Американский Национальный институт стандартов и технологий (National Institute of Standards and Technology, NIST) в феврале 2015 года опубликовал 30-страничный межведомственный отчет NISTIR 8023 «Управление рисками для устройств репликации» (Risk Management for Replication Devices), авторами которого являются Келли Демпси (Kelley Dempsey) и Селия Паульсен (Celia Paulsen). Документ доступен по адресу http://nvlpubs.nist.gov/nistpubs/ir/2015/NIST.IR.8023.pdf
1. ВведениеВ документе отмечается следующее:
2. Угрозы и уязвимости
3. Деятельность по управлению рисками на протяжении жизненного цикла систем
4. Заключение
Приложение A: Ссылки
Приложение B: Пример оценки рисков безопасности
Приложение C: Роли и обязанности
«Устройством репликации (replication device, RD) является любое устройство, которое воспроизводит (например, копирует, печатает или сканирует) документы, изображения или объекты из электронных или физических источников.Источник: сайт NIST
Для целей настоящего отчета, понятие «устройства репликации» охватывает копировальные аппараты, принтеры, трехмерные принтеры, сканеры, трёхмерные сканеры, а также многофункциональные устройства при использовании их в качестве копиров, принтеров или сканеров.
В организациях используется целая гамма устройств репликации в плане их возраста и функциональных возможностей. У старых, выполняющих одну функцию устройств может отсутствовать встроенная энергонезависимая память и возможности подключения к сети. Другие устройства могут выполнять ряд различных функций, подключаться к сети, работать под управлением коммерчески доступных операционных систем, иметь внутреннюю энергонезависимую память, содержать встроенные внутренние серверы печати и поддерживать функции веб-сервера. Между двумя крайностями находятся устройства с внутренней памятью и сетевым подключением, не имеющие, однако, средств, обеспечивающих их настройку для безопасного использования. Кроме того, многие организации не ведут аккуратного учета таких устройств и не понимают, какими функциональными возможностями обладает каждое из них, особенно в плане хранения, обработки и передачи информации (данных).
Управление рисками, связанными с устройствами репликации, требует базового понимания угроз, уязвимостей, потенциального воздействия и вероятности тех или иных событий, а также выбора и реализации контрмер или стратегий смягчения рисков. Данная публикация содержит рекомендации по защите конфиденциальности, целостности и доступности информации, обрабатываемой, хранимой или передаваемой с использованием подобных устройств.
Риски важно осознать ещё до приобретения устройства репликации. Для управления рисками, связанными с уже имеющимися устройствами, не удовлетворяющими в настоящее время минимальным требованиям организации к безопасности, предусматривается их замена (как только позволят ресурсы), а до тех пор применяются компенсирующие меры - например, установка брандмауэра для тех сетевых устройств, которые невозможно пропатчить / обновить и/или не поддерживающих функции шифрования; пересмотр контракта на оказание услуг или договора аренды; постоянное сопровождение [внешних] специалистов, занимающихся техническим обслуживанием.
Риски, связанные с владением и использованием устройств репликации, постоянно изменяются. По мере развития технологий, изменений операционной среды и организационных изменений также могут измениться угрозы, уязвимости, потенциальное воздействие и вероятности событий. Организациям следует оценивать свои риски как в момент приобретения устройств репликации, так и на регулярной основе впоследствии, с тем, чтобы обеспечить выполнение соответствующих контрмер или стратегий смягчения рисков.
http://nvlpubs.nist.gov/nistpubs/ir/2015/NIST.IR.8023.pdf
http://dx.doi.org/10.6028/NIST.IR.8023
Комментариев нет:
Отправить комментарий