ISO / IEC 27040 [1] es parte de una creciente familia de Normas Internacionales publicadas por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) en el área de técnicas de seguridad; el estándar está siendo desarrollado por el Subcomité 27 (SC27) - Técnicas de seguridad de TI del primer Comité Técnico Conjunto 1 ( JTC 1 ) de la ISO / IEC. Un elemento importante del programa de trabajo de SC27 incluye las Normas Internacionales para los sistemas de gestión de seguridad de la información (SGSI), a menudo denominadas "serie ISO / IEC 27000 ".
El título completo de ISO / IEC 27040 es Tecnología de la información - Técnicas de seguridad -
Resumen e introducción
El propósito de ISO / IEC 27040 es proporcionar una guía de seguridad para los sistemas de almacenamiento y ecosistemas, así como para la protección de los datos en estos sistemas. Es compatible con los conceptos generales especificados en ISO / IEC 27001 .
Esta Norma Internacional es relevante para los gerentes y el personal que se ocupa de la gestión de riesgos de seguridad de la información dentro de una organización y, cuando sea apropiado, las partes externas que apoyan tales actividades. Los objetivos de esta norma internacional son:
- dar a conocer los riesgos,
- ayudar a las organizaciones a proteger mejor sus datos,
- proporcionar una base para diseñar y auditar los controles de seguridad del almacenamiento.
ISO / IEC 27040 proporciona una guía de implementación específica y detallada relevante para la seguridad del almacenamiento para los controles de seguridad generales descritos en ISO / IEC 27002 .
Esta Norma Internacional no es un documento de referencia o normativo para los requisitos de seguridad reglamentarios y legislativos, ya que varían según el país.
Historia
El trabajo comenzó en ISO / IEC 27040 en el otoño de 2010, luego de la reunión SC27 en Redmond, WA. El proyecto se colocó en la línea de tiempo extendida, lo que permite hasta 48 meses para desarrollar el estándar en lugar de los 36 meses normales. La norma ISO / IEC 27040 se publicó el 5 de enero de 2015.
A lo largo del desarrollo de ISO / IEC 27040, organizaciones como Storage Networking Industry Association (SNIA) con sus mejores prácticas actuales de seguridad de almacenamiento (BCP) , [2] [3] el Grupo de trabajo de almacenamiento de Trusted Computing Group (TCG) con su trabajo sobre unidades de autocifrado , y los comités técnicos orientados al almacenamiento de INCITS ( T10 , T11 y T13 ) proporcionaron comentarios importantes [ ¿quién? ] y contribuciones.
Eric Hibbard se desempeñó como editor de ISO durante el desarrollo de ISO / IEC 27040.
Estructura del estándar
27040: 2015 tiene siete cláusulas cortas y tres anexos, que cubren:
- 1. Alcance de la norma
- 2. Una lista de otras normas que son indispensables para comprender y utilizar ISO / IEC 27040
- 3. Terminología importada de otras normas o definida en esta norma
- 4. Una lista de abreviaturas y acrónimos utilizados en la norma.
- 5. Una descripción general de los conceptos de seguridad de almacenamiento y almacenamiento de claves, así como información sobre los riesgos asociados
- 6. Describe los controles que respaldan las arquitecturas técnicas de seguridad del almacenamiento, incluido el almacenamiento de conexión directa (DAS), las redes de almacenamiento, la administración del almacenamiento, el almacenamiento basado en bloques, el almacenamiento basado en archivos, el almacenamiento basado en objetos y los servicios de seguridad.
- 7. Proporciona pautas para el diseño e implementación de la seguridad del almacenamiento (por ejemplo, principios de diseño; confiabilidad, disponibilidad y resiliencia de los datos; retención de datos; confidencialidad e integridad de los datos; visualización; y consideraciones de diseño e implementación).
- Anexo A. Pautas específicas de los medios para la desinfección, incluido el borrado criptográfico (paralelo a NIST SP 800-88r1)
- Anexo B. Tablas para seleccionar los controles de seguridad apropiados según la sensibilidad de los datos o las prioridades de seguridad (confidencialidad, integridad o disponibilidad)
- Anexo C.Descripciones de conceptos importantes de seguridad y almacenamiento (minitutoriales)
- Bibliografía. Una lista de estándares y especificaciones que influyeron en los materiales en ISO / IEC 27040
Vale la pena señalar que la bibliografía es una de las listas más completas de referencias sobre seguridad de almacenamiento.
Controles de apoyo para la seguridad del almacenamiento
Un elemento importante de la norma ISO / IEC 27040 se centra en la identificación de controles de seguridad para diferentes tipos de sistemas y arquitecturas de almacenamiento, incluidos los siguientes:
- Recomendaciones para ayudar a proteger el almacenamiento adjunto directo (DAS)
- Amplia cobertura de seguridad para tecnologías y topologías de redes de almacenamiento con énfasis en redes de área de almacenamiento o SAN (por ejemplo, Fibre Channel, iSCSI, FCoE, etc.) y almacenamiento conectado a la red o NAS (por ejemplo, NFS y SMB / CIFS)
- Identificación de problemas de seguridad importantes y orientación para la gestión del almacenamiento.
