среда, 9 октября 2019 г.

США: Национальный институт стандартов и технологий начал публичное обсуждение документа NIST SP 800-207 «Архитектура нулевого доверия»


Данная новость была опубликована на сайте американского Национального института стандартов и технологий (National Institute of Standards and Technology, NIST) 22 сентября 2019 года.

22 сентября 2019 года сайт американского Национального института стандартов и технологий (National Institute of Standards and Technology, NIST) выложил для публичного обсуждения проект новой специальной публикации SP 800-207 «Архитектура нулевого доверия» (Zero Trust Architecture). Документ объёмом 49 страниц доступен по адресу https://doi.org/10.6028/NIST.SP.800-207-draft . Публичное обсуждение продлится до 22 ноября 2019 года. Замечания и предложения следует направлять по адресу zerotrust-arch@nist.gov .

В новостном сообщении говорится следующее:
«В данном документе обсуждаются основные логические компоненты сетевой стратегии «архитектура нулевого доверия» (zero trust architecture, ZTA).

Термин «нулевое доверие» относится к развивающемуся набору парадигм сетевой безопасности, которые сужают сферу защиты от широких периметров сети до отдельных ресурсов или их небольших групп. Этот акцент на защиту ресурсов, а не сегментов сети, является ответом на корпоративные тенденции, которые включают удаленных пользователей и облачные активы, которые не находятся в пределах корпоративного периметра.

Стратегии ZTA уже присутствуют в действующих федеральных политиках и программах в области кибербезопасности. Данный документ содержит анализ пробелов в областях, где необходимы дополнительные исследования и стандартизация для того, чтобы помочь федеральным органам исполнительной власти в разработке и реализации стратегий ZTA.

Кроме того, в данном документе дается абстрактное определение ZTA, а также описываются типовые модели развертывания, варианты применения, в которых ZTA может улучшить общее состояние ИТ-безопасности организации, и приводится высокоуровневая «дорожная карта» внедрения подхода ZTA на предприятии.

При подаче своих замечаний и предложений просьба использовать предлагаемый нами шаблон. Замечания и предложения отправляйте на почтовый адрес zerotrust-arch@nist.gov до 22 ноября 2019 года.»
Краткое содержание документа описано следующим образом:
««Нулевое доверие» - это термин, обозначающий развивающийся набор парадигм сетевой безопасности, предусматривающих переход от защиты широких сетевых периметров на узко сфокусированную защиту отдельных ресурсов или их небольших групп.

Стратегия «Архитектура нулевого доверия» (Zero Trust Architecture, ZTA) - это стратегия, в которой не существует неявного доверия к системам на основе их физического или сетевого местоположения (то есть, например, большего доверия к системам в локальных сетях, чем в Интернете).

Доступ к ресурсам данных предоставляется тогда, когда ресурс требуется, и аутентификация (как пользователя, так и устройства) выполняется до установления соединения.

ZTA является ответом на тенденции, характерные для корпоративных сетей, среди которых - наличие удаленных пользователей и облачных активов, которые не находятся в пределах принадлежащих организации границ сети.

В ZTA основное внимание уделяется защите ресурсов, а не сегментов сети, поскольку сетевое местоположение более не рассматривается в качестве главного аспекта при определении уровня безопасности ресурса.»
Содержание документа следующее:
1. Введение
2. Архитектура нулевого доверия
3. Логические компоненты архитектуры нулевого доверия Components
4. Сценарии развёртывания / варианты применения
5. Угрозы, связанные с архитектурой нулевого доверия
6. Архитектура нулевого доверия и существующие федеральные руководства
7. Переход на архитектуру нулевого доверия 
Литература
Мой комментарий: Чем такого рода публикации интересны для архивистов и специалистов по управлению документами и информацией? Конечно, нам важно понимать язык специалистов по безопасности; однако ещё важнее самим осознать то, что те уже поняли для себя: подлежащие управлению документы и информация всё больше создаются, хранятся и уничтожаются за пределами периметра организации, - и нам нужно подумать о соответствующей модернизации принципов, политик и процессов управления документами и передачи их на архивное хранение.

Источник: сайт NIST
https://csrc.nist.gov/publications/detail/sp/800-207/draft 

Комментариев нет:

Отправить комментарий