Standard sigurnosti autentifikacije

Teme:

Sigurnosne politike

Datum originalne objave - 2. januar 2019.

Back to top

Pregled

Ovaj standard utvrđuje minimalne zahtjeve koji se odnose na autentifikaciju za sisteme i aplikacije informacionih tehnologija agencija učesnica.

Back to top

Svrha

Država Iowa održava razne podatke i informacije u svojim IT sistemima, uključujući, ali ne ograničavajući se na povjerljive informacije, lične podatke i druge osjetljive ili regulirane informacije. Kako bi se zaštitili ovi podaci, informacije i sistemi, potrebno je adekvatno autentificirati pojedince prije nego što im se odobri pristup takvim sistemima i aplikacijama. Ovo osigurava da su te osobe stvarne osobe koje su ovlaštene za pristup državnim sistemima i aplikacijama, kao i podacima i informacijama koje se pohranjuju, obrađuju i kojima se pristupa putem istih.

Back to top

Opseg/Primjena

Ovaj Standard se primjenjuje na sve agencije učesnice i sve državne službenike gore navedenih. Agencije koje ne učestvuju se podstiču da slijede ovaj Standard i druge dokumente o upravljanju IT-om preduzeća. Smatra se da su ovaj Standard usvojile sve agencije učesnice. Agencije učesnice mogu usvojiti dokumente o upravljanju kojima se dopunjuje, ali ne umanjuje ovaj Standard. U slučaju bilo kakvog sukoba ili nedosljednosti između ovog Standarda i dokumenta o upravljanju koji je usvojila agencija učesnica, ovaj Standard će imati prednost.

Back to top

Definicije

Pojmovi napisani velikim slovom koji nisu ovdje definirani imat će isto značenje kao i odgovarajući definirani pojam u sljedećim izvorima, koji se mogu povremeno mijenjati, prema sljedećem redoslijedu prioriteta: Poglavlje 8B Zakona o Iowi, Poglavlje 129 Administrativnog zakona o Iowi; i Taksonomija dokumenata o upravljanju informacijskom tehnologijom („Taksonomija“). Pored bilo kojih drugih pojmova koji su posebno definirani na drugom mjestu u ovom Standardu, odabrani pojmovi korišteni u ovom Standardu definirani su na sljedeći način:

  • „Administratorski račun(i)“ označava račun s punim/povišenim privilegijama na računaru/uređaju, sistemu ili aplikaciji.
  • „Autentifikacija“ znači proces uspostavljanja povjerenja u identitet korisnika informacionih sistema putem jedne od sljedećih metoda:
    • Nešto što korisnik zna (npr. lozinka);
    • Nešto što korisnik posjeduje (npr. telefon); ili
    • Nešto što korisnik predstavlja (npr. otisak prsta).
      Zajedno nazvani „Metode“.
  • „Digitalni certifikat(i)“ označava softverski token koji sadrži sigurnosne kontrole organizacije, a to je privatni ključ korisnika. Svaka razmjena putem interneta smatra se udaljenom.
  • „Višefaktorska autentifikacija“ označava autentifikaciju korištenjem dvije ili više metoda, npr. dvofaktorska autentifikacija Googlea.
  • „Udaljena“ razmjena informacija označava razmjenu informacija između uređaja povezanih na mrežu gdje se informacije ne mogu pouzdano zaštititi od početka do kraja sigurnosnim kontrolama jedne organizacije. Svaka razmjena putem interneta smatra se udaljenom.
  • „Sistemski račun(i)“ označava račun koji omogućava direktno povezivanje dva ili više IT sistema ili aplikacija u svrhu dijeljenja podataka i drugih informacionih resursa.
  • „Korisnički račun(i)“ označava račun s ograničenim privilegijama za računar/uređaj, sistem ili aplikaciju.
Back to top

Elementi

1. Dijeljenje/Prikaz

  • Korisnički računi dodjeljuju se jednoj osobi, a ne grupi ili entitetu.
  • Informacije za autentifikaciju, uključujući, ali ne ograničavajući se na lozinke, ne smiju se dijeliti s drugim državnim osobljem (uključujući, ali ne ograničavajući se na kolege, menadžere ili osoblje službe za korisnike), osobljem ili bilo kojim drugim trećim stranama.
  • Informacije za autentifikaciju, uključujući, ali ne ograničavajući se na lozinke, za korisničke račune ne smiju se javno prikazivati, a sistemi i aplikacije moraju biti konfigurirani tako da maskiraju lozinke tokom unosa.

