С 1 августа NIST отзовет 11 рекомендаций по кибербезопасности

С 1 августа NIST отзовет 11 рекомендаций по кибербезопасности

Документы по-прежнему будут доступны, но больше не будут подвергаться пересмотру или замене.

Национальный институт стандартов и технологий США (National Institute of Standards and Technology, NIST) объявил о решении с 1 августа 2018 года прекратить использование 11 устаревших специальных публикаций из серии NIST SP 800. Документы по-прежнему будут доступны, однако более не будут подвергаться пересмотру или замене.

Речь идет о следующих публикациях:

  • SP 800-13 (октябрь 1995 года): «Руководство по телекоммуникационной безопасности для сетевого управления телекоммуникациями» (Telecommunications Security Guidelines for Telecommunications Management Network) – описывает устаревшие технологии;

  • SP 800-17 (февраль 1998 года): «Система подтверждения соответствия режимов работы» (Modes of Operation Validation System (MOVS): Requirements and Procedures) – система валидации для раскритикованных алгоритмов DES и Skipjack;

  • SP 800-19 (октябрь 1999 года): «Безопасность мобильных агентов» (Mobile Agent Security) – среды и технологии менее сложные по сравнению с используемыми в настоящее время;

  • SP 800-23 (август 2000 года): «Руководства для федеральных организаций по доверию к безопасности и приобретению/использованию проверенных/оцененных продуктов» (Guidelines to Federal Organizations on Security Assurance and Acquisition/Use of Tested/Evaluated Products) – базируется на устаревших законах, нормах и директивах;

  • SP 800-24 (апрель 2001 года): «Анализ уязвимости PBX: поиск дыр в вашем PBX прежде, чем кто-то еще сделает это» (PBX Vulnerability Analysis: Finding Holes in Your PBX Before Someone Else Does) – не относится к новым технологиям, таким как VOIP;

  • SP 800-33 (декабрь 2001 года): «Базовые технические модели для безопасности информационных технологий» (Underlying Technical Models for Information Technology Security) – описывает модель, предшествующую фреймворкам «Управление рисками» (Risk Management Framework) и «Фреймворк по кибербезопасности» (Cybersecurity Framework);

  • SP 800-36 (октябрь 2003 года): «Руководство по выбору продуктов информационной безопасности» (Guide to Selecting Information Technology Security Products) – публикация использует устаревшие отсылки и не отражает текущие типы решений по безопасности;

  • SP 800-43 (ноябрь 2002 года): «Руководство Системного Администратора для системы Windows 2000 Professional» (Systems Administration Guidance for Securing Windows 2000 Professional System) – поддержка Windows 2000 прекращена;

  • SP 800-65 (январь 2005 года): «Интегрирование безопасности ИТ-систем в процесс управления основным планированием и инвестициями» (Integrating IT Security into the Capital Planning and Investment Control Process) – предшествует «Фреймворку по кибербезопасности» и другим важным руководствам SP 800;

  • SP 800-68 версия 1 (октябрь 2008 года): «Руководство по обеспечению безопасности Microsoft Windows XP для ИТ-профессионалов: Контрольный список конфигурации NIST» (Guide to Securing Microsoft Windows XP Systems for IT Professionals: A NIST Security Configuration Checklist) – поддержка Windows XP прекращена;

  • SP 800-69 (сентябрь 2006 года): «Руководство по обеспечению безопасности Microsoft Windows XP домашняя редакция: Контрольный список конфигурации NIST» (Guidance for Securing Microsoft Windows XP Home Edition: A NIST Security Configuration Checklist) – поддержка Windows XP прекращена.

    Документы NIST SP 800 концентрируются вокруг кибербезопасности и содержат руководства, технические спецификации, рекомендации и годовые отчеты. Публикации направлены на обеспечение и поддержку нужд государственных структур в сфере кибербезопасности и конфиденциальности, но нередко используются и частными компаниями. В настоящее время на сайте института размещены более 180 документов SP 800, включая проекты и финальные версии.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!