CGB-1 · 6 नियंत्रण
संवेदनशीलता और रेडैक्शन
क्रेडेंशियल्स, व्यक्तिगत डेटा और विनियमित पहचानकर्ता कभी भी ट्रस्ट बाउंड्री को पार नहीं करने चाहिए। डिटेक्शन, रेडैक्शन और उनके आसपास की गारंटी।
CIS Benchmarks परिभाषित करते हैं कि एक हार्डन्ड सर्वर क्या होता है। Context Governance Benchmark परिभाषित करता है कि एक शासित संदर्भ पाइपलाइन क्या होती है: 6 डोमेन में 32 मापने योग्य, टूल-तटस्थ नियंत्रण जो चार परिपक्वता ग्रेडों में स्कोर किए जाते हैं। सुरक्षा टीमों, खरीद और प्रेस द्वारा उद्धृत किया जा सकता है — CC-BY 4.0 के तहत निःशुल्क।
स्थिति: v1.0-draft, प्री-रिव्यू। कैटलॉग प्रकाशित है और फीडबैक के लिए खुला है; v1.0-final के लिए ≥ 3 नामित बाहरी समीक्षक आवश्यक हैं। तब तक, इसे जारी मानक के रूप में उद्धृत न करें — ड्राफ्ट का हवाला दें।
प्रत्येक नियंत्रण एक आवश्यकता बताता है, यह क्यों मायने रखता है, एक ठोस माप विधि और एक स्तर। तीन स्तर एक दूसरे पर निर्मित होते हैं: बेसिक (12-नियंत्रण आधार), हार्डन्ड (ग्राहक या विनियमित डेटा के लिए 15 नियंत्रण) और ऑडिटेड (तृतीय-पक्ष सत्यापन योग्य आश्वासन के साथ 5 नियंत्रण)।
CGB-1 · 6 नियंत्रण
क्रेडेंशियल्स, व्यक्तिगत डेटा और विनियमित पहचानकर्ता कभी भी ट्रस्ट बाउंड्री को पार नहीं करने चाहिए। डिटेक्शन, रेडैक्शन और उनके आसपास की गारंटी।
CGB-2 · 5 नियंत्रण
किसी भी मॉडल इंटरैक्शन के लिए: संदर्भ में क्या प्रवेश किया, यह कहाँ से आया, क्या इसे बदला गया है? स्रोत एट्रीब्यूशन, ट्रांसफॉर्मेशन डिस्क्लोजर, टैम्पर एविडेंस।
CGB-3 · 5 नियंत्रण
एक प्रॉम्प्ट कई टूल कॉल और सब-एजेंट्स में फैल जाता है। सीमाएँ, एट्रीब्यूशन और बिलिंग से पहले अनियंत्रित खपत को रोकना।
CGB-4 · 6 नियंत्रण
गवर्नेंस दावे केवल उनके पीछे के रिकॉर्ड जितने मजबूत होते हैं। क्या लॉग किया जाता है, इसे कैसे सुरक्षित रखा जाता है, और क्या कोई तीसरा पक्ष इसकी पुष्टि कर सकता है।
CGB-5 · 5 नियंत्रण
एक एजेंट किस तक पहुँच सकता है, किसके अधिकार पर? फ़ाइलसिस्टम, कमांड निष्पादन, नेटवर्क और टूल-सतह की सीमाएँ — सहायक, न कि अनऑडिटेड रूट शेल।
CGB-6 · 5 नियंत्रण
कैशे, सेशन स्टोर, दीर्घकालिक मेमोरी, साझा ज्ञान: कैसे संचित स्थिति को सीमित, समाप्त, हटाया जाता है और समय के साथ ईमानदार रखा जाता है।
नियंत्रण स्कोर मेट (1.0), आंशिक (0.5, गैप का विवरण) या पूरा नहीं हुआ (0)। एक स्तर का स्कोर लागू नियंत्रणों पर अंक होता है। ग्रेड वह उच्चतम थ्रेशोल्ड है जिसे पाइपलाइन साफ़ करती है — C1 से नीचे यह बस बिना ग्रेड वाला होता है।
Foundational
Basic ≥ 75%
Managed
बेसिक ≥ 90% और हार्डीन्ड ≥ 50%
Hardened
बेसिक = 100%, हार्डीन्ड ≥ 80%, ऑडिटेड ≥ 40%, हर मेट नियंत्रण साक्ष्य से जुड़ा होता है
Audited
बेसिक = 100%, हार्डीन्ड = 100%, ऑडिटेड ≥ 80%, स्वतंत्र रूप से सत्यापित
C3 से ऊपर, हर Met दावे से एक साक्ष्य लिंक जुड़ा होता है जिसे कोई समीक्षक खोल सकता है। C4 से, मूल्यांकन स्वयं स्वतंत्र रूप से सत्यापित होता है — डिज़ाइन द्वारा स्व-मूल्यांकन C3 पर रुक जाते हैं।
स्पेसिफिकेशन टूल-तटस्थ है; यह हिस्सा नहीं। LeanCTX v1.0-draft के विरुद्ध C2 पर स्व-मूल्यांकन करता है — प्रबंधित: बेसिक 96% · हार्डन्ड 80% · ऑडिटेड 50%। जहाँ किसी दावे को कठोरता से सत्यापित नहीं किया जा सका, वहाँ नियंत्रण ग्रेड कम होता है, ऊपर नहीं।
प्रकाशित गैप में CGB-1.4 (फेल-क्लोज्ड रेडैक्शन कवरेज एक सामान्य अभ्यास है, CI गेट द्वारा संरचनात्मक रूप से सिद्ध नहीं) और कई ऑडिटेड-स्तर के नियंत्रण शामिल हैं जिनके लिए तीसरे पक्ष के सत्यापन की प्रतीक्षा है। पूर्ण प्रति-नियंत्रण निष्कर्ष — जिसमें हर आंशिक और पूरा नहीं हुआ शामिल है — सार्वजनिक स्व-मूल्यांकन में हैं।
