NIST đưa ra nâng cấp cho các chuẩn an ninh đối với các dữ liệu nhạy cảm

NISTreleases up-date to security standards for sensitive data

By JillR. Aitoro 12/14/2009

Theo:http://www.nextgov.com/nextgov/ng_20091214_5474.php

Bài được đưa lênInternet ngày: 14/12/2009

Lờingười dịch: Với tình hình an ninh không gian mạng đangnóng lên từng ngày, Viện Tiêu chuẩn và Công nghệ Quốcgia (NIST) Mỹ đang phác thảo chuẩn xử lý thông tin liênbang 140-3 cho những yêu cầu về an ninh cho các module mậtmã. “Các cơ quan có thể sử dụng FIPS để thử nghiệmcác module mật mã bao gồm trong cả các sản phẩm phầncứng và phần mềm đối với 4 mức an ninh mà nó trảitừ một tập hợp tối thiểu các yêu cầu đảm bảothông tin cho tới sự bảo vệ tối đa mà chúng kết hợpvới xác thực nhiều yếu tố. Các sản phẩm nhận đượcmột xếp hạng mà chúng phản ánh sự đáp ứng đượcmức độ an ninh cao nhất”. Thế mới biết người Mỹquan tâm tới an ninh và tiêu chuẩn như thế nào. Một bàihọc cho Việt Nam?

Viện Tiêu chuẩn vàCông nghệ Quốc gia (NIST) đã đưa ra hôm thứ sáu mộtbản thảo được xem lại về các cách đo đếm an ninhđược sử dụng bởi các cơ quan liên bang để thửnghiệm các hệ thống máy tính của họ tốt ra sao khichống lại các mưu toan của tin tặc.

NIST đã công bố bảnphác thảo mới về Chuẩn Xử lý Thông tin Liên bang 140-3,“Những yêu cầu về an ninh cho các module mật mã”, mànó chỉ dẫn các cơ quan trong những nỗ lực của họ đểbảo vệ các dữ liệu nhạy cảm. Chuẩn này chỉ ra nhữngyêu cầu về an ninh cho các module mật mã của hệ thốngthông tin, mà chúng cung cấp các dịch vụ cho tính bí mật,toàn vẹn và xác thực các thông tin. Các module mật mãcủa một hệ thống máy tính có thể tăng cường các quiđịnh về mật khẩu, ví dụ, hoặc các yêu cầu về mãhóa dữ liệu.

“FIPS140-3 bổ sưng những tính năng an ninh mới mà chúng phảnánh những tiến bộ gần đây trong các phương pháp côngnghệ và an ninh”, tài liệu phác thảo này nói, mà nóbao gồm các yêu cầu cho việc đảm bảo cho sự bảo vệdữ liệu trong các ứng dụng phần mềm và ngăn chặn cáccuộc tấn công không xâm lăng mà chúng có thể đượcthực hiện chống lại một ứng dụng an ninh mà không cóliên hệ vật lý trực tiếp nào.

“Vìcác yêu cầu an ninh thông tin là khác nhau đối với cácứng dụng khác nhau, nên các tổ chức phải xác địnhcác tài nguyên thông tin của họ và xác định độ nhạycảm đối với ảnh hưởng tiềm tàng về những thiệthại”, tài liệu viết. “Kiểm soát phải được dựatrên cơ sở các rủi ro tiềm tàng”.

Cáccơ quan có thể sử dụng FIPS để thử nghiệm các modulemật mã bao gồm trong cả các sản phẩm phần cứng vàphần mềm đối với 4 mức an ninh mà nó trải từ mộttập hợp tối thiểu các yêu cầu đảm bảo thông tin chotới sự bảo vệ tối đa mà chúng kết hợp với xácthực nhiều yếu tố. Các sản phẩm nhận được mộtxếp hạng mà chúng phản ánh sự đáp ứng được mứcđộ an ninh cao nhất.

Hơn 2,000 module tuânthủ FIPS 140-1 và FIPS 140-2; cái sau bắt buộc rằng chuẩnnày sẽ được xem xét lại trong vòng 5 năm để giảiquyết những yêu cầu mới và được xem xét lại, theomột tuyên bố lưu ý xem xét lại mới nhất của cơ quanĐăng ký Liên bang.

Bản phác thảo đượcxem xét lại này đã phản ánh các bình luận nhận đượcvề bản phác thảo công khai đầu, được đưa ra cho việcxem xét lại công khai và bình luận vào ngày 13/07/2007, vàtừ một hội thảo về an ninh phần mềm vào tháng03/2008. Tất cả các bình luận cho bản phác thảo đượcxem xét lại của FIPS 140-3 phải nhận được trước ngày11/03/2010.

TheNational Institute of Standards and Technology released on Friday arevised draft to security metrics used by federal agencies to testhow well their computer systems fight off hacking attempts.

NISTannouncedthe new draft of the Federal Information Processing Standard140-3, "Security Requirements for Cryptographic Modules,"which guides agencies in their efforts to protect sensitive data. Thestandard specifies the security requirements for information systems'cryptographic modules, which provide services for confidentiality,integrity and authentication of information. A computer system'scryptographic modules might enforce password rules, for example, ordata encryption requirements.

"FIPS140-3 adds new security features that reflect recent advances intechnology and security methods," said the draft document, whichincludes requirements for ensuring data protection in softwareapplications and preventing non-invasive attacks that can beperformed against a security application without direct physicalcontact.

"Sinceinformation security requirements vary for different applications,organizations should identify their information resources anddetermine the sensitivity to and the potential impact of losses,"the document noted. "Controls should be based on the potentialrisks."

Agenciescan use FIPS to test cryptographic modules included in both hardwareand software products against four levels of security that range f-roma minimum set of information assurance requirements, to maximumprotection that incorporates multifactor authentication. The productsreceive a rating that reflects the maximum security level met.

Morethan 2,000 modules conform to FIPS 140-1 and FIPS 140-2; the lattermandates that the standard be reviewed within five years to addressnew and revised requirements, according to a FederalRegisternotice announcing the latest revision.

Therevised draft reflected comments received on the first public draft,posted for public review and comment on July 13, 2007, and f-rom aMarch 2008 software security workshop. All comments to the RevisedDraft FIPS 140-3 must be received on or before March 11, 2010.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com