媒体保护
概述
这个更新的标准是为了帮助信息技术办公室(OIT)围绕媒体保护控制的现有实践与NIST 800-171 (MP | 3)的要求保持一致.8.X)以及行业最佳实践. 这个文件没有完全覆盖3.8.由于现有的限制和特定于CUI的其他需求,171中的x控件.
本文件内容:
- 可接受的介质处理方法
- 加密需求
- 禁止使用个人设备存储高风险数据
- 标记要求
本文件中不包含的内容:
- 处理介质的程序
- 加密部署细节或过程
- 这程序
实施本标准的潜在影响或行动项目:
- 被消毒的资产必须有TDX内的消毒记录
- 默认情况下加密是开启的(已经在进行中)
- 备份必须满足备份中包含的数据的要求
- 需要对高风险数据进行相应的标记
政策参考
目的
此媒体保护标准支持 APM 30.11高校数据分类与标准 以及其他相关的大学政策.
范围
这些标准是所有访问的托管和非托管系统的最低基线, 存储或处理365滚球官网的数据(见 APM 30.14 C-6)或使用365滚球官网的技术资源(参见 APM 30.12 C-1)在低、中、高风险水平(见 APM 30.11)不包括在经批准的系统保安计划内.
标准
按照APM 30的规定,在处置或释放以供再利用之前,对信息系统介质进行消毒或销毁.16 D-8部分.
- 任何介质在重复使用之前必须消毒,或在使用批准的方法处理之前销毁.
适用于:低/中/高风险数据.
- 硬盘驱动器
- 如果设备不能重复使用,则必须通过OIT驱动破碎机将设备破坏.
- 覆盖驱动器上的数据,至少通过一次全零或每一次NIST 800-88.
- 如果支持,请使用ATA消毒设备特性集命令之一.
- 如果支持,使用ATA安全特性集的“SECURE ERASE UNIT”命令
- 固态硬盘(ssd)
- 如果设备不能重复使用, 这个装置必须通过Shred销毁, 分解, 按照NIST SP 800-88的要求,在许可的焚化炉中将设备粉碎或焚化.
- 如果支持,使用ATA安全特性集的“安全 ERASE UNIT”命令.
- 如果支持,使用ATA清除命令(块擦除、加密擦除).
- 高风险和受监管数据必须使用FIPS 140验证的加密模块.
- 对于NVMe ssd,如果支持,请使用NVM Express Format命令.
- ActiveKill软件已被批准用于磁盘擦除.
- 加密擦除,根据需要发出命令,导致所有mek被更改.
- 可移动媒体
- 如果设备不能重复使用, 这个装置必须通过Shred销毁, 分解, 按照NIST SP 800-88的要求,在许可的焚化炉中将设备粉碎或焚化.
- 用两次遍历覆盖驱动器上的数据. (仅限非固态介质)
- 第一次传递应该使用一个固定的值,并在第二次传递中进行补充.
- 加密擦除,根据需要发出命令,导致所有mek被更改.
- 高风险和受监管数据必须使用FIPS 140验证的加密模块.
- 光学媒体
- 设备必须用碎纸机粉碎, 或通过NIST SP 800-88批准的销毁服务.
- 移动设备
- 如果设备不能重复使用, 不支持加密或没有出厂擦除/擦除功能, 这个装置必须通过Shred销毁, 分解, 按照NIST SP 800-88的要求,在许可的焚化炉中将设备粉碎或焚化.
- 介质消毒的制造商方法,如但不限于出厂重置或擦除数据功能.
- 设备在消毒前必须加密.
- 对于非托管的个人设备,微软应用程序保护被认为是足够的.
- 如果在个人设备上使用非托管应用程序处理U / I数据, 根据APM 20,数据或设备可能会被大学擦除.13.
- 硬盘驱动器
- 必须在IT资产管理系统中提供和更新处置或消毒的适当证明.
适用于:低/中/高风险数据.
- 来自授权应用程序或供应商的销毁证书,例如但不限于Activekill Erase证书或Iron Mountain销毁证书.
- 由OIT人员验证通过驱动破碎机在与资产相关的票证内成功销毁.
- OIT人员对成功完成移动设备消毒的验证.
