Standard međusobne povezanosti

Teme:

Standards

22. juna 2011.

Na vrh

Svrha

Ovaj dokument pruža minimalne zahtjeve za uspostavljanje, održavanje i prekid međusobnih veza sa zajedničkom državnom IT infrastrukturom ili IT sistemima izvan državne vlade.

Na vrh

Pregled

Država Iowa održava niz podataka u svojim IT sistemima, uključujući povjerljive i osjetljive informacije o klijentima. Povezivanje IT sistema agencije sa mrežama izvan   njihove agencije povećava rizik od neovlaštenog pristupa informacijama i prekida usluge. Zaštita podataka i sistema bit će poboljšana osiguravanjem da agencije poštuju standarde prilikom povezivanja na zajedničku državnu IT infrastrukturu ili na IT sisteme izvan državne vlade.

Na vrh

Opseg

U svrhu ovog standarda, sigurnost se definira kao sposobnost zaštite povjerljivosti, integriteta i dostupnosti informacija koje agencije obrađuju, pohranjuju i prenose. Sredstva informacione tehnologije obuhvaćena ovom politikom uključuju ona koja obrađuju, pohranjuju, prenose ili prate digitalne informacije. Ovaj dokument predstavlja minimalne standarde koje moraju ispunjavati agencije koje žele povezati se na zajedničku državnu IT infrastrukturu i IT sisteme izvan državne vlade.

Ovaj standard se primjenjuje na sve agencije kako je definirano u Poglavlju 8A, Odjeljku 101 Zakona o Iowi.   Agencije koje ne učestvuju   su   ohrabrivao   do   slijediti   the   smjernice    ovo   i ostalo   poduzeće   politike, standarde, smjernice, procese i procedure na nivou.

Na vrh

Definicije

Odabrano   uslovi   korišteno    the   Preduzeće   Međusobna povezanost   Standardno   su   definirano u nastavku:

  • Antivirusni program   Softver   program   to   monitori   jedan   računar   ili   mreža za   identificirati   sve   glavni   vrste zlonamjernog softvera i sprječavanje ili suzbijanje incidenata sa zlonamjernim softverom.

  • Kompromitacija : Otkrivanje informacija neovlaštenim osobama ili kršenje sigurnosne politike sistema u kojem je moglo doći do neovlaštenog, namjernog ili nenamjernog otkrivanja, izmjene, uništenja ili gubitka objekta.

  • Međusobna povezanost ili međusobna povezanost: Direktna veza dva ili više IT sistema u svrhu dijeljenja podataka i drugih informacionih resursa. To uključuje veze s drugim agencijama; trgovinskim partnerima; trećim stranama koje pružaju usluge; i internetom.

  • Penetracija   Test  Sigurnost   test    koji   evaluatori   imitirati   stvarni svijet   napadi    jedan   pokušaj   identificirati načine za zaobilaženje sigurnosnih funkcija aplikacije, sistema ili mreže.
  • Sigurnost   Kontrole : Upravljačke, operativne i tehničke kontrole (tj. zaštitne mjere ili protumjere) propisane za informacioni sistem radi zaštite povjerljivosti, integriteta i dostupnosti sistema i njegovih informacija.
  • Sigurnost   Incident  Jedan   pojava   to   zapravo   ili   potencijalno   ugrožava   the   povjerljivost, integritet ili dostupnost informacionog sistema ili informacija koje sistem obrađuje, pohranjuje ili prenosi ili koje predstavljaju kršenje ili neposrednu prijetnju kršenja sigurnosnih politika, sigurnosnih procedura ili politika prihvatljivog korištenja.
  • Ranjivost   Procjena:   Formalno   opis    evaluacija   od   the   ranjivosti    informacioni sistem.
Na vrh

Ažuriranja

Ovo   standard   volja   biti   pregledano   na   najmanje   svaki   dva   godine    ažurirano   po potrebi.

Na vrh

Elementi standarda

The   sljedeći elementi   primijeniti   do   agencije   povezivanje sa   the   podijeljeno   Država   IT infrastruktura ili   IT sistemi izvan državne uprave.

