते हैं। केवल सरकारी निकाय ही देश का प्रमाणन निकाय (certification body) हो सकता है और हमारे मामले में MeitY/STQC प्रमाणन निकाय है।
इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय, एसटीक्यूसी निदेशालय के सामान्य मानदंड आधारित आईटी सुरक्षा मूल्यांकन और प्रमाणन योजना के विकास, संचालन और रखरखाव में निम्नलिखित उद्देश्य हैं:
आईटी उत्पादों के लागत प्रभावी मूल्यांकन के लिए सरकार और उद्योग की जरूरतों को पूरा करने के लिए;
वाणिज्यिक (commercial) सुरक्षा परीक्षण प्रयोगशालाओं के गठन को प्रोत्साहित (encouaged) करने के लिए
यह सुनिश्चित करने के लिए कि आईटी सुरक्षा उत्पादों का सुरक्षा मूल्यांकन सुसंगत (compatible) मानकों पर किया जाता है;
मूल्यांकन किए गए आईटी सुरक्षा उत्पादों की उपलब्धता में सुधार करना।
इस योजना का उद्देश्य बहुत विविध भूमिकाओं और जिम्मेदारियों के साथ रुचि के कई समुदायों की सेवा करना है।
आईटी उत्पाद डेवलपर्स,
आईटी सुरक्षा उत्पाद विक्रेता,
आईटी सुरक्षा उत्पाद के मूल्य वर्धित पुनर्विक्रेता,
आईटी सुरक्षा बुनियादी ढांचे के लिए सिस्टम इंटीग्रेटर्स,
आईटी सुरक्षा शोधकर्ता,
आईटी सुरक्षा उत्पाद का अधिग्रहण/खरीद प्राधिकरण,
आईटी सुरक्षा उत्पादों के उपभोक्ता
सामान्य मानदंड मूल्यांकन एक स्वतंत्र निकाय द्वारा एक आईटी उत्पाद का निष्पक्ष मूल्यांकन है। यह ऐसे उत्पादों के उपयोगकर्ताओं को प्रदान की गई सुरक्षा कार्यक्षमता में विश्वास प्रदान करता है। यह उपयोगकर्ताओं को उन उत्पादों की सुरक्षा क्षमताओं की तुलना करने के लिए एक मीट्रिक भी प्रदान करता है जिन्हें वे खरीदना चाहते हैं। मूल्यांकन किए जाने वाले आईटी उत्पादों को मूल्यांकन के लक्ष्य (टीओई) के रूप में संदर्भित किया जाता है। प्रमाणन मूल्यांकन परिणामों की वैधता की स्वतंत्र पुष्टि प्रदान करता है, और इस तरह योजना के तहत सभी मूल्यांकनों में इन परिणामों की तुलना सुनिश्चित करता है और परिणामों की पारस्परिक मान्यता की सुविधा प्रदान करता है राष्ट्रीय योजनाएं। प्रमाणन पुष्टि करता है कि टीओई को दावा किए गए आश्वासन स्तर तक अपने सुरक्षा लक्ष्य की आवश्यकता है और मूल्यांकन योजना के मानक यानी सामान्य मानदंड (ईक्यू: आईएसओ 15408) के अनुसार आयोजित किया गया है।
योजना में भागीदारी और इसके संबद्ध मूल्यांकन और प्रमाणन गतिविधियां सख्ती से स्वैच्छिक (voluntry) हैं (जब तक कि सरकारी नीति या विनियमों द्वारा अनिवार्य न हो)। इसके अलावा, संगठन सामान्य मानदंड का उपयोग करने और आईटी सुरक्षा आवश्यकताओं के लिए उत्पाद अनुरूपता प्रदर्शित करने के लिए वैकल्पिक गतिविधियां कर सकते हैं।
प्रमाणन निकाय STQC निदेशालय, इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय, भारत सरकार है। भारत की। प्रमाणन निकाय की स्थापना सरकार की आधिकारिक प्रशासन प्रक्रियाओं के तहत की गई है। आईएसओ 17065 की आवश्यकताओं को पूरा करने के लिए भारत का।
