Enterprise Information Security Policy (Statewide)
DTS POLICY 5000-0002.1
házirend típusa: Enterprise
szakasz/csoport: Security
Hatóság: UCA 63F-1-103; UCA 63F-1-206; Utah közigazgatási Kód R895-7 Az információs technológia elfogadható használata források
Dokumentumelőzmények
eredeti benyújtás
benyújtva: na
beküldte: Boyd Webb, információbiztonsági vezető
jóváhagyva: Michael Hussey, CIO
Kiadás dátuma: na
hatálybalépés dátuma: Május 15, 2015
felülvizsgálatok
Utolsó Felülvizsgálat dátuma: 03/10/2020
utolsó felülvizsgálat: Ben Mehr
Utolsó jóváhagyás: Stephanie Weteling
vélemények
Értékelés dátuma: Július 2021
utolsó felülvizsgálat: Ben Mehr
következő felülvizsgálat: július 2022
1.0 cél
ez a házirend megalapozza Utah állam technológiai szolgáltatások Vállalati biztonsági politikáját.
1.1 háttér
ezt a szabályzatot a végrehajtó hatalom valamennyi ügynökségét és a vállalati hálózatot érintő átfogó külső ellenőrzés nyomán dolgozták ki. Az ellenőrzés olyan biztonsági hiányosságokat tárt fel, amelyekkel a korábbi szakpolitikai és szabványdokumentumok nem foglalkoztak megfelelően.
a vállalati információbiztonsági politika alapvető és megfelelő ellenőrzéseket dolgoz ki és hoz létre a biztonsági kockázat minimalizálása érdekében; az alkalmazandó állami és szövetségi előírások szerinti átvilágítási követelmények teljesítése; a szerződéses kötelezettségek érvényesítése; és hogy megvédjük Utah állam elektronikus információs és informatikai eszközeit.1.2 hatály
ez az irányelv az UCA 63F-1-102(7) és azt követő pontokban meghatározott valamennyi állami kormányzati ügynökségre és közigazgatási alegységre vonatkozik.
1.3 kivételek
az információs vezető vagy a meghatalmazott megbízott tudomásul veheti, hogy ritka körülmények között egyes munkatársaknak olyan rendszereket kell alkalmazniuk, amelyek nem felelnek meg ezeknek a politikai céloknak. Az információs vezető, vagy meghatalmazott megbízott, írásban jóvá kell hagynia az összes ilyen esetet.
1.4 éves felülvizsgálat
annak érdekében, hogy ez a politika aktuális és hatékony legyen, a DTS évente felülvizsgálja a politikát, és szükség szerint módosítja.
2.0 fogalommeghatározások
ügynökségi Irányelvek
Utah állam szervezeti egységei és ügynökségei jogosultak a minisztériumra vagy ügynökségre jellemző információbiztonsági célkitűzésekkel kapcsolatos belső politikák kialakítására. Az ügynökség irányelveinek összeegyeztethetőnek kell lenniük a vállalati információbiztonsági politikával, valamint a szövetségi és állami törvényi előírásokkal.
elérhetőség
a felhasználók adatokhoz való hozzáférésének fenntartása nem tervezett megszakítások nélkül.
titoktartás
az a koncepció, hogy csak az engedélyezett felhasználók és folyamatok férhetnek hozzá a feladataikhoz szükséges adatokhoz.Az adatok és a Védett Információk titkossága az információbiztonsági triád egyik elsődleges célja; beleértve a titoktartást, az integritást és a rendelkezésre állást.
titkosítás
az adatok kriptográfiai átalakítása (úgynevezett “tiszta szöveg”) olyan formává (úgynevezett “rejtjelezett szöveg”), amely elrejti az adatok eredeti jelentését, hogy megakadályozza, hogy illetéktelen személy megismerje vagy felhasználja azokat. Ha az átalakulás visszafordítható, akkor a megfelelő megfordítási folyamatot “visszafejtésnek” nevezzük, amely olyan átalakítás, amely visszaállítja a titkosított adatokat eredeti állapotába.
integritás
az adatok teljességének és pontosságának biztosításának elve.
NIST
Nemzeti Szabványügyi és Technológiai Intézet
kockázatértékelés
a kockázatok azonosításának folyamata és e kockázatok hatásának meghatározása. Ezenkívül egy olyan folyamat, amelynek során költséghatékony biztonsági / ellenőrzési intézkedéseket lehet kiválasztani a különböző biztonsági/ellenőrzési intézkedések költségeinek az ezen intézkedések hiányában várható veszteségekkel való egyensúlyozásával.