  1. Zapisivanje:   Agencije   hoće   održavati    pregled   trupci   za   sve   serveri    mreža   uređaji.   Agencije će:
    1. Razvoj   jedan   trupac   pregled   politika koja uključuje:
      1. Dužina   od   vrijeme   za   trupac   zadržavanje (Dnevnik   zadržavanje   mora   biti   na   najmanje   90 dana)
      2. Pojedinac(ci)   odgovoran   za   pregled dnevnika
      3. Zapisnik   učestalost pregleda
      4. Zapisnik   postupci pregleda
    2. Razvoj   osnovna vrijednost   ponašanje   za   normalna aktivnost
    3. Izvođenje vremena:   Uređaji će sinhronizovati svoje vrijeme sa NTP serverom. Ljetno računanje vremena će biti prilagođeno.
  2. Šifriranje:   Agencije   mora   koristiti   jedan   minimalno   256-bitne enkripcije   za:   daljinski   veze; administrativni zadaci; i prijenos datoteka koje sadrže povjerljive podatke.

  3. Zaštitni zidovi: Agencije moraju instalirati i održavati zaštitne zidove na svim međusobnim vezama sa svojom agencijom. To uključuje   veze   do   ostalo   agencije; trgovinski partneri;   treći   zabava   usluga   pružatelji usluga; i   the   Internet. Zaštitni zidovi moraju biti ispunjeni sljedeći zahtjevi:

    1. Zadano   lozinke   su   promijenjeno   prije instalacije
    2. Softver i/ili integrirani operativni sistemi hardverskih zaštitnih zidova su ažurirani. Ažuriranja se moraju testirati prije puštanja u produkciju.
    3. SNMP   zajednica   žice   su   promijenjeno   od   zadana postavka
    4. Zaštitni zidovi   hoće   izvesti   ulaz    izlazno filtriranje

    5. Zaštitni zidovi (firewalls) će blokirati sav promet prema zadanim postavkama. Lista izuzetaka će biti uspostavljena kako bi se identificirali ovlašteni portovi, servisi i adrese.   Luke koje nisu aktivne duže od godinu dana bit će zatvorene.

