Standard sigurnosti informacija

Teme:

Standards

18. marta 2008.

Na vrh

Svrha

Ovaj standard utvrđuje minimalne zahtjeve za računarsku sigurnost za državne agencije s ciljem zaštite povjerljivosti, integriteta i dostupnosti državnih računarskih sistema i informacija.

Na vrh

Pregled

Državne agencije prikupljaju i obrađuju razne informacije, uključujući i povjerljive informacije, tokom svojih aktivnosti. Moraju se poduzeti mjere za zaštitu informacija agencije i pratećih računarskih sistema od neovlaštenog pristupa, izmjene, uništenja, bilo slučajnog ili namjernog, te kako bi se osigurala autentičnost, integritet i dostupnost državnih računarskih sistema i informacija.

Na vrh

Opseg

U svrhu ovog standarda, sigurnost se definira kao sposobnost zaštite povjerljivosti, integriteta i dostupnosti informacija koje agencija obrađuje, pohranjuje i prenosi. Sredstva informacione tehnologije obuhvaćena ovom politikom uključuju ona koja obrađuju, pohranjuju, prenose ili prate digitalne informacije. To uključuje sigurnost objekata informacione tehnologije i pohranu informacija van lokacije; računarske, telekomunikacijske i usluge vezane za aplikacije kupljene od drugih državnih agencija ili komercijalnih subjekata; te aplikacije i povezivost vezane za internet.

Ova politika se primjenjuje na sve agencije kako je definirano u Zakonu Iowe, Poglavlje 8A, Odjeljak 101. Agencije koje ne sudjeluju se potiču da slijede smjernice u ovom i drugim sigurnosnim standardima na nivou preduzeća, kao i da sudjeluju u sigurnosnim programima na nivou preduzeća.

Na vrh

Ažuriranja

Ovaj dokument će se preispitivati ​​najmanje svake dvije godine i ažurirati po potrebi.

Na vrh

Definicije

Odabrani termini korišteni u Standardu poslovne sigurnosti definirani su u nastavku:

  • Povjerljivost - Svojstvo da se osjetljive informacije ne otkrivaju neovlaštenim osobama, subjektima ili procesima.
  • Integritet - Svojstvo da osjetljive informacije nisu modificirane ili izbrisane na neovlašten i neotkriven način.
  • Dostupnost - Osiguranje pravovremenog i pouzdanog pristupa informacijama i njihovog korištenja.
Na vrh

Standard sigurnosti informacija preduzeća

Standard sigurnosti informacija države Iowa glasi:

