Standard sigurnosti mobilnih uređaja

27. august 2013.

Svrha

Ovaj standard utvrđuje minimalne zahtjeve za sigurnu upotrebu mobilnih uređaja i tableta/tableta, uključujući iPhone, iPad, Android uređaje i druge pametne telefone.

Pregled

Mobilni uređaji omogućavaju telefonske pozive, slanje/primanje e-pošte, pregledavanje weba, pohranjivanje/modificiranje dokumenata, daljinski pristup podacima, snimanje zvuka/videa i služe kao navigacijska pomagala. Odluka o tome hoće li se dozvoliti korištenje mobilnih uređaja treba se zasnivati ​​na procjeni rizika i poslovnih koristi pristupa. Ovaj standard pruža minimalni skup sigurnosnih zahtjeva za korištenje mobilnih uređaja.

Opseg

Ovaj standard se primjenjuje na mobilne uređaje i tablete/tablete, uključujući BlackBerry, iPhone, iPad, Android uređaje i druge pametne telefone. Laptopi i netbookovi su obuhvaćeni Standardom zaštite podataka za poslovne laptope.

Ovaj standard se primjenjuje na sve agencije kako je definirano u Poglavlju 8A, Odjeljku 101 Zakona o Iowi. Agencije koje ne učestvuju se podstiču da slijede smjernice u ovom i drugim standardima na nivou preduzeća, kao i da učestvuju u sigurnosnim programima na nivou preduzeća.

Definicije

Odabrani termini korišteni u Standardu za mobilne uređaje definirani su u nastavku:

• Bluetooth : Radio tehnologija male snage koja omogućava bežično uparivanje i povezivanje uređaja.
• Mobilni uređaj : Uređaj dizajniran za podršku mobilnom računarstvu pomoću operativnog sistema kao što su iOS, Android, S40 OS, Windows i BlackBerry OS. Mobilni uređaji uključuju tablete, BlackBerry uređaje, iPhone, iPad, Android uređaje i druge pametne telefone.
• Komunikacija bliskog polja : Bežični interfejs lične mreže (WPAN) koji ne zahtijeva infrastrukturu za rad. Uređaji dijele podatke dodirivanjem ili činjenicom da su u neposrednoj blizini.
• Neautentificirani javni Wi-Fi : Besplatni javni Wi-Fi koji se obično nudi u kafićima, bibliotekama, odmorištima, aerodromima i drugim javnim mjestima.
• USB masovna memorija : Uređaji za pohranu koji prenose datoteke putem univerzalne serijske magistrale.

Elementi standarda

Sljedeći elementi primjenjuju se na sve zaposlenike agencije/izvođače radova/volontere/pripravnike koji obavljaju državne poslove na mobilnom uređaju.