अपने सेटअप का मूल्यांकन करें: lean-ctx policy coverage --benchmark cgb टेस्टेबल नियंत्रणों के विरुद्ध आपके हल किए गए पॉलिसी पैक की सांख्यिकीय रूप से जाँच करता है — पैटर्न-नाम विश्वास नहीं, सिंथेटिक फिक्स्चर।
नियंत्रण आईडी स्थायी होती हैं और कभी पुन: उपयोग नहीं की जातीं। ठोस बदलाव एक RFC-लाइट प्रक्रिया से गुजरते हैं जिसमें 14 दिन की टिप्पणी विंडो और दर्ज असहमति शामिल है। कैटलॉग का वार्षिक रूप से संशोधन किया जाता है; ड्राफ्ट को हमेशा लेबल किया जाता है। लाइसेंस: CC-BY 4.0।
समीक्षा बोर्ड — खुला आमंत्रण। v1.0-final तब शिप होता है जब ≥ 3 नामित बाहरी समीक्षक (सुरक्षा, अनुपालन या प्लेटफॉर्म-इंजीनियरिंग पेशेवर, कोई एकल-विक्रेता वाणिज्यिक हित नहीं) हर डोमेन पर काम कर चुके होते हैं। समीक्षकों का नाम जारी किए गए स्पेसिफिकेशन पर होता है। एक इश्यू के माध्यम से स्वयंसेवक बनें →
6 डोमेन (संवेदनशीलता और रेडैक्शन, प्रोवेनेंस, बजट नियंत्रण, ऑडिट और साक्ष्य, एक्सेस स्कोपिंग, लाइफसाइकिल और रिटेंशन) में 32 मापने योग्य नियंत्रणों का एक संस्करणयुक्त, टूल-तटस्थ कैटलॉग जो परिभाषित करता है कि एक शासित कॉन्टेक्स्ट पाइपलाइन क्या है — जिस तरह CIS बेंचमार्क परिभाषित करते हैं कि एक हार्डन्ड सर्वर क्या है। यह CC-BY 4.0 के तहत प्रकाशित किया जाता है और चार परिपक्वता ग्रेडों, C1 से C4 में स्कोर किया जाता है।
LeanCTX अनुरक्षक स्पेसिफिकेशन को संपादित करते हैं, लेकिन नियंत्रण जानबूझकर टूल-तटस्थ होते हैं: किसी भी नियंत्रण में कोई LeanCTX अवधारणा दिखाई नहीं देती है, एक तटस्थता लिनटर इसे CI में लागू करता है, और कोई भी विक्रेता या इन-हाउस पाइपलाइन स्व-मूल्यांकन कर सकती है। LeanCTX गैप सहित अपने स्वयं के स्व-मूल्यांकन को एक अलग दस्तावेज़ के रूप में प्रकाशित करता है।
v1.0-draft के विरुद्ध, LeanCTX C2 पर स्व-मूल्यांकन करता है — प्रबंधित (बेसिक 96%, हार्डन्ड 80%, ऑडिटेड 50%), जिसमें गैप प्रकाशित हैं: उनमें से, फेल-क्लोज्ड रेडैक्शन कवरेज संरचनात्मक रूप से सिद्ध होने के बजाय एक सामान्य अभ्यास है, और कई ऑडिटेड-स्तर के नियंत्रणों को तीसरे पक्ष के सत्यापन की आवश्यकता होती है। एक आदर्श स्व-स्कोर मूल्यांकन के बारे में कहने से अधिक मूल्यांकन के बारे में होगा।
नहीं — v1.0-draft प्रकाशित है और समीक्षा के लिए खुला है। रिलीज़ तब v1.0-final बन जाती है जब कम से कम तीन नामित बाहरी समीक्षकों (सुरक्षा, अनुपालन या प्लेटफॉर्म-इंजीनियरिंग पेशेवर) ने हर डोमेन पर काम किया होता है। तब तक, मूल्यांकन को ड्राफ्ट स्थिति का हवाला देना चाहिए। क्या आप एक समीक्षक बनना चाहते हैं? स्पेसिफिकेशन रिपॉजिटरी में एक इश्यू खोलें।
स्पेसिफिकेशन को क्लोन करें, मूल्यांकन टेम्पलेट के साथ 32 कंट्रोल्स पर काम करें, और प्रत्येक कंट्रोल को उसकी बताई गई माप विधि का उपयोग करके Met, Partial, Not met या N/A ग्रेड दें। LeanCTX उपयोगकर्ता इसका कुछ हिस्सा स्वचालित कर सकते हैं: lean-ctx policy coverage --benchmark cgb स्टेटिक रूप से हल किए गए पॉलिसी पैक की जांच करने के लिए करती है बनाम परीक्षण योग्य कंट्रोल्स और प्रति-कंट्रोल परिणाम प्रिंट करती है।
स्पेसिफिकेशन पढ़ें, अपने पाइपलाइन का आकलन करें, मुद्दे फ़ाइल करें — या देखें कि LeanCTX स्थानीय रूप से, हमेशा के लिए कैसे नियंत्रण लागू करता है। CGB नियंत्रण परिभाषित करता है; ओपन कॉन्टेक्स्ट प्रोटोकॉल वायर फॉर्मेट को परिभाषित करता है; अनुपालन मैपिंग दोनों को EU AI Act, ISO 42001 और SOC 2 से जोड़ती है।