NIST releases update to security standards for sensitive data
By Jill R. Aitoro 12/14/2009
Theo: http://www.nextgov.com/nextgov/ng_20091214_5474.php
Bài được đưa lên Internet ngày: 14/12/2009
Lời người dịch: Với tình hình an ninh không gian mạng đang nóng lên từng ngày, Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) Mỹ đang phác thảo chuẩn xử lý thông tin liên bang 140-3 cho những yêu cầu về an ninh cho các module mật mã. “Các cơ quan có thể sử dụng FIPS để thử nghiệm các module mật mã bao gồm trong cả các sản phẩm phần cứng và phần mềm đối với 4 mức an ninh mà nó trải từ một tập hợp tối thiểu các yêu cầu đảm bảo thông tin cho tới sự bảo vệ tối đa mà chúng kết hợp với xác thực nhiều yếu tố. Các sản phẩm nhận được một xếp hạng mà chúng phản ánh sự đáp ứng được mức độ an ninh cao nhất”. Thế mới biết người Mỹ quan tâm tới an ninh và tiêu chuẩn như thế nào. Một bài học cho Việt Nam?
Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) đã đưa ra hôm thứ sáu một bản thảo được xem lại về các cách đo đếm an ninh được sử dụng bởi các cơ quan liên bang để thử nghiệm các hệ thống máy tính của họ tốt ra sao khi chống lại các mưu toan của tin tặc.
NIST đã công bố bản phác thảo mới về Chuẩn Xử lý Thông tin Liên bang 140-3, “Những yêu cầu về an ninh cho các module mật mã”, mà nó chỉ dẫn các cơ quan trong những nỗ lực của họ để bảo vệ các dữ liệu nhạy cảm. Chuẩn này chỉ ra những yêu cầu về an ninh cho các module mật mã của hệ thống thông tin, mà chúng cung cấp các dịch vụ cho tính bí mật, toàn vẹn và xác thực các thông tin. Các module mật mã của một hệ thống máy tính có thể tăng cường các qui định về mật khẩu, ví dụ, hoặc các yêu cầu về mã hóa dữ liệu.
“FIPS 140-3 bổ sưng những tính năng an ninh mới mà chúng phản ánh những tiến bộ gần đây trong các phương pháp công nghệ và an ninh”, tài liệu phác thảo này nói, mà nó bao gồm các yêu cầu cho việc đảm bảo cho sự bảo vệ dữ liệu trong các ứng dụng phần mềm và ngăn chặn các cuộc tấn công không xâm lăng mà chúng có thể được thực hiện chống lại một ứng dụng an ninh mà không có liên hệ vật lý trực tiếp nào.
“Vì các yêu cầu an ninh thông tin là khác nhau đối với các ứng dụng khác nhau, nên các tổ chức phải xác định các tài nguyên thông tin của họ và xác định độ nhạy cảm đối với ảnh hưởng tiềm tàng về những thiệt hại”, tài liệu viết. “Kiểm soát phải được dựa trên cơ sở các rủi ro tiềm tàng”.
Các cơ quan có thể sử dụng FIPS để thử nghiệm các module mật mã bao gồm trong cả các sản phẩm phần cứng và phần mềm đối với 4 mức an ninh mà nó trải từ một tập hợp tối thiểu các yêu cầu đảm bảo thông tin cho tới sự bảo vệ tối đa mà chúng kết hợp với xác thực nhiều yếu tố. Các sản phẩm nhận được một xếp hạng mà chúng phản ánh sự đáp ứng được mức độ an ninh cao nhất.
Hơn 2,000 module tuân thủ FIPS 140-1 và FIPS 140-2; cái sau bắt buộc rằng chuẩn này sẽ được xem xét lại trong vòng 5 năm để giải quyết những yêu cầu mới và được xem xét lại, theo một tuyên bố lưu ý xem xét lại mới nhất của cơ quan Đăng ký Liên bang.
Bản phác thảo được xem xét lại này đã phản ánh các bình luận nhận được về bản phác thảo công khai đầu, được đưa ra cho việc xem xét lại công khai và bình luận vào ngày 13/07/2007, và từ một hội thảo về an ninh phần mềm vào tháng 03/2008. Tất cả các bình luận cho bản phác thảo được xem xét lại của FIPS 140-3 phải nhận được trước ngày 11/03/2010.
The National Institute of Standards and Technology released on Friday a revised draft to security metrics used by federal agencies to test how well their computer systems fight off hacking attempts.
NIST announced the new draft of the Federal Information Processing Standard 140-3, "Security Requirements for Cryptographic Modules," which guides agencies in their efforts to protect sensitive data. The standard specifies the security requirements for information systems' cryptographic modules, which provide services for confidentiality, integrity and authentication of information. A computer system's cryptographic modules might enforce password rules, for example, or data encryption requirements.
"FIPS 140-3 adds new security features that reflect recent advances in technology and security methods," said the draft document, which includes requirements for ensuring data protection in software applications and preventing non-invasive attacks that can be performed against a security application without direct physical contact.
"Since information security requirements vary for different applications, organizations should identify their information resources and determine the sensitivity to and the potential impact of losses," the document noted. "Controls should be based on the potential risks."
Agencies can use FIPS to test cryptographic modules included in both hardware and software products against four levels of security that range from a minimum set of information assurance requirements, to maximum protection that incorporates multifactor authentication. The products receive a rating that reflects the maximum security level met.
More than 2,000 modules conform to FIPS 140-1 and FIPS 140-2; the latter mandates that the standard be reviewed within five years to address new and revised requirements, according to a Federal Register notice announcing the latest revision.
The revised draft reflected comments received on the first public draft, posted for public review and comment on July 13, 2007, and from a March 2008 software security workshop. All comments to the Revised Draft FIPS 140-3 must be received on or before March 11, 2010.
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.