The post has been translated automatically. Original language: Russian
All data collected by any organization in the world is stored and further processed. Methods for ensuring the security of storing this data have been developed and adopted by the International Organization for Standardization in the form of the ISO/IEC 27040:2024 Information Technology standard. Security methods. Data storage security.
This standard provides detailed technical requirements and recommendations on how organizations can achieve an appropriate level of risk reduction using a proven and consistent approach to planning, designing, documenting, and implementing data storage security measures. Data storage security refers to the protection of data both during its storage in information and communication technologies (ICT) and during transmission over storage-related communication channels. Storage security includes the security of devices and media, the management of devices and media, applications and services, as well as the control or monitoring of user activities throughout the life of devices and media, as well as after their end of use or end of life.
Data storage security is relevant to everyone who owns, operates, or uses devices, media, and storage networks. This includes senior managers, purchasers of storage products and services, as well as other non-technical managers or users, in addition to managers and administrators who have specific responsibility for information security or storage security, the operation of storage systems, or are responsible for the organization's overall security program and security policy development. This is also relevant for everyone involved in planning, designing, and implementing architectural aspects of storage network security.
This standard provides an overview of data storage security concepts and related definitions. It includes requirements and recommendations on threats, design, and control aspects related to typical storage scenarios and storage technology areas. In addition, it provides links to other international standards and technical reports that review existing methods and technologies that can be applied to ensure data storage security.
Due to the fact that this standard contains 83 references to other international standards and technical reports, this standard (together with these reference documents) is primarily being implemented in developed countries to ensure data storage security, existing and described methods and technologies are being implemented, and all conditions are being created for their conformity assessment.
I will gradually cover all these other reference international standards and technical reports that organizations also need to comply with in order to ensure data storage security in future articles.
However, it should be noted that the first version of this standard, adopted by ISO in 2015, is in force in our country.
The second edition of this standard cancels and replaces the first edition (ISO/IEC 27040:2015), which was technically revised.
The main changes are as follows:
- — The scope of application has been expanded and now covers all requirements;
- — The structure of the paragraph more closely corresponds to the ISO/IEC 27002:2022 standard; (which is adopted in Kazakhstan)
- — Requirements have been added in paragraphs 7, 9 and 10 ;
- — Adjustments have been made regarding the data storage technologies under consideration;
- — Added a new marking scheme for control samples;
- — The former Appendix A added a text containing recommendations for cleaning specific types of media, was deleted, and paragraph 10 recommended the use of the IEEE 2883 standard for this purpose.;
- — The former Annex B, which included a table for prioritizing the adoption of recommendations, has been replaced by Annex A, which summarizes the requirements and recommendations contained in this document.;
- — The previous Appendix C, which contained training materials, has been deleted, and links to relevant materials have been added to paragraph 10.
If at least 20 readers would be interested in an objective analysis of the relationship between the failure to implement this and other reference standards, methods and technologies, and the offenses committed, it is possible to make separate presentations – write to e-mail.
Все собираемые в мире любыми организациями данные хранятся и в дальнейшем обрабатываются. Методы обеспечения безопасности хранения этих данных разработаны и приняты международной организацией стандартизации в виде стандарта ISO/IEC 27040:2024 Информационные технологии. Методы обеспечения безопасности. Безопасность хранения данных.
В этом стандарте представлены подробные технические требования и рекомендации о том, как организации могут достичь надлежащего уровня снижения рисков, используя проверенный и последовательный подход к планированию, проектированию, документированию и внедрению мер безопасности хранения данных. Безопасность хранения данных относится к защите данных как во время их хранения в информационно-коммуникационных технологиях (ИКТ), так и во время передачи по каналам связи, связанным с хранением. Безопасность хранения данных включает в себя безопасность устройств и носителей, деятельность по управлению устройствами и носителями, приложениями и сервисами, а также контроль или мониторинг действий пользователей в течение всего срока службы устройств и носителей, а также после окончания срока их использования или окончания срока службы.
Безопасность хранения данных актуальна для всех, кто владеет, эксплуатирует или использует устройства, носители и сети хранения данных. Это включает в себя руководителей высшего звена, покупателей продуктов и услуг хранения данных, а также других нетехнических менеджеров или пользователей, помимо менеджеров и администраторов, несущих конкретную ответственность за информационную безопасность или безопасность хранения данных, эксплуатацию систем хранения данных или отвечающих за общую программу безопасности организации и разработку политики безопасности. Это также актуально для всех, кто участвует в планировании, проектировании и внедрении архитектурных аспектов безопасности сетей хранения данных.
В данном стандарте представлен обзор концепций безопасности хранения данных и соответствующих определений. Он включает требования и рекомендации по угрозам, проектированию и аспектам контроля, связанным с типичными сценариями хранения данных и областями технологий хранения. Кроме того, в нем приводятся ссылки на другие международные стандарты и технические отчеты, в которых рассматриваются существующие методы и технологии, которые могут быть применены для обеспечения безопасности хранения данных.
В связи с тем, что в этом стандарте приводится 83 ссылки на другие международные стандарты и технические отчеты, этот стандарт (совместно с этими ссылочными документами) в первую очередь внедряется в развитых странах для обеспечения безопасности хранения данных, внедряются существующие и описанные методы и технологии, создаются все условия для их оценки соответствия.
Освещать все эти другие ссылочные международные стандарты и технические отчеты, которые необходимо тоже выполнять организациям для соблюдения обеспечения безопасности хранения данных, буду постепенно в дальнейших статьях.
Однако надо отметить, что у нас в стране действует первая версия данного стандарта принятого еще ISO в 2015 году.
Второе издание этого стандарта отменяет и заменяет первое издание ( ISO/IEC 27040:2015), которое было технически пересмотрено.
Основные изменения заключаются в следующем:
- — Область применения расширена и теперь охватывает все требования;
- — Структура пункта более точно соответствует стандарту ISO/IEC 27002:2022; (который принят в Казахстане)
- — Требования были добавлены в пункты 7, 9 и 10 ;
- — Внесены корректировки в отношении рассматриваемых технологий хранения данных;
- — Добавлена новая схема маркировки контрольных образцов;
- — Бывшее Приложение А добавлен текст , содержавшее рекомендации по очистке конкретных типов носителей информации, было удалено, и в пункт 10, рекомендующий использовать для этой цели стандарт IEEE 2883;
- — Прежнее Приложение B, которое включало таблицу для определения приоритетов при принятии рекомендаций, заменено Приложением A , в котором обобщены требования и рекомендации, содержащиеся в этом документе;
- — Прежнее Приложение C, содержавшее учебные материалы, было удалено, а ссылки на соответствующие материалы добавлены в пункт 10 .
Если, как минимум 20 читателям, будет интересен объективный анализ о взаимосвязи между не внедрением этого и других ссылочных стандартов, методов и технологий, и совершаемыми правонарушениями, возможно провести отдельные выступления – пишите на электронную почту.
Share