1. Centralno upravljanje : Mobilnim uređajima će se upravljati centralno. Agencije će održavati listu uređaja ovlaštenih za povezivanje na državni sistem e-pošte.
2. Lozinke/PIN-ovi : Lozinke/PIN-ovi moraju biti omogućeni za svaki uređaj. Lozinka/PIN mora imati najmanje 6 znakova.
3. Brisanje podataka i onemogućavanje uređaja : Uređaji će biti onemogućeni nakon 10 neuspješnih pokušaja unosa lozinke i izbrisani:
   1. Kada se prijavi gubitak ili krađa.
   2. Prije odlaganja/vraćanja dobavljaču.
4. Neaktivnost : Uređaj treba biti podešen da se zaključa nakon 15 minuta ili manje neaktivnosti.
5. Šifriranje : Podaci će biti šifrirani korištenjem najjače enkripcije dostupne za uređaj. Šifriranje će obuhvatiti:
   1. Podaci u tranzitu,
   2. Podaci u memoriji uređaja i
   3. Podaci na medijskoj kartici priključenoj na uređaj.
6. Bluetooth : Uređaji moraju podrazumevano onemogućiti Bluetooth, osim ako agencija ne odobri rad bez upotrebe ruku. Ako je omogućen za rad bez upotrebe ruku, uređaji moraju:
   1. Onemogući način otkrivanja.
   2. Uparujte samo sa agencijski odobrenim handsfree uređajima koji ispunjavaju ovaj standard.
7. Sigurnost uređaja . Svi mobilni uređaji i sistemi za upravljanje moraju imati instalirane najnovije kritične sigurnosne zakrpe. Nepodržani uređaji s kritičnim ranjivostima neće se povezivati ​​na državni sistem e-pošte.
8. Politika korištenja : Agencije će:
   1. Imati politiku koja pokriva korištenje mobilnih uređaja, uključujući i lične uređaje, i
   2. Osigurajte da osoblje primi i prihvati politiku.
9. Obuka : Korisnici će proći godišnju obuku o sigurnosti koja će obuhvatiti sigurnu upotrebu mobilnih uređaja. Obuka će minimalno obuhvatiti lozinke, phishing, zlonamjerni softver i prijavljivanje incidenata.
10. Uređaji u ličnom vlasništvu : Uređaji u ličnom vlasništvu povezani sa sistemima državne/agencijske e-pošte moraju:
    1. Biti odobren od strane uprave agencije.
    2. Biti centralno upravljan korištenjem ITE-a ili sistema za upravljanje mobilnim uređajima agencije.
    3. Pratite postavke konfiguracije sistema za upravljanje mobilnim uređajima.
    4. Ispunite sve zahtjeve propisane ovim standardom.
    5. Izbrišite sve državne podatke s uređaja kada se uređaj više ne koristi za državne poslove ili kada zaposlenik napusti agenciju.
    6. Budite u skladu s politikama agencije/preduzeća za korištenje vlastitih uređaja (BYOD).
        
11. Prijavljivanje : Korisnici su dužni prijaviti izgubljene, ukradene ili nestale uređaje: svojoj agenciji, ITE službi za korisnike i Uredu za sigurnost informacija. Obavještenje se mora dostaviti što je prije moguće, ali u roku od 24 sata, nakon što se otkrije da uređaj nedostaje. Obavještenje mora sadržavati:
    1. Naziv i kontakt agencije,
    2. Datum krađe/gubitka,
    3. Opis krađe/gubitka, i
    4. Opis informacija pohranjenih na uređaju.
        
12. Aplikacije trećih strana : Korisnici mogu instalirati na svoj uređaj samo aplikacije trećih strana koje su odobrile agencije.
13. Wi-Fi : Uređaji agencije ne smiju se povezivati ​​na neautentificirane javne Wi-Fi mreže ili mreže koje koriste WEP i WPA.
14. Zlonamjerni softver : Uređaji moraju imati ažuriranu zaštitu od zlonamjernog softvera ako je dostupna.
15. Fizička zaštita . Korisnici mobilnih uređaja odgovorni su za svoju fizičku zaštitu. Mobilni uređaji moraju biti osigurani kada se ne koriste.
16. Sinhronizacija\Pohrana:
    1. Uređaji koje je izdala država ne smiju se sinhronizovati sa ličnim računarom koji nije u vlasništvu države.
    2. Podaci o državi ne smiju se sinhronizirati sa sistemom koji nije odobren od strane države.
    3. Uređaji se ne smiju spajati na javne stanice/kioske za punjenje.
        
17. Usluge lokacije : Usluge lokacije bit će onemogućene izvan Sjedinjenih Američkih Država.
18. Komunikacija bliskog polja : Komunikacija bliskog polja (NFC) će biti onemogućena prema zadanim postavkama, osim ako to ne odobri agencija.

Ažuriranja

Ovaj dokument će se preispitivati ​​najmanje svake dvije godine i ažurirati po potrebi.

Datum stupanja na snagu

Ovaj standard stupa na snagu 27. augusta 2013. godine.

Provođenje

Ovaj standard će se provoditi u skladu s Administrativnim zakonikom Iowe 11—25.11(8A).

Varijanca

Član 11 - 25.11(2) Administrativnog zakona Iowe predviđa odstupanja od sigurnosnih standarda. Zahtjevi za odstupanje od bilo kojeg zahtjeva ove politike bit će podneseni u pisanoj formi glavnom službeniku za sigurnost informacija prije implementacije.