Enterprise Política de Segurança da Informação (Estadual)

DTS POLÍTICA 5000-0002.1

Tipo de Política: Empresa
Seção/Grupo: equipamento de Segurança
Autoridade: UCA, 63F-1-103; UCA, 63F-1-206; Utah Código Administrativo R895-7 de Uso Aceitável de Recursos de Tecnologia da Informação

Histórico do Documento

Apresentação Original

Submetido em: NA
Enviado por: Boyd Webb, Diretor de Segurança da Informação
Aprovado por: Michael Hussey, CIO
Data de Emissão: NA
Data Efetiva: 15 de maio de 2015

Revisões

Data da Última revisão: 03/10/2020
Revisto pela Última vez: Ben Mehr
Aprovado pela Última vez por: Stephanie Weteling

Comentários

Revisado Data: julho de 2021
Última revisão por: Ben Mehr
para a Próxima Revisão: julho de 2022

1.0 Propósito

Esta política fornece a fundação para o Estado de Utah, Divisão de Serviços de Tecnologia da política de segurança da empresa.

1.1 antecedentes

esta política foi desenvolvida em resposta a uma auditoria externa abrangente envolvendo todas as agências do poder executivo e a rede empresarial. A auditoria revelou deficiências de segurança não devidamente abordadas em documentos anteriores de políticas e normas.A Política de segurança da Informação da empresa desenvolverá e estabelecerá controles essenciais e adequados para minimizar o risco de segurança; para atender aos requisitos de Due diligence de acordo com os regulamentos estaduais e federais aplicáveis; para fazer cumprir as obrigações contratuais; e para proteger os ativos eletrônicos de informação e Tecnologia da Informação do Estado de Utah.

1.2 âmbito

esta política aplica-se a todas as agências e subunidades administrativas do governo do Estado, conforme definido pelo UCA §63F-1-102(7), et seq.

1.3 exceções

o diretor de informações, ou designado autorizado, pode reconhecer que, em raras circunstâncias, alguns associados podem precisar empregar sistemas que não estejam em conformidade com esses objetivos de política. O diretor de informações, ou designado autorizado, deve aprovar por escrito todas essas instâncias.

1.4 revisão anual

a fim de garantir que esta política seja atual e eficaz, o DTS revisará a Política anualmente e fará alterações conforme necessário.

2.0 definições

políticas da Agência

departamentos e agências do Estado de Utah têm autoridade para estabelecer políticas internas relacionadas a objetivos de segurança da informação específicos do departamento ou agência. As políticas da Agência devem ser compatíveis com a Política de segurança da Informação da empresa, bem como com os regulamentos estatutários federais e estaduais.

disponibilidade

manter o acesso dos usuários aos dados sem interrupções não planejadas.

confidencialidade

o conceito de permitir apenas que usuários e processos autorizados acessem os dados necessários para suas funções.A confidencialidade dos dados e informações protegidas é um dos principais objetivos da tríade de segurança da informação; incluindo confidencialidade, integridade e disponibilidade.

criptografia

transformação criptográfica de dados (chamada de “texto claro”) em um formulário (chamado de “texto cifrado”) que oculta o significado original dos dados para evitar que sejam conhecidos ou usados por uma pessoa não autorizada. Se a transformação for reversível, o processo de reversão correspondente é chamado de “descriptografia”, que é uma transformação que restaura os dados criptografados ao seu estado original.

integridade

o princípio de garantir a integridade e precisão dos dados.

NIST

Instituto Nacional de Padrões e Tecnologias de

Avaliação de Risco

Um processo pelo qual os riscos são identificados e o impacto desses riscos são determinadas. Além disso, um processo pelo qual medidas de Segurança/Controle econômicas podem ser selecionadas equilibrando os custos de várias medidas de Segurança/Controle contra as perdas que seriam esperadas se essas medidas não estivessem em vigor.

3.0 Política

3.1 Protecção Dos Meios

Resumo: Os sistemas de informação capturam, processam e armazenam informações usando uma ampla variedade de mídias. Essas informações estão localizadas não apenas na mídia de armazenamento pretendida, mas também em dispositivos usados para criar, processar ou transmitir essas informações. Esta mídia pode exigir disposição especial para mitigar o risco de divulgação não autorizada de informações e garantir sua confidencialidade. O gerenciamento eficiente e eficaz de informações criadas, processadas e armazenadas por um sistema de informação ao longo de sua vida (desde o início até o descarte) é uma preocupação primária de uma estratégia de proteção de mídia.

Finalidade: O Estado de Utah é exigido pelo governo federal e estatais de regulação estatuto para fornecer uma garantia razoável em relação à confidencialidade dos dados, para que todas digital, papel, e outros não-eletrônicos (tais como microfilmes e fitas magnéticas) mídia que contém os ativos de informação devem ser protegidos em todos os momentos contra o acesso não autorizado.

objetivos da política: Estado de Utah, departamentos e agências devem: proteger a mídia do sistema de informação, tanto em papel quanto em digital; limitar o acesso à informação sobre a mídia do sistema de informação a usuários autorizados; e higienizar ou destruir a mídia do sistema de informação antes do descarte ou liberação para reutilização, consistente com o Instituto Nacional de padrões e Tecnologia, publicações especiais 800-53 Rev4 MP1-6 (Apêndice F-MP, Página F-119), 800-88.

os funcionários só devem usar mídia criptografada estatal ao baixar dados estaduais contendo informações pessoalmente identificáveis, informações de saúde protegidas, informações fiscais federais ou serviços de informações de justiça Criminal, ou quaisquer outros dados confidenciais para um dispositivo de mídia removível, como, mas não limitado a, unidades USB, fitas, CDs e DVDs.

3.2 Controle de Acesso

Resumo: o controle de Acesso, de uma forma ou de outra, é considerado pela maioria das organizações para ser a pedra angular de seus programas de segurança. As várias características dos mecanismos de controle de acesso físico, técnico e administrativo trabalham juntas para construir a arquitetura de segurança tão importante na proteção dos ativos de informação críticos e sensíveis de uma organização.

finalidade: A administração do acesso do usuário a informações eletrônicas é necessária para aplicar os princípios de menor privilégio e “necessidade de saber”, e deve ser administrada para garantir que o nível apropriado de controle de acesso seja aplicado para proteger o ativo de informação em cada aplicativo ou sistema.

Objectivos Políticos: Estado de Utah, Departamentos e Agências devem limitar-sistema de informação de acesso para usuários autorizados, processos, agindo em nome de utilizadores autorizados, ou dispositivos (incluindo outros sistemas de informação) e os tipos de transações e funções que os usuários autorizados têm permissão para exercer, consistente com o Instituto Nacional de Padrões e Tecnologia,Publicações Especiais 800-53 Rev4 MP1-6 (Apêndice F-MP, Página F-119), 800-88. Além disso, somente usuários autorizados terão acesso administrativo a estações de trabalho para baixar, instalar e executar novos aplicativos.

4.0 Conformidade da Política

o estado de Utah, departamentos e Agências, funcionários e contratados devem cumprir esta política de segurança empresarial. Políticas e padrões adicionais desenvolvidos e implementados pelos departamentos e agências estaduais podem incluir objetivos ou detalhes adicionais, mas devem ser compatíveis com os objetivos de segurança descritos neste documento de política.

5.0 aplicação

indivíduos que trabalham em qualquer departamento ou agência do Estado de Utah que tenham violado esta política podem estar sujeitos a penalidades legais, conforme prescrito pelo estatuto, regra e/ou regulamento estadual e/ou federal.