3,0 Politika
3.1 Média Védelem
Összefoglaló: Az információs rendszerek sokféle média segítségével rögzítik, feldolgozzák és tárolják az információkat. Ez az információ nemcsak a tervezett adathordozón található, hanem az ezen információk létrehozására, feldolgozására vagy továbbítására használt eszközökön is. Ez a Média különleges rendelkezést igényelhet az információk jogosulatlan nyilvánosságra hozatalának kockázatának csökkentése és titkosságának biztosítása érdekében. Az információs rendszer által létrehozott, feldolgozott és tárolt információk hatékony és eredményes kezelése az egész életen át (a kezdetektől a megsemmisítésig) a médiavédelmi stratégia elsődleges szempontja.
cél: Utah államot a szövetségi és állami szabályozási törvény előírja, hogy az adatok titkosságával arányosan ésszerű biztosítékot nyújtson arra vonatkozóan, hogy az információs eszközöket tartalmazó digitális, papíralapú és egyéb nem elektronikus (például mikrofilm és mágnesszalag) adathordozókat mindenkor védeni kell az illetéktelen hozzáféréstől.
politikai célkitűzések: Utah állam, a szervezeti egységek és az ügynökségek kötelesek: védeni az információs rendszer adathordozóit, mind a papíralapú, mind a digitális eszközöket; korlátozni az információs rendszer adathordozóihoz való hozzáférést az engedélyezett felhasználók számára; és fertőtlenítse vagy megsemmisítse az információs rendszer adathordozóit a megsemmisítés vagy újrafelhasználás előtt, összhangban a Nemzeti Szabványügyi és Technológiai Intézet 800-53 Rev4 MP1-6 (F-MP függelék, F-119 oldal), 800-88.
az alkalmazottak csak akkor használhatnak állami tulajdonban lévő titkosított adathordozókat, ha személyazonosításra alkalmas adatokat, védett egészségügyi információkat, Szövetségi adóinformációkat vagy büntető igazságszolgáltatási információs szolgáltatásokat tartalmazó állami adatokat vagy bármilyen más érzékeny adatot töltenek le cserélhető adathordozóra, például, de nem kizárólag, USB-meghajtókra, kazettákra, CD-kre és DVD-kre.
3.2 hozzáférés-vezérlés
Összegzés: A hozzáférés-vezérlést ilyen vagy olyan formában a legtöbb szervezet biztonsági programjának sarokkövének tekinti. A fizikai, műszaki és adminisztratív hozzáférés-ellenőrzési mechanizmusok különböző jellemzői együtt dolgoznak a biztonsági architektúra felépítésében, amely annyira fontos a szervezet kritikus és érzékeny információs eszközeinek védelmében.
cél: Az elektronikus információkhoz való felhasználói hozzáférés adminisztrációja a legkevesebb privilégium és a “tudni kell” elveinek alkalmazásához szükséges, és annak biztosítása érdekében kell adminisztrálni, hogy az egyes alkalmazásokban vagy rendszerekben az információs eszköz védelme érdekében megfelelő szintű hozzáférés-vezérlést alkalmazzanak.
Szakpolitikai Célkitűzések: Utah állam minisztériumainak és ügynökségeinek korlátozniuk kell az információs rendszerhez való hozzáférést az engedélyezett felhasználókra, az engedélyezett felhasználók nevében eljáró folyamatokra vagy eszközökre (beleértve más információs rendszereket is), valamint azokra a tranzakciókra és funkciókra,amelyeket az engedélyezett felhasználók gyakorolhatnak, összhangban a Nemzeti Szabványügyi és Technológiai Intézet 800-53 Rev4 MP1-6 (F-MP függelék, F-119 oldal), 800-88. Ezenkívül csak az arra jogosult felhasználók kapnak adminisztratív hozzáférést a munkaállomásokhoz az új alkalmazások letöltéséhez, telepítéséhez és végrehajtásához.
4.0 irányelveknek való megfelelés
Utah állam, a szervezeti egységek és ügynökségek, az alkalmazottak és a vállalkozók kötelesek betartani ezt a vállalati biztonsági szabályzatot. Az állami szervek és ügynökségek által kidolgozott és végrehajtott további politikák és szabványok tartalmazhatnak további célokat vagy részleteket, de ezeknek összeegyeztethetőnek kell lenniük a jelen politikai dokumentumban leírt biztonsági célkitűzésekkel.
5.0 végrehajtás
Utah állam bármely részlegén vagy hivatalában dolgozó személyekre, akikről kiderül, hogy megsértették ezt a szabályzatot, az állami és/vagy szövetségi törvények, szabályok és/vagy előírások által előírt jogi szankciók vonatkozhatnak.
Leave a Reply