ISO/IEC 27040

ISO / IEC 27040^[1]​ es parte de una creciente familia de Normas Internacionales publicadas por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) en el área de técnicas de seguridad; el estándar está siendo desarrollado por el Subcomité 27 (SC27) - Técnicas de seguridad de TI del primer Comité Técnico Conjunto 1 (JTC 1) de la ISO / IEC. Un elemento importante del programa de trabajo de SC27 incluye las Normas Internacionales para los sistemas de gestión de seguridad de la información (SGSI), a menudo denominadas 'ISO / IEC 27000-series'.

El título completo de ISO/IEC 27040 es Técnicas de Seguridad — Tecnologías de la Información —

Visión general e introducción

El propósito de ISO / IEC 27040 es proporcionar una guía de seguridad para los sistemas y ecosistemas de almacenamiento, así como para la protección de datos en estos sistemas. Admite los conceptos generales especificados en ISO / IEC 27001.

Este estándar Internacional es relevante para los gerentes y el personal interesados en la gestión de riesgos de seguridad de la información dentro de una organización y, cuando corresponda, las partes externas que apoyan tales actividades. Los objetivos de este Estándar Internacional son:

• Anunciar los riesgos.
• Ayudar a las organizaciones a proteger mejor sus datos.
• Proporcionar una base para diseñar y auditar controles de seguridad de almacenamiento.

ISO / IEC 27040 proporciona una guía de implementación específica y detallada relevante para la seguridad de almacenamiento para los controles de seguridad generales descritos en ISO / IEC 27002.

Este Estándar Internacional no es un documento normativo o de referencia para los requisitos de seguridad reglamentarios y legislativos, ya que varían según el país.

Historia

El trabajo comenzó en ISO / IEC 27040 en el otoño de 2010, después de la reunión SC27 en Redmond, WA. El proyecto se colocó en la línea de tiempo extendida, permitiendo hasta 48 meses para desarrollar el estándar en lugar de los 36 meses normales. El estándar ISO / IEC 27040 se publicó el 5 de enero de 2015.

A lo largo del desarrollo de ISO / IEC 27040, organizaciones como la Storage Networking Industry Association (SNIA) con sus mejores prácticas actuales de seguridad de almacenamiento (BCP),^[2]​^[3]​ el grupo de trabajo de almacenamiento del Trusted Computing Group (TCG) con su trabajo en unidades de autocifrado, y los Comités técnicos orientados al almacenamiento de INCITS (T10, T11 y T13) proporcionaron comentarios importantes y contribuciones.

Eric Hibbard hizo la labor como editor de ISO durante el desarrollo de ISO / IEC 27040.

Estructura del estándar

27040:2015 tiene siete cláusulas cortas y tres anexos, los cuales están comprendidos por:

1. Alcance del estándar

2. Una lista de otros estándares que son indispensables para comprender y usar el estándar ISO/IEC 27040

3. Terminología importada de otros estándares o definida en este estándar

4. Una lista de abreviaturas y acrónimos utilizados en el estándar

5. Una descripción general de los conceptos clave de almacenamiento y seguridad de almacenamiento, así como información sobre los riesgos asociados.

6. Describe los controles que admiten arquitecturas técnicas de seguridad de almacenamiento, incluido el almacenamiento de conexión directa (DAS), redes de almacenamiento, administración de almacenamiento, almacenamiento basado en bloques, almacenamiento basado en archivos, almacenamiento basado en objetos y servicios de seguridad.

7. Proporciona pautas para el diseño e implementación de la seguridad del almacenamiento (por ejemplo, principios de diseño; confiabilidad, disponibilidad y resistencia de los datos; retención de datos; confidencialidad e integridad de los datos; visualización; y consideraciones de diseño e implementación)

Anexo A. Orientación específica de los medios para la desinfección, incluido el borrado criptográfico (paralelo NIST SP 800-88r1)

Anexo B. Tablas para seleccionar controles de seguridad apropiados basados en la sensibilidad de los datos o las prioridades de seguridad (confidencialidad, integridad o disponibilidad)

Anexo C. Descripciones de conceptos importantes de seguridad y almacenamiento (mini-tutoriales)

Bibliografía. Una lista de estándares y especificaciones que influyeron en el contenido del estándar ISO / IEC 27040

Controles de apoyo para seguridad de almacenamiento

Un elemento importante del estándar ISO / IEC 27040 se centra en la identificación de controles de seguridad para diferentes tipos de sistemas de almacenamiento y arquitecturas, que incluyen lo siguiente:

• Recomendaciones para ayudar a asegurar el almacenamiento adjunto directo (DAS)
• Amplia cobertura de seguridad para tecnologías y topologías de redes de almacenamiento con énfasis en redes de área de almacenamiento o SAN (por ejemplo, Fibre Channel, iSCSI, FCoE, etc.) y almacenamiento conectado a la red o NAS (por ejemplo, NFS y SMB / CIFS)
• Identificación de problemas de seguridad importantes y orientación para la gestión del almacenamiento.
• Seguridad para sistemas de almacenamiento basados en bloques con Fibre Channel e interfaces IP (más allá de los materiales de redes de almacenamiento)
• Seguridad para sistemas de almacenamiento basados en archivos con interfaces NFS, SMB / CIFS y pNFS (más allá de los materiales de redes de almacenamiento)
• Seguridad para almacenamiento en la nube, almacenamiento basado en objetos (OSD) y almacenamiento direccionable de contenido (CAS)