2. Korisnička imena/lozinke

  • Zadane administratorske i početne lozinke za sve računare/uređaje, sisteme i aplikacije moraju se promijeniti tokom početnog podešavanja/korištenja.
  • Brojevi socijalnog osiguranja ili drugi slični identifikacijski brojevi ne smiju se koristiti kao korisnički ID ili lozinka.
  • Lozinke trebaju biti:
    • Najmanje osam (8) znakova za korisničke račune (osim za mobilne uređaje, pogledajte Standard sigurnosti mobilnih uređaja za preduzeća).
    • Najmanje deset (10) znakova za račune s povećanim privilegijama, kao što su administratorski računi ili sistemski računi.
    • Sastoji se od kombinacije brojeva, velikih i malih slova, s barem jednim posebnim znakom.
  • Lozinke NE smiju biti:
    • Sastoji se od jedne instance riječi iz rječnika. Spajanje više riječi iz rječnika (preporučuje se tri (3) ili više) je prihvatljivo.
    • Sastoji se od ili uključuje, u cijelosti ili djelomično, korisničko ime ili korisničko ime/prijavu.
    • Ista lozinka kao i bilo koja lozinka koju korisnik koristi na bilo kojim ličnim sistemima/aplikacijama (npr. bankarstvo, kupovina, društvene mreže).
    • Prikazuje se prilikom unosa.
  • Promjene lozinke.
    • Promjena lozinke : Lozinke se moraju promijeniti kad god korisnik ima osnovanu sumnju da je njegova lozinka možda kompromitovana.
      Na primjer, ako:
      • Korisnik je, bilo u kontekstu zaposlenja ili u privatnom životu, nedavno bio meta phishing napada ili drugog sajber događaja;
      • Korisnik je izgubio uređaj, bilo da je izdat od strane države ili lični, na kojem je bila pohranjena njegova lozinka ili druge slične lozinke, ili koji je sadržavao informacije koje bi se inače mogle koristiti za otkrivanje lozinke;
      • Lozinka je ukradena ili postoji mogućnost da je ukradena.
    • Sistemski i administratorski računi. Lozinke za sistemske i administratorske račune treba mijenjati najmanje svakih devedeset (90) dana.
    • Ponovna upotreba. Ako/kada se bilo koja lozinka promijeni, svaka nova lozinka mora se značajno razlikovati od prethodnih šest (6) lozinki korištenih u vezi s tim računom.

3. Višefaktorska autentifikacija

  • Višefaktorska autentifikacija će se koristiti za udaljene mrežne veze (npr. VPN ili udaljena radna površina) i zadatke udaljenog administratora.
  • Višefaktorska autentifikacija će se koristiti za sve račune e-pošte u oblaku, a odnosi se na sve korisnike s mobilnim telefonom izdanim od strane države.
  • Višefaktorska autentifikacija uključuje korisnički ID i lozinku/PIN plus jedno ili više od sljedećeg:
    • Digitalni certifikat;
    • Token\Pametna kartica;
    • Biometrija; ili
    • Jednokratni autorizacijski kod (npr. unaprijed odštampani kodovi, kodovi poslani putem tekstualne poruke, Google 2-step koda, e-pošte ili telefonskog poziva).

4. Šifriranje

Lozinke i informacije za oporavak lozinke moraju biti šifrirane u stanju mirovanja i tokom prenosa, kako unutar tako i izvan Agencije učesnice.

5. Neuspješni pokušaji prijave

Korisnički računi i administratorski računi bit će postavljeni da se zaključaju nakon pet (5) uzastopnih neuspješnih pokušaja prijave. Takvi računi ostat će zaključani sve dok ih ne resetuje osoba ovlaštena za to putem administratorskog računa.

6. Resetiranje/oporavak računa

Prije nego što administrator može resetirati/oporaviti račun/lozinku u ime korisnika ili drugog administratora, korisnik ili administrator za kojeg se traži oporavak/resetiranje računa mora biti provjeren kao osoba koja je ovlaštena za pristup/korištenje takvog računa.

  • Administratori računa NE smiju tražiti sljedeće podatke kao podatke za verifikaciju:
    • Broj socijalnog osiguranja.
    • Identifikacijski broj zaposlenika.
    • Djevojačko prezime majke ili odgovori na lična pitanja, poput „koji je bio vaš prvi auto?“, na koja se odgovori mogu lako pronaći putem društvenih mreža ili društvenog inženjeringa.
  • Administratori računa mogu zatražiti i potvrditi sljedeće ili primijeniti sljedeće metode za provjeru identiteta korisnika. Administratori računa moraju koristiti najmanje dvije (2) metode provjere, uključujući, samo kao primjer:
    • Zatražite od korisnika da pošalje tekstualnu poruku s mobilnog telefona izdatog od strane države, koji je dodijeljen tom određenom korisniku;
    • Zatražite od korisnika da uputi poziv s državnog telefona koji je dodijeljen tom određenom korisniku;
    • Zatražite od korisnika da pošalje e-poruku s državnog e-mail računa dodijeljenog tom određenom korisniku;
    • Zatražiti od korisnika da njegov/njen nadređeni/menadžer izvrši bilo šta od navedenog i da putem takve komunikacije potvrdi identitet korisnika koji je pokrenuo zahtjev;
    • Zatražite od korisnika odgovor na tajni podatak za pretragu (nešto što korisnik ima) koji je prethodno distribuiran korisniku.