- Seguridad para sistemas de almacenamiento basados en bloques con interfaces IP y de canal de fibra (más allá de los materiales de redes de almacenamiento)
- Seguridad para sistemas de almacenamiento basados en archivos con interfaces NFS, SMB / CIFS y pNFS (más allá de los materiales de red de almacenamiento)
- Seguridad para almacenamiento en la nube, almacenamiento basado en objetos (OSD) y almacenamiento direccionable de contenido (CAS)
- Recomendaciones para servicios de seguridad de almacenamiento (saneamiento, confidencialidad de datos y reducción de datos)
Guía de diseño e implementación para la seguridad del almacenamiento
A pesar del mayor poder de las computadoras personales y las estaciones de trabajo departamentales, continúa existiendo una dependencia de los centros de datos centralizados debido a las necesidades de integración, consistencia y calidad de los datos. Con el enorme crecimiento de los volúmenes de datos críticos, muchas organizaciones han adoptado arquitecturas centradas en el almacenamiento para su infraestructura de TIC. En consecuencia, la seguridad del almacenamiento juega un papel importante en la protección de estos datos y, en muchos casos, sirve como la última línea de defensa frente a adversarios internos y externos.
El diseño de las soluciones de seguridad de almacenamiento se rige por principios de seguridad básicos, al tiempo que considera la sensibilidad, la importancia y el valor de los datos. La sección 6 de la norma (Controles de apoyo) proporciona orientación sobre la aplicación de controles relevantes para el almacenamiento en la implementación de la solución diseñada. Los materiales de esta sección se dividen además en:
- Principios de diseño de seguridad del almacenamiento (defensa en profundidad, dominios de seguridad, resistencia del diseño e inicialización segura)
- Fiabilidad, disponibilidad y resistencia de los datos (incluidas las copias de seguridad y la replicación, así como la recuperación ante desastres y la continuidad del negocio)
- Retención de datos (retención a largo plazo y de corto a medio plazo)
- Confidencialidad e integridad de los datos
- Virtualización (virtualización de almacenamiento y almacenamiento para sistemas virtualizados)
- Consideraciones de diseño e implementación (Cifrado y problemas de administración de claves, Alinear el almacenamiento y la política, Cumplimiento, Asegurar la tenencia múltiple, Movimiento de datos autónomo seguro)
Higienización de medios
" Desinfección " es el término técnico para asegurar que los datos que se dejan almacenados al final de su vida útil se vuelven inaccesibles a un determinado nivel de esfuerzo. O para decirlo de otra manera, la desinfección es el proceso que garantiza que una organización no cometa una violación de datos al reutilizar, vender o descartar dispositivos de almacenamiento.
La desinfección puede tomar muchas formas dependiendo tanto de la sensibilidad de la información como del nivel de esfuerzo que un posible adversario invertiría para intentar recuperar la información. Los métodos utilizados en la desinfección van desde sobrescrituras simples hasta la destrucción de las claves criptográficas para datos cifrados (la técnica se conoce como borrado criptográfico ) hasta la destrucción física de los medios de almacenamiento. Este estándar proporciona una guía para ayudar a las organizaciones a seleccionar los métodos de desinfección adecuados para sus datos.
Los detalles específicos sobre la desinfección se proporcionan en una serie de tablas en el Anexo A, que se basaron en la Publicación especial 800-88 Revisión 1 del NIST. [4] Las tablas se diseñaron para que los proveedores puedan hacer referencias específicas a ellas, según el tipo de los medios, en lugar de utilizar fuentes obsoletas como DoD 5220.22-M (desde 1995).
Seleccionar los controles de seguridad de almacenamiento adecuados
Los desarrolladores de ISO / IEC 27040 no tenían la intención de que se tuviera que implementar toda la orientación (es decir, todo o nada). [ quien? ] En consecuencia, se creó el Anexo B para ayudar a las organizaciones a seleccionar los controles adecuados en función de la sensibilidad de los datos (alta o baja) o las prioridades de seguridad, basadas en la confidencialidad, integridad y disponibilidad. [ quien? ] Para respaldar esta selección, todos los controles de seguridad de almacenamiento en ISO / IEC 27040 se enumeran en 13 tablas diferentes junto con información que muestra cómo cada control es relevante tanto desde el punto de vista de la sensibilidad de los datos como de la priorización de la seguridad.
Vale la pena señalar que, aunque el Anexo B es informativo, es muy probable que los auditores lo utilicen como base para las listas de verificación al revisar la seguridad de los sistemas de almacenamiento y los ecosistemas. [ quien? ]
Conceptos de seguridad importantes
Uno de los desafíos en el desarrollo de ISO / IEC 27040 fue que había dos destinatarios distintos: 1) profesionales del almacenamiento y 2) profesionales de la seguridad. Para ayudar a ambas comunidades, el Anexo C se completó con información útil de tutoriales [ ¿quién? ] para lo siguiente:
- Autenticación
- Autorización y control de acceso
- Unidades de autocifrado (SED)
- Higienización
- Inicio sesión
- Virtualización de N_Port ID ( NPIV )
- Seguridad de canal de fibra
- Protocolo de interoperabilidad de gestión de claves OASIS (KMIP)
Referencias
- ^ "ISO / IEC 27040" . Catálogo de normas ISO . ISO . Consultado el 15 de junio de 2014 .
- ^ Eric A. Hibbard; Richard Austin (2007). "Mejores prácticas actuales de seguridad de almacenamiento de SNIA (BCP)" . Asociación de la industria de redes de almacenamiento.
- ^ Eric A. Hibbard (2012). "Tutorial de seguridad de SNIA: Seguridad de almacenamiento: el estándar ISO / IEC" (PDF) . Asociación de la industria de redes de almacenamiento.
- ^ "Publicación especial 800-88r1" (PDF) . Instituto Nacional de Estándares y Tecnología (NIST).