Enterprise Politica di Sicurezza delle Informazioni (a livello Statale)

DTS POLITICA 5000-0002.1

Tipo di Politica: Impresa
Sezione/Gruppo: Sicurezza
Autorità: UCA 63F-1-103; UCA 63F-1-206; Utah Codice Amministrativo R895-7 Accettabili Uso delle Risorse informatiche

Cronologia

Presentazione Originale

Inviato il: NA
Inviato da: Boyd Webb, Chief Information Security Officer
Approvato da: Michael Hussey, CIO
Data Emissione: NA
Data Effettiva: Il 15 maggio, 2015

Revisioni

Data di Ultima Revisione: 03/10/2020
Ultimo aggiornamento da: Ben Mehr
Ultimo Approvato da: Stephanie Weteling

Recensioni

Rivedendo Data: luglio 2021
ha Riesaminato da: Ben Mehr
Prossima Revisione: luglio 2022

1.0 Scopo

Questa politica fornisce le basi per lo Stato dello Utah, Divisione della Tecnologia aziendale di Servizi di politica di sicurezza.

1.1 Contesto

Questa politica è stata sviluppata in risposta a un audit esterno completo che ha coinvolto tutte le agenzie del ramo esecutivo e la rete aziendale. L’audit ha rivelato carenze in materia di sicurezza non adeguatamente affrontate nei precedenti documenti relativi alle politiche e agli standard.
La politica di sicurezza delle informazioni aziendali svilupperà e stabilirà controlli essenziali e adeguati per ridurre al minimo i rischi per la sicurezza; per soddisfare i requisiti di due diligence ai sensi delle normative statali e federali applicabili; per far rispettare gli obblighi contrattuali; e per proteggere le risorse informatiche e informatiche dello Stato dello Utah.

1.2 Ambito di applicazione

Questa politica si applica a tutte le agenzie e subunità amministrative del governo statale come definito da UCA §63F-1-102(7), e segg.

1.3 Eccezioni

Il Chief Information Officer, o il designato autorizzato, può riconoscere che in rare circostanze, alcuni associati potrebbero dover impiegare sistemi non conformi a questi obiettivi politici. Il Chief Information Officer, o designato autorizzato, deve approvare per iscritto tutti questi casi.

1.4 Revisione annuale

Al fine di garantire che questa politica sia attuale ed efficace, DTS riesaminerà la politica ogni anno e apporterà le modifiche necessarie.

2.0 Definizioni

Politiche dell’agenzia

I dipartimenti e le agenzie dello Stato dello Utah hanno l’autorità di stabilire politiche interne relative agli obiettivi di sicurezza delle informazioni specifici del dipartimento o dell’agenzia. Le politiche dell’agenzia devono essere compatibili con la politica di sicurezza delle informazioni aziendali,nonché con le normative federali e statali.

Disponibilità

Mantenere l’accesso degli utenti ai dati senza interruzioni non pianificate.

Riservatezza

Il concetto di consentire solo agli utenti e ai processi autorizzati di accedere ai dati necessari per le loro funzioni.La riservatezza dei dati e delle informazioni protette è uno degli obiettivi primari della triade sulla sicurezza delle informazioni; tra cui riservatezza, integrità e disponibilità.

Crittografia

Trasformazione crittografica dei dati (chiamata “testo in chiaro”) in una forma (chiamata “testo cifrato”) che nasconde il significato originale dei dati per impedire che vengano conosciuti o utilizzati da una persona non autorizzata. Se la trasformazione è reversibile, il processo di inversione corrispondente viene chiamato “decrittazione”, ovvero una trasformazione che ripristina i dati crittografati allo stato originale.

Integrità

Il principio di garantire la completezza e l’accuratezza dei dati.

NIST

Istituto Nazionale per gli standard e le tecnologie

Valutazione del rischio

Un processo mediante il quale i rischi sono identificati e l’impatto di tali rischi sono determinati. Inoltre, un processo in base al quale possono essere selezionate misure di sicurezza/controllo efficaci in termini di costi bilanciando i costi delle varie misure di sicurezza/controllo rispetto alle perdite che ci si aspetterebbe se tali misure non fossero in vigore.

