Standard šifriranja prenosivih uređaja za pohranu podataka

Teme:

Standards

22. juna 2011.

Na vrh

Svrha

Ovaj standard utvrđuje minimalne zahtjeve za sigurnu upotrebu prenosivih uređaja za pohranu podataka.

Na vrh

Pregled

Uređaji za pohranu podataka omogućavaju prenosivost podataka i programa. Jednostavni su za korištenje i sposobni su pohraniti velike količine podataka. Iste ove karakteristike predstavljaju sigurnosne probleme. Njihova mala veličina ih čini lakim za gubitak ili krađu. Njihova prenosivost olakšava uklanjanje povjerljivih podataka iz sigurnih sistema.

Ovaj standard identificira korake koji se moraju poduzeti kako bi se smanjili rizici povezani s korištenjem prenosivih uređaja za pohranu podataka.

Na vrh

Opseg

Ovaj standard postavlja minimalne zahtjeve za sigurnu upotrebu prenosivih uređaja za pohranu podataka i šifriranje povjerljivih podataka na prenosivim uređajima za pohranu podataka. Ovaj standard se ne odnosi na datoteke zapisane na traku ili druge medije kao dio redovnog procesa izrade sigurnosnih kopija agencije kada je softver koji se koristi namijenjen isključivo za kreiranje i upravljanje sigurnosnim kopijama.

Ovaj standard se primjenjuje na sve agencije kako je definirano u Poglavlju 8A, Odjeljku 101 Zakona o Iowi. Agencije koje ne učestvuju se podstiču da slijede smjernice u ovoj i drugim politikama, standardima, smjernicama, procesima i procedurama na nivou preduzeća.

Na vrh

Definicije

Odabrani termini u Standardu za šifriranje prenosivih pohrana za preduzeća definirani su u nastavku:

Izmjenjivi uređaji za pohranu: Uređaji dizajnirani za pohranu i prijenos elektroničkih informacija s jednog računara na drugi. Izmjenjivi uređaji za pohranu uključuju, ali nisu ograničeni na:

  • USB fleš diskovi (thumb drive) Prijenosni tvrdi diskovi
  • Memorijske kartice
  • DVD-ovi, CD-ovi i diskete
  • Mobilni telefoni, iPod-i i MP3 plejeri
  • Magnetne trake nisu dio procesa pravljenja sigurnosnih kopija u agenciji.
Na vrh

Ažuriranja

Ovaj standard će se preispitivati ​​najmanje svake dvije godine i ažurirati po potrebi.

Na vrh

Standard za šifriranje prenosivih medija za preduzeća

Sljedeći minimalni standardi moraju biti ispunjeni za sve prenosive uređaje za pohranu podataka:

  1. Politika : Agencije će uspostaviti politiku koja pokriva korištenje prenosivih uređaja za pohranu podataka. Politika će najmanje pokrivati:
    1. Vrste podataka dozvoljene na prenosivim uređajima za pohranu podataka
    2. Dozvoljene vrste uređaja
  2. Šifriranje podataka : Povjerljivi podaci pohranjeni na prijenosnim uređajima za pohranu podataka moraju biti šifrirani. Šifriranje treba koristiti 256-bitni (AES) Advanced Encryption Standard ili jaču enkripciju.
  3. Uređaji : Sljedeće se odnosi na prenosive uređaje za pohranu podataka.
    1. Zaposleni ne smiju kopirati povjerljive državne podatke na lične uređaje
    2. Uređaji nepoznatog vlasništva ne smiju se priključivati ​​na državne računare
    3. Uređaji koje obezbjeđuju agencijski klijenti moraju se skenirati na prisustvo zlonamjernog softvera
    4. Agencije moraju implementirati postavke ili politiku za zabranu korištenja neovlaštenih prenosivih uređaja
    5. Koristite jaku lozinku:
      1. Najmanje 8 znakova
      2. Mješavina brojeva i slova
      3. Barem jedan specijalni znak
      4. Biometrija se može koristiti zajedno s lozinkama za snažnu autentifikaciju
      5. Pisane lozinke se ne smiju pohranjivati ​​s uređajem
    6. Uređajima će centralno upravljati agencija.
      1. Agencije će voditi popis izdanih uređaja, kome je uređaj izdat i status šifriranja uređaja.
  4. Fizička zaštita : Zaposleni su odgovorni za fizičku zaštitu šifriranih prenosivih uređaja za pohranu podataka koji sadrže povjerljive informacije.
  5. Primarna pohrana : Prenosivi uređaji za pohranu ne smiju biti primarni uređaji za pohranu bilo kojih povjerljivih podataka države Iowa.
  6. Procjena : ISO će periodično procjenjivati ​​usklađenost agencije s ovim standardom. Agencije će omogućiti pristup informacijama o inventaru i sistemima prema potrebi kako bi se utvrdila usklađenost. Ako se utvrde kršenja ovog standarda, agencija će dobiti pismenu obavijest u skladu s IAC 11--25.11(8A).
  7. Obuka o sigurnosti : Osoblje će dobiti obuku o sigurnosti prenosivih uređaja za pohranu podataka i medija. Korisnicima će se najmanje dostaviti dokumentacija koja opisuje prenosive uređaje za pohranu podataka i rizike.
  8. Prijavljivanje : Izgubljeni ili ukradeni prenosivi uređaji za pohranu podataka koji sadrže povjerljive informacije moraju se prijaviti DAS-Uredu za sigurnost informacija u roku od 24 sata. Obavještenje mora sadržavati:
    1. Naziv agencije i kontakt
    2. Datum krađe/gubitka
    3. Opis krađe/gubitka.
    4. Opis informacija pohranjenih na uređaju
    5. Da li je uređaj bio šifriran
  1. Revizija : Agencije će evidentirati priključivanje prenosivih uređaja za pohranu podataka na računare agencije.
Na vrh

Datum stupanja na snagu

Ovaj standard stupa na snagu 22. juna 2011. godine.

Na vrh

Provođenje

Ovaj standard će se provoditi u skladu s Administrativnim zakonikom Iowe 11-25.11(8A).

Na vrh

Varijanca

Član 11 - 25.11(2) Administrativnog zakona Iowe predviđa odstupanja od sigurnosnih standarda. Zahtjevi za odstupanje od bilo kojeg zahtjeva ove politike bit će podneseni u pisanoj formi glavnom službeniku za sigurnost informacija prije implementacije.

Na vrh