  1. Pouzdano okruženje : Svaka agencija posluje na način koji je u skladu s održavanjem zajedničkog, pouzdanog okruženja unutar državne vlade. Agencije ne smiju ugroziti povjerljivost, integritet ili dostupnost državnih računarskih sistema; ili informacija koje pohranjuje, obrađuje i prenosi bilo koji državni informacioni sistem.
  2. Standardi preduzeća : Svaka agencija slijedi utvrđene sigurnosne standarde preduzeća, osim tamo gdje politika agencije pruža viši nivo sigurnosti.
  3. Politika : Svaka agencija je odgovorna za razvoj politika, procesa i procedura kako bi se ispunio ovaj standard. Politike agencije mogu biti strože od standarda preduzeća. Svi zaposleni, uključujući pripravnike, izvođače radova, privremene i honorarne zaposlenike, moraju se složiti (pismeno ili elektronski) da će slijediti državne i agencijske sigurnosne politike prije nego što im se odobri pristup državnim računarskim resursima.
  4. Plan kontinuiteta : Svaka agencija će razviti, implementirati i primjenjivati ​​plan kontinuiteta poslovanja agencije. Plan će se zasnivati ​​na kritičnosti imovine i biti u skladu s planom kontinuiteta poslovanja preduzeća.
  5. Obuka : Svaka agencija će implementirati program obuke/osviještenosti o sigurnosti za sve zaposlenike. Novi zaposlenici će dobiti osnovnu obuku o sigurnosti informacijske tehnologije u roku od tri mjeseca od zapošljavanja. Dodatna obuka, srazmjerna radnim dužnostima zaposlenika, bit će osigurana godišnje.
  6. Revizije : Svaka agencija podliježe periodičnoj sigurnosnoj reviziji kako bi se osigurala usklađenost s ovom i drugim politikama, standardima, procesima i procedurama na nivou preduzeća. Revizija ili pregled koji provodi drugi organ, kao što je Poreska uprava (Internal Revenue Service), može se zamijeniti ako je sličnog obima i ako ga odobri glavni službenik za sigurnost informacija.
  7. Procjena ranjivosti : Svaka agencija će najmanje jednom godišnje provoditi procjenu ranjivosti svojih informacionih sistema kako bi se procijenila efikasnost sigurnosnih mjera. Rezultati procjene će se koristiti za identifikaciju, određivanje prioriteta, planiranje i implementaciju dodatnih sigurnosnih mjera.
  8. Procjena rizika : Svaka agencija će imati procjenu rizika informacionih sistema koja će se provoditi najmanje svake dvije godine. Ova procjena će se koristiti za pomoć u identifikaciji, određivanju prioriteta, planiranju i implementaciji dodatnih sigurnosnih mjera. Metodologiju procjene će razviti Ured za sigurnost informacija i staviti je na raspolaganje preduzeću.
  9. Životni ciklus razvoja sistema : Sigurnosni zahtjevi će biti formalno definirani i adresirani tokom cijelog životnog ciklusa svih projekata informacionih tehnologija, uključujući definiranje poslovnih zahtjeva, dizajn, razvoj, testiranje, implementaciju i rad.
  10. Usklađenost agencije : Svaki glavni službenik za informacione tehnologije u agenciji će se, u skladu sa svojim mogućnostima, pobrinuti da informacioni sistemi pod njihovom kontrolom ispunjavaju sigurnosne politike, standarde, procese i procedure preduzeća i agencije prije nego što se puste u produkciju ili nakon značajnih promjena u sistemu. Ured za sigurnost informacija može nasumično procijeniti proces samocertifikacije i pojedinačne sisteme kako bi se osiguralo pridržavanje politike.
  11. Privatnost : Povjerljive informacije koje bi mogle uticati na privatnost pojedinaca bit će zaštićene u svakom trenutku.
  12. Praćenje : Praćenje korištenja informacionog sistema u svrhu otkrivanja zlonamjernih aktivnosti i zloupotrebe vladinih resursa provodit će agencije ili Odjel za administrativne usluge, Komunikacijska mreža Iowe ili druga strana na zahtjev agencije.
  13. Incidenti : Agencije će prijaviti incidente u vezi sa sigurnošću informacija koji utiču ili mogu uticati na zajedničke državne resurse Uredu za sigurnost informacija, slijedeći zajednički plan odgovora.
  14. Fizička zaštita : Agencije će osigurati da računarski resursi i fizičke informacije, uključujući, ali ne ograničavajući se na servere, desktop računare, laptope, mrežnu opremu, zaštitne zidove, fizičke kopije i trake, imaju odgovarajuću fizičku zaštitu. Gdje je to moguće, ovi resursi bi također trebali biti zaštićeni od strukturnih i okolišnih prijetnji.
  15. Mrežne veze : Agencije će Uredu za sigurnost informacija dostaviti informacije koje opisuju sve veze iz njihovih agencijskih mreža s vanjskim resursima, uključujući zajedničku kampusnu mrežu Odjela za administrativne usluge, Komunikacijsku mrežu Iowe, privatne pružatelje usluga, savezne, lokalne i općinske vlasti i druge državne agencije. Ažuriranja će biti pružena kako se budu događale promjene.
  16. Ažuriranja sistema : Agencije će razviti procedure za pravovremenu implementaciju sistemskih zakrpa, ažuriranja konfiguracije i drugih mjera potrebnih za zaštitu sistema. Procedure će omogućiti adekvatno testiranje prije implementacije.
  17. Sigurnosni program : Agencije će odrediti osobu/osobe odgovorne za koordinaciju funkcija sigurnosti informacijske tehnologije unutar agencije i za provedbu politika sigurnosti informacijske tehnologije agencije.
  18. Metrike : Agencije će razviti metrike koje će se koristiti za mjerenje efikasnosti njihovog programa, standarda i praksi sigurnosti informacija. Ured za sigurnost informacija DAS-a će pružiti pomoć agencijama u razvoju metrika.
  19. Odstupanja : Zahtjevi za odstupanje od bilo kojeg zahtjeva ove politike bit će podneseni u pisanoj formi od strane direktora agencije glavnom službeniku za sigurnost informacija prije implementacije.
Na vrh

Datum stupanja na snagu

Ovaj standard stupa na snagu 30. juna 2008. godine.

Na vrh

Provođenje

Ovaj standard će se provoditi u skladu s Administrativnim zakonikom Iowe 11—25.11(8A).

Na vrh