Politica 3.0

3.1 Protezione dei supporti

Sommario: I sistemi informativi acquisiscono, elaborano e archiviano le informazioni utilizzando un’ampia varietà di supporti. Queste informazioni si trovano non solo sul supporto di memorizzazione previsto, ma anche sui dispositivi utilizzati per creare, elaborare o trasmettere queste informazioni. Questo supporto può richiedere una disposizione speciale al fine di mitigare il rischio di divulgazione non autorizzata di informazioni e per garantirne la riservatezza. Una gestione efficiente ed efficace delle informazioni create, elaborate e archiviate da un sistema informativo per tutta la sua vita (dall’inizio allo smaltimento) è una preoccupazione primaria di una strategia di protezione dei media.

Scopo: Lo Stato dello Utah è tenuto dallo statuto normativo federale e statale a fornire una ragionevole garanzia, in proporzione alla riservatezza dei dati, che tutti i supporti digitali, cartacei e altri supporti non elettronici (come microfilm e nastri magnetici) contenenti risorse informative devono essere protetti in ogni momento da accessi non autorizzati.

Obiettivi politici: Stato dello Utah, i dipartimenti e le agenzie devono: proteggere i media dei sistemi informativi, sia cartacei che digitali; limitare l’accesso alle informazioni sui media dei sistemi informativi agli utenti autorizzati; e disinfettare o distruggere i supporti del sistema informativo prima dello smaltimento o del rilascio per il riutilizzo, in linea con l’Istituto Nazionale di standard e tecnologia, Pubblicazioni speciali 800-53 Rev4 MP1-6 (Appendice F-MP, Pagina F-119), 800-88.

I dipendenti devono utilizzare supporti crittografati di proprietà statale solo quando scaricano dati di Stato contenenti informazioni personali identificabili, informazioni sanitarie protette, informazioni fiscali federali o servizi di informazione sulla giustizia penale o altri dati sensibili su un dispositivo multimediale rimovibile come, a titolo esemplificativo, unità USB, nastri, CD e DVD.

3.2 Controllo di accesso

Sommario: Il controllo di accesso, in una forma o nell’altra, è considerato dalla maggior parte delle organizzazioni come la pietra angolare dei loro programmi di sicurezza. Le varie caratteristiche dei meccanismi di controllo degli accessi fisici, tecnici e amministrativi lavorano insieme per costruire l’architettura di sicurezza così importante nella protezione delle risorse informative critiche e sensibili di un’organizzazione.

Scopo: L’amministrazione dell’accesso degli utenti alle informazioni elettroniche è necessaria per applicare i principi del privilegio minimo e del “bisogno di sapere” e deve essere amministrata per garantire che venga applicato il livello appropriato di controllo degli accessi per proteggere la risorsa informativa in ogni applicazione o sistema.

Obiettivi politici: I dipartimenti e le agenzie dello Stato dello Utah devono limitare l’accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (inclusi altri sistemi informativi) e ai tipi di transazioni e funzioni che gli utenti autorizzati possono esercitare, in linea con il National Institute of Standards and Technology, Pubblicazioni speciali 800-53 Rev4 MP1-6 (Appendice F-MP,Pagina F-119), 800-88. Inoltre, solo agli utenti autorizzati verrà concesso l’accesso amministrativo alle workstation per scaricare, installare ed eseguire nuove applicazioni.

4.0 Conformità alle politiche

Stato dello Utah, dipartimenti e agenzie, dipendenti e appaltatori sono tenuti a rispettare questa politica di sicurezza aziendale. Le politiche e gli standard aggiuntivi sviluppati e implementati dai Dipartimenti e dalle agenzie statali possono includere obiettivi o dettagli aggiuntivi, ma devono essere compatibili con gli obiettivi di sicurezza descritti in questo documento politico.

5.0 Enforcement

Gli individui che lavorano in qualsiasi dipartimento dello Stato dello Utah o Agenzia trovato per aver violato questa politica possono essere soggetti a sanzioni legali come può essere prescritto dallo stato e/o statuto federale, regola, e/o regolamento.