Standard sigurnosti e-pošte

Teme:

Standards

14. decembra 2011.

Na vrh

Svrha

Ovaj standard utvrđuje minimalne zahtjeve za zaštitu informacija poslanih putem e-pošte.

Na vrh

Pregled

Državne agencije se oslanjaju na e-poštu za komunikaciju s klijentima. Država svakodnevno šalje i prima milione e-poruka. Nešifrirana e-pošta ne pruža sigurnu metodu za prijenos povjerljivih informacija. Povjerljive informacije poslane putem običnog tekstualnog e-maila mogu biti pročitane od strane neovlaštenih osoba.

Na vrh

Opseg

Ovaj standard postavlja minimalne zahtjeve za sigurno korištenje e-pošte za prijenos povjerljivih informacija.

Ovaj standard se primjenjuje na sve agencije kako je definirano u Poglavlju 8A, Odjeljku 101 Zakona o Iowi. Agencije koje ne učestvuju se podstiču da slijede smjernice u ovoj i drugim politikama, standardima, smjernicama, procesima i procedurama na nivou preduzeća.

Na vrh

Definicije

  • Povjerljive informacije : Povjerljive informacije uključuju:
  1. Lični podaci definisani Zakonom Iowe 715c. Lični podaci uključuju ime/inicijal i prezime pojedinca u kombinaciji s jednim ili više od sljedećeg:
    1. Broj socijalnog osiguranja.
    2. Broj vozačke dozvole.
    3. Jedinstveni identifikacijski broj. Npr. studentska karta države Iowa; Medicaid ID.
    4. Broj finansijskog računa, broj kreditne kartice ili broj debitne kartice u kombinaciji s bilo kojim potrebnim sigurnosnim kodom, pristupnim kodom ili lozinkom.
    5. Jedinstveni elektronski identifikator ili kod usmjeravanja, u kombinaciji sa bilo kojim potrebnim sigurnosnim kodom, pristupnim kodom ili lozinkom.
    6. Jedinstveni biometrijski podaci, kao što su otisak prsta, slika mrežnjače ili šarenice, ili drugi jedinstveni fizički prikaz ili digitalni prikaz biometrijskih podataka.
  2. Bilo koja informacija ili zapis koji se smatra povjerljivim prema članu 22.7 Zakona o Iowi, poglavlja 22, poznatog i kao Zakon o otvorenim zapisima Iowe.
  3. Sve zaštićene zdravstvene informacije za agencije koje su obuhvaćene Zakonom o prenosivosti i odgovornosti zdravstvenog osiguranja (HIPAA).
  4. Svi zaštićeni podaci o kreditnim karticama kako je definirano Standardom sigurnosti podataka industrije platnih kartica (PCI-DSS).
  5. Bilo koje druge informacije koje bi, u slučaju gubitka, otkrivanja, oštećenja ili pristupa neovlaštenim sredstvima, prekršile državni ili savezni zakon.
  6. Sve informacije definirane kao povjerljive kontaktom/sporazumom s trgovinskim partnerima agencije, kupcima, dobavljačima ili drugim subjektima.
  • Lični email računi : Email računi koje nije obezbijedila državna agencija (tj. računi koji nisu user@iowa.gov ili user@agency.state.ia.us).
Na vrh

Ažuriranja

Ovaj standard će se preispitivati ​​najmanje svake dvije godine i ažurirati po potrebi.

Na vrh

Standard sigurnosti e-pošte za preduzeća

  1. Povjerljive informacije : Odlazna agencijska e-pošta će se skenirati radi otkrivanja povjerljivih informacija. Slanje e-pošte s povjerljivim informacijama, koju šalju neovlaštene osobe, bit će blokirano.
  2. Šifriranje : Sve agencijske e-poruke s povjerljivim informacijama, bilo u tijelu poruke ili kao priloženi fajl, moraju biti šifrirane.
  3. Informacije o federalnom porezu (FTI) : Informacije o federalnom porezu neće se prenositi putem e-pošte.
  4. Informacije o kreditnoj kartici : Nešifrirani primarni brojevi računa (PAN) neće se slati putem e-pošte.
  5. Lični e-mail nalozi : Povjerljive informacije agencije ne smiju se prenositi korištenjem ličnih e-mail računa.
  6. Sigurnost klijenta : Na klijentima e-pošte treba implementirati sljedeće:
    1. Onemogući automatsko otvaranje poruka.
    2. Onemogući automatsko učitavanje slika u porukama.
    3. Onemogući automatsko preuzimanje i obradu aktivnog sadržaja.
  7. Obuka : Zaposleni u Agenciji, izvođači radova, pripravnici i volonteri će proći godišnju obuku o sigurnim praksama korištenja e-pošte.
  8. E-pošta korisnika : Agencije će uputiti korisnike da ne šalju povjerljive informacije agenciji putem nešifrirane e-pošte.
Na vrh

Datum stupanja na snagu

Ovaj standard stupa na snagu 14. decembra 2011. godine.

Na vrh

Provođenje

Ovaj standard će se provoditi u skladu s Administrativnim zakonikom Iowe 11—25.11(8A).

Na vrh

Varijanca

Član 11 - 25.11(2) Administrativnog zakona Iowe predviđa odstupanja od sigurnosnih standarda. Zahtjevi za odstupanje od bilo kojeg zahtjeva ove politike bit će podneseni u pisanoj formi glavnom službeniku za sigurnost informacija prije implementacije.

Na vrh