7. Obuka

Državno osoblje, uključujući, ali ne ograničavajući se na direktore, službenike, zaposlenike, pripravnike i članove odbora i komisija, te osoblje dobavljača, proći će obuku o sigurnosti koja pokriva lozinke, socijalni inženjering/phishing, prijetnje zlonamjernog softvera i prijavljivanje incidenata.

8. Skladištenje

  • Pametne kartice i tokeni se ne smiju pohranjivati s odgovarajućim računarom/mobilnim uređajem kojem otključavaju/omogućavaju pristup.
  • Tokeni/pametne kartice moraju biti osigurani kada se ne koriste
  • Osim podataka za autentifikaciju administratorskog računa u hitnim slučajevima u štampanom obliku, koji se čuvaju u zaključanom/osiguranom prostoru i ograničeni su na ovlaštene osobe, podaci za autentifikaciju se ne smiju zapisivati.
  • Korisnici ne smiju koristiti funkciju „zapamti lozinku“ ili drugu sličnu funkciju u bilo kojem web pregledniku ili drugom sistemu ili aplikaciji.
  • Korisnici ne smiju koristiti "čuvare lozinki", "novčanike s lozinkama" ili druge slične softvere ili aplikacije, osim ako takav softver nije prethodno odobrio Odjel za upravljanje, Odjel za informacijsku tehnologiju (DoIT) za upotrebu od strane agencija učesnica.

9. Kolačići

Kad god je to moguće, kolačići će imati postavljen rok trajanja.

10. Onemogućavanje računa

Korisnički računi i administratorski računi bit će onemogućeni kada:

  • Korisnik napušta radni odnos ili je stavljen na administrativno odsustvo.
  • Računi su neaktivni duže od devedeset (90) dana.

11. Vremensko ograničenje neaktivnosti

  • Korisnički računi će se isključiti nakon petnaest (15) minuta neaktivnosti, što će zahtijevati od korisnika ponovnu autentifikaciju za pristup računu.
  • Administratorski računi će se isključiti nakon pet (5) minuta neaktivnosti, što će zahtijevati od korisnika da ponovo autentificira svoju lozinku za pristup računu.

12. Sječa drva

Zapisivanje pokušaja autentifikacije, bilo uspješnih ili neuspješnih, mora biti u skladu sa Standardom evidentiranja preduzeća.

13. Dobavljači/Izvođači radova

Agencije koje koriste dobavljače izvođače radova ili osoblje dobavljača dužne su osigurati da se ti dobavljači izvođači radova ili osoblje dobavljača pridržavaju ugovornih obaveza ovog Standarda.

Back to top

Amandman

Ovaj Standard će se preispitivati najmanje svake dvije (2) godine i mijenjati po potrebi. Ovaj Standard se može mijenjati po isključivoj diskreciji CIO-a, uzimajući u obzir savjete i doprinose TLG-a i njegovih različitih pododbora.

Back to top

Provođenje

Ovaj Standard će se provoditi u skladu s pravilima 11-25.11 i 11-117.11 Administrativnog zakonika Iowe i odjeljcima 8B.21(1)(d), (f) i (h), 8B.23(1), 8B.23(1) i 8B.24(1) Zakonika Iowe, prema potrebi. Po utvrđivanju kršenja ili neusklađenosti s ovim Standardom, Ured može, samo kao primjer:

  • Zabraniti ili na drugi način ograničiti korištenje Ugovora koje je zaključila kancelarija od strane Agencije učesnice;
  • Ukloniti ili zabraniti državnom osoblju agencije učesnice učešće u pododborima za upravljanje IT-om, radnim grupama ili operativnim grupama koje je osnovao, organizovao ili kojima upravlja Ured;
  • Prijavite takva kršenja ili nepoštivanje propisa odjelu za upravljanje, uredu guvernera ili državnom revizoru;
  • Naplatiti administrativne takse srazmjerno svim povećanim taksama koje je Ured ili druge agencije učesnice imao kao rezultat kršenja ili nepoštivanja propisa.
Back to top

Odricanje/Odstupanje

Pravila 11—25.11(2) i 11—117.11(3) Administrativnog zakonika Iowe i odjeljak 8B.21(5) Zakonika Iowe predviđaju odstupanja/izuzeća od dokumenata o upravljanju IT-om. Zahtjevi za izuzeće/odstupanje od bilo kojeg zahtjeva ovog Standarda podnose se u pisanoj formi Uredu u skladu sa zahtjevima tih statuta i pravila, prema potrebi.

Back to top

Rješavanje sporova

U slučaju spora između Ureda i Agencije učesnice u vezi s usklađenošću s ovim Dokumentom o upravljanju IT-om, njegovom administracijom ili provođenjem, takav spor će se riješiti kako je predviđeno članom 679A.19 Zakona o Iowi.

Back to top