为确保存储在系统中的数据得到保护,必须符合以下标准:
- 工作站和笔记本电脑默认使用Bitlocker (Windows)和Filevault (MacOS)进行加密. (3.8.6[a], 3.13.8[a-b])
- 明确归类为仅用于低风险数据的工作站和笔记本电脑可以在没有正式风险例外的情况下豁免.
- 加密将是AES-256或更强,除非OIT 安全另有批准.
- 移动设备上的大学数据必须使用通过OIT管理的微软应用程序保护策略加密的应用程序. (3.1.19[b])
- 高风险应用(包括移动设备)需要对系统进行加密后才能访问.
- 高风险数据在存储介质时必须使用oit管理的加密,包括但不限于:
- 系统驱动器,如硬盘和固态驱动器.
- 可移动媒体,如usb驱动器或外部驱动器. (3.8.7[a])
- 位于经批准的大学数据中心内的系统不受此加密要求的约束.
为了确保跨网络数据的机密性,必须满足以下标准(3).13.8[c] 3.13.15[a]):
- 需要对中高风险应用数据进行加密.
- 密码、API密钥或psk等身份验证秘密被认为是高风险的.
- 受监管的数据必须满足监管的加密要求.
个人设备或其他未经OIT管理或批准的设备不得用于访问, 商店, 传输或处理高风险数据.
包含中等和高风险数据的备份必须由当前的加密标准或其他批准的保护措施保护. (3.8.9[a])
为确保数据得到适当处理,必须对包含数据的数据和资产进行适当标记.
- 受监管的数据,如CUI,也必须按照规定进行标记. (3.8.4[a-b])
适用于:中等/高
其他参考资料
1. NIST sp800 - 171 r2 (2020年2月)
除非另有说明,所有参考的控制都是NIST 800-171r2.
2. NIST SP800-53r5 (2020年9月)
3. NIST sp800 - 88 - r1 (2014年9月)
4. 设备退役和媒体消毒指南
定义
1. 授权焚化炉
根据《365滚球官网》第19条和第50条获得许可的组织,或根据《365滚球官网》第80条获得许可的组织,可以根据《365体育滚球》(1989年第73号法)颁发的许可证继续经营。.
2. 密码删除
一种消毒方法,其中对加密目标数据的媒体加密密钥(MEK)(或密钥加密密钥- KEK)进行消毒, 使解密后的目标数据无法恢复.(nist sp 800-88)
3. 先进技术附件(ATA)
磁性介质接口规范. 也被称为“IDE”-集成驱动电子.(nist sp 800-88)
4. 非易失性存储器(NVMe)
用于系统非易失性存储介质的接口.
5. 媒体加密密钥(MEK)
用于加密媒体的加密密钥.
6. 处理
一种不打算被学校重新使用的发布媒体的方法. 包括但不限于, 向废物管理服务机构发放媒体, 发放剩余物品处置介质(APM 10).41).
7. 重用
一种发布媒体的方法,旨在由APM 30定义的大学用于新的目的或用户.16 D-8节.
8. 媒体
“记录或可能记录数据的材料, 比如纸, 穿孔卡片, 磁带, 磁光盘, 固态器件或光盘.(nist sp 800-88)
9. 硬盘驱动器
永久固定在驱动器内的硬磁盘,用于存储数据. 它也可以是一个可移动的包含一个或多个磁盘的磁带盒.(nist sp 800-88)
10. 固态硬盘(SSD)
SSD (Solid State Drive)是一种使用固态内存存储持久数据的存储设备.(nist sp 800-88)
11. 可移动媒体
可从计算设备或网络中添加或删除的便携式数据存储介质.(CMMC术语)
12. 光学媒体
使用光学激光设备读取的塑料磁盘.(nist sp 800-88)
- 例如:CD、DVD或蓝光.
13. 移动设备
“A portable computing device that has a small form factor such that it can easily be carried by a single individual; is designed to operate without a physical connection (e.g., wirelessly transmit or receive information); possesses local, non-removable/removable data storage; and includes a self-contained power source.(nist sp 800-171)
标准的主人
OIT 安全负责这些标准的内容和管理.
| 版本 | 作者(年代) | 日期 | 笔记 |
|---|---|---|---|
| V1 | N. 弗林,M. 公园 | 6/23/2023 | |