Enterprise Information Security Policy (Statewide)

Politica DTS 5000-0002.1

Tipul de politică: Enterprise
secțiune/grup: securitate
autoritate: UCA 63F-1-103; UCA 63F-1-206; Utah Administrative Code R895-7 Utilizarea acceptabilă a Tehnologiei Informației resurse

istoricul documentelor

prezentarea inițială

trimis la: NA
trimis de: Boyd Webb, chief information security officer
aprobat de: Michael Hussey, CIO
Data emiterii: na
data intrării în vigoare: 15 mai 2015

revizuiri

ultima dată revizuită: 03/10/2020
ultima revizuită de: Ben Mehr
ultima aprobată de: Stephanie Weteling

recenzii

Data revizuită: iulie 2021
ultima recenzie: Ben Mehr
următoarea recenzie: iulie 2022

1.0 scop

această politică oferă fundamentul pentru statul Utah, Divizia de tehnologie servicii Enterprise Politica de securitate.

1.1 context

această politică a fost elaborată ca răspuns la un audit extern cuprinzător care a implicat toate agențiile executive și Rețeaua întreprinderilor. Auditul a relevat deficiențe de securitate care nu au fost abordate în mod corespunzător în documentele de politică și standarde anterioare.
Politica de securitate a informațiilor întreprinderii va dezvolta și stabili controale esențiale și adecvate pentru a minimiza riscul de securitate; pentru a îndeplini cerințele de due diligence în conformitate cu reglementările de stat și federale aplicabile; pentru a pune în aplicare obligațiile contractuale; și pentru a proteja statul Utah informații electronice și activele tehnologiei informației.

1.2 domeniu de aplicare

această politică se aplică tuturor agențiilor și subunităților administrative ale guvernului de stat, astfel cum sunt definite de UCA 63F-1-102(7) și următoarele.

1.3 excepții

directorul de informații sau reprezentantul autorizat poate recunoaște că, în circumstanțe rare, unii asociați ar putea avea nevoie să utilizeze sisteme care nu sunt conforme cu aceste obiective de politică. Ofițerul șef de informații sau reprezentantul autorizat trebuie să aprobe în scris toate aceste cazuri.

1.4 Revizuirea anuală

pentru a se asigura că această politică este actuală și eficientă, DTS va revizui politica anual și va face modificări după cum este necesar.

2.0 definiții

politicile Agenției

Departamentele și agențiile din statul Utah au Autoritatea de a stabili politici interne legate de obiectivele de securitate a informațiilor specifice departamentului sau agenției. Politicile agenției trebuie să fie compatibile cu Politica de securitate a informațiilor întreprinderii, precum și cu reglementările statutare federale și de stat.

disponibilitate

menținerea accesului utilizatorilor la date fără întreruperi neplanificate.

Confidențialitate

conceptul de a permite doar utilizatorilor și proceselor autorizate să acceseze datele necesare pentru îndatoririle lor.Confidențialitatea datelor și a informațiilor protejate este unul dintre obiectivele principale ale triadei de securitate a informațiilor; inclusiv confidențialitatea, integritatea și disponibilitatea.

criptare

transformarea criptografică a datelor (numită “text clar”) într-o formă (numită “text cifrat”) care ascunde semnificația inițială a datelor pentru a împiedica cunoașterea sau utilizarea acestora de către o persoană neautorizată. Dacă transformarea este reversibilă, procesul de inversare corespunzător se numește “decriptare”, care este o transformare care restabilește datele criptate la starea inițială.

integritate

principiul asigurării completitudinii și acurateței datelor.

NIST

Institutul Național pentru Standarde și tehnologii

evaluarea riscurilor

un proces prin care riscurile sunt identificate și impactul acestor riscuri sunt determinate. În plus, un proces prin care măsurile de securitate/control eficiente din punctul de vedere al costurilor pot fi selectate prin echilibrarea costurilor diferitelor măsuri de securitate/control cu pierderile care ar fi așteptate dacă aceste măsuri nu ar fi în vigoare.