    6. Kritično   sistemi   su   odvojen    logičke zone

    7. Zaštitni zidovi   mora   neuspjeh    jedan   zatvoreno stanje

    8. Zaštitni zid (firewall)   konfiguracije   su   pregledano,    ažurirano   kvartalno   od   mrežni administratori
  4. Logičke kontrole pristupa: Agencije će koristiti liste kontrole pristupa (ACL) i pravila pristupa kako bi odredile pristup ovlaštenom osoblju (ili agencijama ako koriste VPN od lokacije do lokacije) umreženim mrežama.   uređaji   (serveri,   ruteri,   prekidači    zaštitni zidovi).   ACL-ovi   hoće   uključuju   nivo   od   pristup    vrste transakcija    funkcije   to   su   dozvoljeno   (npr.   čitaj,   pisati,   izvršiti, izbrisati, kreirati,   i pretraga).
    1. ACL-ovi   bit će:
      1. Konfigurisano van mreže
      2. Verzirano    spremište
      3. Distribuirano   do   the   prikladno   kontrolni uređaj
    2. Agencije   hoće   grant   prikladno   privilegije pristupa:
      1. Na osnovu   na   uloge   ili   radne funkcije
      2. Na osnovu   na   the   princip   od   najmanje privilegije
    3. Samo   sistem   administratori   sa   jedan   posao   potreba   imati   pristup   do   kontrole
  5. Baner: Ekrani za prijavu koji se koriste za ulazak u mrežu agencije moraju imati baner upozorenja.   Pravni savjetnik agencije će odobriti baner i obavijestiti korisnike da:
    1. Korisnici   su   ulazak   jedan   Država   od   Sistem Iowe
    2. Pristup   je   ograničen   do   ovlašten   samo za upotrebu
    3. Korisnici   pristanak   za praćenje
  6. Identifikacija i   Autentifikacija:   Agencije će   identificirati i   autentificirati   korisnici   osigurati da su ovlašteni za pristup interkonekciji:
    1.   jedan   minimalno   lozinke    korisnik   ID-ovi   volja   biti   korišteno.   Lozinke   bit će:
      1.   najmanje   osam   likovi    administrator   lozinke   hoće   biti   na   najmanje   10 znakova
      2.   mješavina   od   brojevi,   velika i mala slova
      3. Uključi   na   najmanje   jedan   specijalni znak
      4. Promijenjeno   na   najmanje   svaki   šezdeset dana
    2. Majstor   lozinka   datoteke   hoće   biti   šifrirano    zaštićen   od   neovlašteni pristup.
    3. Hitna pomoć   administrator   lozinke   hoće   biti   sigurno pohranjeno.
    4. The   sljedeće   svibanj   biti   korišteno    dodatak   do   jake lozinke.
      1. Digitalni certifikati
      2. Tokeni za autentifikaciju
      3. Biometrija
      4. Pametne kartice
  7. Skeniranje virusa: Agencije su dužne instalirati antivirusni softver na sve servere i računare, osim na mainframe računare. Moraju biti ispunjeni sljedeći zahtjevi:
    1. Podaci   prebačen   do   the   agencija   od   jedan   vanjski   izvor je skeniran
    2. Antivirusni program   softver   automatski   čekovi   za   ažuriranja   na   najmanje dnevno
    3. Administratori se obavještavaju putem e-pošte, tekstualne poruke ili pejdžera ako antivirusni softver ne može automatski očistiti otkriveni virus
    4. Korisnici   su   upućen   na   kako   do   izvještaj   jedan   sumnjivi virus
  8. Ažuriranja sistema: Agencije će pravovremeno primjenjivati ​​ažuriranja sistema i sigurnosne zakrpe na svoje sisteme. Agencije će:
    1. Uspostaviti   jedan   metodologija krpanja
    2. Test   zakrpe/ažuriranja   prethodni   do instalacije
    3. Instaliraj   kritičan   zakrpe   za   aktivan   podvizi   unutar   pet   (5)   posao   dana   puštanja na slobodu
    4. Nekritično   zakrpe   hoće   biti   primijenjeno   po   jedan   raspored   uspostavljen   od   agencija

  9. Fizička sigurnost: Agencije će obezbijediti odgovarajuću fizičku sigurnost za svoje informacione sisteme kako bi spriječile neovlašćeni pristup.

    1. Serveri, ruteri, prekidači i ostala mrežna oprema moraju se sigurno čuvati u zaključanom ormaru ili prostoriji

  10. Sigurnosni incidenti: Agencije su dužne obavijestiti Ured za sigurnost informacija o sigurnosnim incidentima koji uključuju otkrivanje povjerljivih informacija, neovlašteni pristup sistemima ili koji mogu utjecati na druge agencije.

    1. Agencije će razviti procedure za odgovor na incidente i imenovati tim za odgovor na incidente
    2. Agencije   hoće   izolirati    odgovoriti   do   incidenti   porijeklom   od   njihovi sistemi
    3. Pravo   provođenje zakona   hoće   biti   obavješten   kada je to prikladno
    4. DAS-ISO   hoće   obavijestiti   prikladno   agencija   osoblje   od   sigurnost   incidenti   utičući   njihova agencija.
  11. Sigurnost   Svijest   i   Obuka:   Agencije će:
    1. Obezbjeđivanje i praćenje sigurnosti   obuka za podizanje svijesti   novo   korisnici prilikom zapošljavanja i osvježavanja znanja   obuka za sve korisnike na godišnjoj osnovi
    2. Obezbijediti    staza   tehnički   sigurnost   obuka   godišnje   za   osoblje   odgovoran   za   upravljanje međusobnim vezama agencija
    3. Obezbijediti   obuka   na   Preduzeće   Sigurnosni standardi
    4. Uspostaviti   jedan   prihvatljivo   koristiti   politika    distribuirati   to   do   svi korisnici

