суббота, 7 марта 2015 г.

США: Национальный институт стандартов и технологий выпустил руководство по оценке рисков для устройств репликации – копиров, принтеров и сканеров


Американский Национальный институт стандартов и технологий (National Institute of Standards and Technology, NIST) в феврале 2015 года опубликовал 30-страничный межведомственный отчет NISTIR 8023 «Управление рисками для устройств репликации» (Risk Management for Replication Devices), авторами которого являются Келли Демпси (Kelley Dempsey) и Селия Паульсен (Celia Paulsen). Документ доступен по адресу http://nvlpubs.nist.gov/nistpubs/ir/2015/NIST.IR.8023.pdf

Содержание документа:
1. Введение
2. Угрозы и уязвимости
3. Деятельность по управлению рисками на протяжении жизненного цикла систем
4. Заключение
Приложение A: Ссылки
Приложение B: Пример оценки рисков безопасности
Приложение C: Роли и обязанности
В документе отмечается следующее:
«Устройством репликации (replication device, RD) является любое устройство, которое воспроизводит (например, копирует, печатает или сканирует) документы, изображения или объекты из электронных или физических источников.

Для целей настоящего отчета, понятие «устройства репликации» охватывает копировальные аппараты, принтеры, трехмерные принтеры, сканеры, трёхмерные сканеры, а также многофункциональные устройства при использовании их в качестве копиров, принтеров или сканеров.

В организациях используется целая гамма устройств репликации в плане их возраста и функциональных возможностей. У старых, выполняющих одну функцию устройств может отсутствовать встроенная энергонезависимая память и возможности подключения к сети. Другие устройства могут выполнять ряд различных функций, подключаться к сети, работать под управлением коммерчески доступных операционных систем, иметь внутреннюю энергонезависимую память, содержать встроенные внутренние серверы печати и поддерживать функции веб-сервера. Между двумя крайностями находятся устройства с внутренней памятью и сетевым подключением, не имеющие, однако, средств, обеспечивающих их настройку для безопасного использования. Кроме того, многие организации не ведут аккуратного учета таких устройств и не понимают, какими функциональными возможностями обладает каждое из них, особенно в плане хранения, обработки и передачи информации (данных).

Управление рисками, связанными с устройствами репликации, требует базового понимания угроз, уязвимостей, потенциального воздействия и вероятности тех или иных событий, а также выбора и реализации контрмер или стратегий смягчения рисков. Данная публикация содержит рекомендации по защите конфиденциальности, целостности и доступности информации, обрабатываемой, хранимой или передаваемой с использованием подобных устройств.

Риски важно осознать ещё до приобретения устройства репликации. Для управления рисками, связанными с уже имеющимися устройствами, не удовлетворяющими в настоящее время минимальным требованиям организации к безопасности, предусматривается их замена (как только позволят ресурсы), а до тех пор применяются компенсирующие меры - например, установка брандмауэра для тех сетевых устройств, которые невозможно пропатчить / обновить и/или не поддерживающих функции шифрования; пересмотр контракта на оказание услуг или договора аренды; постоянное сопровождение [внешних] специалистов, занимающихся техническим обслуживанием.

Риски, связанные с владением и использованием устройств репликации, постоянно изменяются. По мере развития технологий, изменений операционной среды и организационных изменений также могут измениться угрозы, уязвимости, потенциальное воздействие и вероятности событий. Организациям следует оценивать свои риски как в момент приобретения устройств репликации, так и на регулярной основе впоследствии, с тем, чтобы обеспечить выполнение соответствующих контрмер или стратегий смягчения рисков.
Источник: сайт NIST
http://nvlpubs.nist.gov/nistpubs/ir/2015/NIST.IR.8023.pdf
http://dx.doi.org/10.6028/NIST.IR.8023 

Комментариев нет:

Отправить комментарий