Politica 3.0

3.1 Protecție Media

Rezumat: Sistemele informatice captează, procesează și stochează informații utilizând o mare varietate de suporturi media. Aceste informații sunt localizate nu numai pe mediile de stocare destinate, ci și pe dispozitivele utilizate pentru a crea, procesa sau transmite aceste informații. Acest suport poate necesita o dispoziție specială pentru a atenua riscul divulgării neautorizate a informațiilor și pentru a asigura confidențialitatea acestora. Gestionarea eficientă și eficientă a informațiilor create, prelucrate și stocate de un sistem informatic pe tot parcursul vieții sale (de la început până la eliminare) este o preocupare principală a unei strategii de protecție a mass-media.

scop: statul Utah este obligat prin statut federal și de stat de reglementare pentru a oferi o asigurare rezonabilă, proporțional cu confidențialitatea datelor, că toate digitale, hârtie, și alte non-electronice (cum ar fi microfilme și benzi magnetice) mass-media care conțin informații active trebuie să fie protejate în orice moment de accesul neautorizat.

obiectivele politicii: Statul Utah, Departamentele și agențiile trebuie: să protejeze mediile de sistem informatic, atât pe hârtie, cât și pe suport digital; să limiteze accesul la informațiile despre mediile de sistem informatic pentru utilizatorii autorizați; și igienizați sau distrugeți mediile sistemului informatic înainte de eliminare sau eliberare pentru reutilizare, în conformitate cu Institutul Național de standarde și Tehnologie, publicații speciale 800-53 Rev4 MP1-6 (Anexa F-MP, pagina F-119), 800-88.

angajații ar trebui să utilizeze numai suporturi criptate deținute de stat atunci când descarcă date de stat care conțin informații de identificare personală, informații de sănătate protejate, informații fiscale federale sau servicii de informații privind justiția penală sau orice alte date sensibile pe un dispozitiv media amovibil, cum ar fi, dar fără a se limita la, unități USB, casete, CD-uri și DVD-uri.

3.2 controlul accesului

rezumat: controlul accesului, într-o formă sau alta, este considerat de majoritatea organizațiilor ca fiind piatra de temelie a programelor lor de securitate. Diferitele caracteristici ale mecanismelor de control al accesului fizic, tehnic și administrativ lucrează împreună pentru a construi arhitectura de securitate atât de importantă în protecția activelor informaționale critice și sensibile ale unei organizații.

scop: Administrarea accesului utilizatorilor la informații electronice este necesară pentru a aplica principiile celui mai mic privilegiu și “nevoia de a ști” și trebuie administrată pentru a se asigura că se aplică nivelul adecvat de control al accesului pentru a proteja activul informațional din fiecare aplicație sau sistem.

Obiective De Politică: Departamentele și agențiile statului Utah trebuie să limiteze accesul la sistemele de informații la utilizatorii autorizați, procesele care acționează în numele utilizatorilor autorizați sau dispozitivele (inclusiv alte sisteme informatice) și la tipurile de tranzacții și funcții pe care utilizatorii autorizați le pot exercita, în conformitate cu Institutul Național de standarde și Tehnologie, publicații speciale 800-53 Rev4 MP1-6 (Anexa F-MP,pagina F-119), 800-88. În plus, numai utilizatorii autorizați vor avea acces administrativ la stațiile de lucru pentru a descărca, instala și executa noi aplicații.

4.0 conformitatea Politicii

Statul Utah, Departamentele și agențiile, angajații și contractorii trebuie să respecte această Politică de securitate a întreprinderii. Politicile și standardele suplimentare elaborate și puse în aplicare de departamentele și agențiile de stat pot include obiective sau detalii suplimentare, dar trebuie să fie compatibile cu obiectivele de securitate descrise în acest document de politică.

5.0 executarea

persoanele care lucrează în orice departament sau agenție a Statului Utah despre care s-a constatat că au încălcat această politică pot fi supuse unor sancțiuni legale, așa cum pot fi prescrise de stat și/sau statut federal, regulă și/sau regulament.