Guía de diseño e implementación para la seguridad del almacenamiento

A pesar del mayor poder de las computadoras personales y las estaciones de trabajo departamentales, sigue existiendo una dependencia de los centros de datos centralizados debido a las necesidades de integración, consistencia y calidad de los datos. Con el enorme crecimiento de los volúmenes de datos críticos, muchas organizaciones han adoptado arquitecturas centradas en el almacenamiento para su infraestructura de TIC. En consecuencia, la seguridad del almacenamiento desempeña un papel importante en la protección de estos datos y, en muchos casos, sirve como la última línea de defensa de los adversarios internos y externos.

El diseño de soluciones de seguridad de almacenamiento se guía por los principios de seguridad básicos al tiempo que se considera la sensibilidad, la criticidad y el valor de los datos. La Sección 6 de la norma (Controles de soporte) proporciona orientación sobre la aplicación de controles relevantes para el almacenamiento en la implementación de la solución diseñada. Los materiales en esta sección se dividen además en:

• Principios de Conceptos de seguridad importantes de seguridad de almacenamiento (defensa en profundidad, dominios de seguridad, resistencia de diseño e inicialización segura)
• Fiabilidad, disponibilidad y resistencia de los datos (incluidas las copias de seguridad y la replicación, así como la recuperación ante desastres y la continuidad del negocio)
• Retención de datos (retención a largo plazo y a corto y mediano plazo)
• Confidencialidad e integridad de los datos.
• Virtualización (virtualización de almacenamiento y almacenamiento para sistemas virtualizados)
• Consideraciones de diseño e implementación (Cifrado y problemas de administración de claves, Alinear el almacenamiento y la política, Cumplimiento, Multicliente seguro, Movimiento de datos autónomo seguro)

Medios de comunicación sanitization

"Desinfección" es el término técnico para garantizar que los datos que quedan almacenados al final de su vida útil se vuelven inaccesibles a un nivel de esfuerzo determinado. O para decirlo de otra manera, la desinfección es el proceso que asegura que una organización no cometa una violación de datos al reutilizar, vender o descartar dispositivos de almacenamiento.

La desinfección puede tomar muchas formas dependiendo de la sensibilidad de la información y el nivel de esfuerzo que un probable adversario invertiría en intentar recuperar la información. Los métodos utilizados en la desinfección van desde simples sobrescrituras hasta la destrucción de las claves criptográficas para datos cifrados (la técnica se conoce como borrado criptográfico) y la destrucción física de los medios de almacenamiento. Este estándar proporciona orientación para ayudar a las organizaciones a seleccionar los métodos de desinfección adecuados para sus datos.

Los detalles específicos sobre la desinfección se proporcionan en una serie de tablas en el Anexo A, que se basaron en la Publicación Especial NIST 800-88 Revisión 1.^[4]​ Las tablas fueron diseñadas para que los proveedores puedan hacer referencias específicas a ellas, según el tipo de medio, en lugar de usar fuentes obsoletas como DoD 5220.22-M (de 1995).

Seleccionando controles de seguridad de almacenamiento apropiados

Los desarrolladores de ISO / IEC 27040 no tenían la intención de que toda la orientación tuviera que implementarse (es decir, todo o nada). En consecuencia, el Anexo B se creó para ayudar a las organizaciones a seleccionar los controles apropiados en función de la confidencialidad de los datos (alta o baja) o de las prioridades de seguridad, en función de la confidencialidad, integridad y disponibilidad. Para admitir esta selección, todos los controles de seguridad de almacenamiento en ISO / IEC 27040 se enumeran en 13 tablas diferentes junto con información que muestra cómo cada control es relevante desde la perspectiva de la sensibilidad de los datos y la priorización de seguridad.

Vale la pena señalar que, aunque el Anexo B es informativo, es muy probable que los auditores lo usen como base para las listas de verificación al revisar la seguridad de los sistemas y ecosistemas de almacenamiento.

Conceptos de seguridad importantes

Uno de los desafíos en el desarrollo de ISO / IEC 27040 fue que había dos audiencias objetivo distintas: 1) profesionales de almacenamiento y 2) profesionales de seguridad. Para ayudar a ambas comunidades, el Anexo C se completó con información útil de tutoría para lo siguiente:

• Autenticación
• Autorización y control de acceso.
• Unidades de autocifrado (SED)
• Desinfección
• Inicio de sesión
• N_Puerto ID Virtualization (NPIV)
• Seguridad del Canal de la fibra
• OASIS Protocolo de Interoperabilidad de Administración Clave (KMIP)

Referencias

1. «ISO/IEC 27040». ISO Standards Catalogue. ISO. Consultado el 15 de junio de 2014. 
2. Eric A. Hibbard; Richard Austin (2007). «SNIA Storage Security Best Current Practices (BCPs)». Storage Network Industry Association. 
3. Eric A. Hibbard (2012). «SNIA Security Tutorial: Storage Security - The ISO/IEC Standard». Storage Network Industry Association. 
4. «Special Publication 800-88r1». National Institute of Standards and Technology (NIST).