  12. Sigurnosni pregledi: Svaka agencija će pregledati svoje sigurnosne kontrole najmanje jednom godišnje ili kada dođe do značajnih promjena.   Sigurnosni pregledi agencije obuhvatit će sve sisteme agencije i uključivat će sljedeće:

    1. Godišnje   procjena ranjivosti
    2. Godišnje   vanjski   penetracija   test   uključujući   sve   vanjski   veze   do   agencija
    3. Dokumentacija   od   sigurnosni problemi
    4. Razvoj   jedan   sanacija   plan   do   adresa   sigurnosni problemi

>The   Informacije   Sigurnost   Ured   hoće   ponašanje   godišnji   sigurnost   recenzije   od   državni sistemi.

  1. Komunikacija:   Agencije   hoće   održavati   komunikacija   sa   the   Informacije   Sigurnost   Ured. Agencije će Uredu za sigurnost informacija dostaviti:
    1. The   ime    telefon   broj   za:
      1. Primarni   sigurnosno osoblje
      2. Primarni   tehničko osoblje
    2.   lista   od   novo,   obnovljen   ili   prekinute interkonekcije
    3.   mreža   dijagram    lista   od   interni    vanjski   IP adrese
  2. Prekid veze:   Agencije   su   predmet   do   hitan slučaj   isključenje   od   the   podijeljeno   Država   IT   infrastruktura. Agencije mogu biti isključene ako se dogodi bilo šta od sljedećeg:
    1. Jedan   agencija   sistem   je   inficiran   od   zlonamjerni softver    sanacija   nije dostupno
    2. Jedan   agencija   sistem   je   inficiran   od   zlonamjerni softver    tamo   je   jedan   visoko   rizik   od   zaraza   drugi sistemi
    3. Jedan   agencija   kompromitovanje sistema
    4. Povjerljivo   informacije   je   na   rizik   otkrivanja
    5. Jedan   agencija   sistem   je   pristupljeno   od   jedan   neovlašteni korisnik

Prije   do   isključenje   agencije   bit će:

  1. Dato   the   prilika   do   izolirati    istražiti   incident
  2. Obavješteno   od   telefon    primiti   e-pošta   potvrda   od   obavještenje
  3. Obezbijeđeno   detalji   na   kada    ispod   šta   uslovi   the   međusobna veza   hoće   biti obnovljen
  4. Ako   jedan   agencija   ne mogu   biti   dostigao    jedan   hitan slučaj   postoji   stavka   "b"   svibanj   biti izostavljen

 

  1. Modemi  Agencije   hoće   zabraniti   neovlašteno   uključivanje putem telefona   modem   pristup.   Modemi će:
    1. Zahtijevati   odobrenje uprave
    2. Prekini vezu   od   the   telefon   linija   kada   ne   u upotrebi
    3. Koristi   jedan   povratni poziv   karakteristika   gdje je to moguće
    4. Onemogući   the   modem   odgovaranje   sposobnost   ako   nije potrebno
  2. Upad   Detekcija   Sistem  Agencije   hoće   implementirati    monitor   jedan   upad   detekcija   sistem (IDS). Sav saobraćaj prema/od agencijskih interkonekcija će biti nadziran.
Na vrh

Datum stupanja na snagu

Agencije   mora   biti   potpuno   u skladu s propisima   sa   ovo   standard   na   ili   prije   juni   22. 2011.

Na vrh

Provođenje

Ovo   standard   volja   biti   nametnut   u skladu s tim   do   Ajova   Administrativno   Kod   11— 25.11(8A).

Na vrh

Varijanca

Član 11 - 25.11(2) Administrativnog zakona Iowe predviđa odstupanja od sigurnosnih standarda. Zahtjevi za odstupanje od bilo kojeg zahtjeva ove politike bit će podneseni u pisanoj formi glavnom službeniku za sigurnost informacija prije implementacije.

Na vrh