суббота, 1 августа 2020 г.

США: Национальный институт стандартов и технологий начал публичное обсуждение специальной публикации NIST SP 800-209 «Рекомендации по безопасности для инфраструктуры хранения»


Данная новость была опубликована на сайте ив новостной рассылке американского Национального института стандартов и технологий (National Institute of Standards and Technology, NIST) 21 июля 2020 года.

Американский Национальный институт стандартов и технологий (National Institute of Standards and Technology, NIST) 21 июля 2020 года выложил для публичного обсуждения проект новой специальной публикации NIST SP 800-209 «Рекомендации по безопасности для инфраструктуры хранения» (Security Guidelines for Storage Infrastructure).

Инфраструктура хранения, наряду с вычислительной инфраструктурой (включающей операционную систему и аппаратное обеспечение хоста) и сетевой инфраструктурой, является одним из трех основных столпов информационных технологий (ИТ). Тем не менее, когда речь идет о безопасности, ей, по сравнению с вычислительной и сетевой инфраструктурами, уделяется сравнительно ограниченное внимание, - даже несмотря на то, что компрометация данных может оказать на организацию негативное воздействие такого же масштаба, как и нарушения безопасности в вычислительной и сетевой инфраструктурах.

Чтобы устранить этот пробел, Национальный институт стандартов и технологий (NIST) подготовил проект специальной публикации NIST SP 800-209 «Рекомендации по безопасности для инфраструктуры хранения» объёмом 65 страниц, см. https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-209-draft.pdf , который включает в себя всесторонние рекомендации по безопасности для инфраструктур хранения.

Рассматриваемые в этом документе направления деятельности в сфере безопасности охватывают не только те области, которые являются общими для всей ИТ-инфраструктуры, такие, как физическая безопасность, аутентификация и авторизация, управление изменениями, контроль конфигурации, реагирование на инциденты и восстановление после них; но также и те, которые являются специфическими для инфраструктуры хранения – это, например, защита данных, изоляция, обеспечение уверенности в возможности восстановления, а также шифрование данных.

Публичное обсуждение настоящего документа продлится до 31 августа 2020 года.

Мой комментарий: В аннотации на документ сказано следующее:
«Технология хранения, как и вычислительные и сетевые технологии, ушла в своей эволюции от традиционных форм оказания услуг хранения, таких, как блок, файл и объект. В частности, эволюция прошла в двух направлениях: одно - по пути увеличения ёмкости запоминающих устройств (таких, как, лента, жесткий диск, твердотельный SSD-диск); и второе - по архитектурному фронту, начиная от непосредственно подключаемых систем хранения (direct attached storage, DAS), через размещение ресурсов хранения в выделенных сетях, доступных через различные интерфейсы и протоколы, и до ресурсов хранения с облачным доступом, что обеспечивает абстрагирование от базовых технологий хранения посредством программного обеспечения.

Эволюция сопровождается увеличением сложности управления, что, как следствие, увеличивает вероятность ошибок конфигурации и взаимосвязанных угроз безопасности.

В настоящем документе дается обзор эволюции ландшафта технологий хранения, текущих угроз безопасности и связанных с ними рисков. Основное внимание в этом документе уделяется предоставлению всестороннего набора рекомендаций по безопасности, направленных на устранение угроз. Рекомендации охватывают не только те области менеджмента безопасности, которые являются общими для инфраструктуры информационных технологий (это, например, физическая безопасность, аутентификация и авторизация, управление изменениями, контроль конфигурации, а также реагирование на инциденты и восстановление после них), - но также и на те, которые являются специфическими для инфраструктуры хранения (например, защита данных, изоляция, обеспечение уверенности в возможности восстановления, а также шифрование данных).»
Содержание документа следующее:
Резюме для руководства
1. Введение
2. Технологии хранения данных: Предыстория
3. Угрозы, риски и виды атак
4. Рекомендации по безопасности при развёртывании систем хранения
5. Итоги и выводы
Литература
Источник: сайт NIST
https://www.nist.gov/itl/information-technology-laboratory-itl-patent-policy-inclusion-patents-itl-publications
https://csrc.nist.gov/publications/detail/sp/800-209/draft
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-209-draft.pdf

Комментариев нет:

Отправить комментарий