Standard sigurnosti zaštite podataka na laptopu

12. april 2012.

Svrha

Ovaj standard utvrđuje minimalne sigurnosne zahtjeve za laptope i podatke koji se pohranjuju na laptopima, obrađuju njima ili prenose putem laptopa.

Pregled

Laptop računari pružaju prenosivost, omogućavajući korisnicima rad izvan kancelarije. Laptop računari također dolaze s rizicima. Povjerljive informacije mogu biti otkrivene kao rezultat gubitka ili krađe uređaja. Laptop uređaji mogu biti izloženi zlonamjernom softveru kada se povežu na nesigurnu mrežu.

Opseg

Ovaj standard postavlja minimalne sigurnosne i šifrirne zahtjeve za laptope koji sadrže podatke u vlasništvu države ili se povezuju na interne državne mreže ili mreže kojima upravlja država. Ovaj standard obuhvata laptope izvođača radova, državnih poslovnih partnera i pojedinaca koji se povezuju na interne državne mreže ili pohranjuju državne podatke.

U svrhu ovog standarda, sigurnost se definira kao sposobnost zaštite integriteta, povjerljivosti i dostupnosti informacija koje obrađuje, pohranjuje i prenosi agencija.

Ovaj standard se primjenjuje na sve agencije kako je definirano u Poglavlju 8A, Odjeljku 101 Zakona o Iowi. Agencije koje ne sudjeluju se potiču da slijede ovu i druge politike, standarde, smjernice, procese i procedure na nivou poduzeća.

Definicije

Odabrani termini korišteni u Standardu za zaštitu podataka o poslovnim laptopima definirani su u nastavku:

• Laptop računar: Laptop računari su lagani, prenosivi uređaji dizajnirani za rad duži vremenski period sa samostalnim izvorom napajanja. U svrhu ovog standarda, laptop računar uključuje tablet računar, netbook, iPad i slične uređaje.
• Šifriranje: Proces kojim se informacije čine nedešifrirajućim kako bi se zaštitile od neovlaštenog pregleda ili korištenja, posebno tokom prijenosa ili pohrane. Šifriranje se zasniva na algoritmu i najmanje jednom ključu. Čak i ako je algoritam poznat, informacije se ne mogu dešifrirati bez ključa/ključeva.

Standardni poslovni laptop

Sljedeći minimalni standardi moraju biti ispunjeni za sve laptop računare:

1. Inventar laptopa . Agencije će održavati inventar svih laptopa i njihovih dodijeljenih korisnika.
2. Šifriranje i autentifikacija podataka . Svi laptopi moraju biti šifrirani. Softver za šifriranje mora ispunjavati sljedeće kriterije:
   1. Prije pokretanja: Softver za šifriranje mora koristiti autentifikaciju korisnika prije pokretanja.
   2. Cijeli disk: Cijeli tvrdi disk, isključujući glavni boot zapis (master boot record), mora biti šifriran.
   3. Jačina enkripcije: Mora se koristiti 256-bitni napredni standard enkripcije (AES) ili jača enkripcija.
   4. Trag revizije: Trag revizije se mora održavati kako bi se pokazalo da je uređaj šifriran i koja je vrsta softvera za šifriranje korištena.
   5. Centralno upravljanje: Proces i procedure šifriranja bit će centralno upravljane na nivou agencije i/ili preduzeća.
   6. Hibernacija: Laptop se šifrira prilikom hibernacije, što zahtijeva od korisnika ponovnu autentifikaciju.
       
3. Procedure u slučaju gubitka/krađe . Gubitak ili krađa bilo kojeg laptopa mora se prijaviti glavnom službeniku za sigurnost informacija u roku od 24 sata. Obavještenje mora sadržavati:
   1. Naziv agencije i kontakt.
   2. Datum krađe/gubitka.
   3. Opis krađe/gubitka.
   4. Da li su na uređaju pohranjene povjerljive/osjetljive informacije.
   5. Da li je laptop bio šifriran.
   6. Da li je lozinka ili token pohranjen s laptopom.

Također će biti uspostavljene procedure za promjenu autentifikacijskih podataka za sve sisteme kojima je uređaj/korisnik možda pristupio.

4. Fizička zaštita . Korisnici su odgovorni za fizičku zaštitu svojih laptopa.
   1. Laptop računari se ne smiju ostavljati bez nadzora u javnom prostoru, osim ako nisu osigurani kablovskom bravom ili drugim uređajem protiv krađe.
5. Lozinke : Na laptopima se moraju koristiti jake lozinke. Lozinke moraju biti:
   1. Najmanje 8 znakova.
   2. Mješavina brojeva i slova.
   3. Imajte barem jedan poseban znak.

Pisane lozinke, pametne kartice ili tokeni ne smiju se čuvati zajedno s laptopom.

6. Primarna pohrana/Sigurnosne kopije podataka . Kako bi se osigurala dostupnost podataka u slučaju gubitka ili krađe uređaja, laptop ne smije biti primarni uređaj za pohranu podataka države Iowa. Redovne sigurnosne kopije podataka pohranjenih na laptopima moraju se praviti u skladu s politikom agencije.
7. Sigurnost klijenata se održava . Svi laptopi moraju imati:
   1. Pravilno konfiguriran zaštitni zid baziran na hostu
   2. Ažurirani softver protiv zlonamjernog softvera i
   3. Svi laptopi moraju imati instalirane najnovije kritične sigurnosne zakrpe u roku od 5 radnih dana od izdavanja.
8. Procjena . ISO će periodično provoditi procjene usklađenosti agencije s ovim standardom. Agencije će omogućiti pristup informacijama o inventaru i sistemima prema potrebi kako bi se utvrdila usklađenost. Ako se utvrde kršenja standarda za laptop računare, agencija će dobiti pismenu obavijest u skladu s IAC 11--25.11(8A).
9. Obuka o sigurnosti : Korisnicima laptopa bit će obezbijeđena obuka o sigurnosti mobilnih uređaja. Korisnicima će se najmanje dostaviti dokumentacija koja opisuje rizike mobilnog računarstva.
10. Brisanje podataka i onemogućavanje uređaja : Laptopi će biti izbrisani i/ili onemogućeni:
    1. Nakon 10 neuspješnih pokušaja unosa lozinke.
    2. Kada se prijavi gubitak ili krađa.
    3. Prije odlaganja/vraćanja zakupodavcu.
11. Neaktivnost : Laptopi bi trebali biti podešeni da se zaključavaju nakon maksimalno 15 minuta neaktivnosti.
12. Politika korištenja : Agencije će:
    1. Imati politiku koja pokriva korištenje laptopa i
    2. Osigurajte da osoblje primi i prihvati politiku.
13. Uređaji u ličnom vlasništvu : Laptopi u ličnom vlasništvu ne smiju se povezivati ​​na interne državne mreže.
14. Aplikacije trećih strana : Korisnici ne smiju preuzimati aplikacije trećih strana na svoj laptop bez odobrenja uprave agencije.
15. Bežično : Laptopi moraju:
    1. Onemogućite mogućnosti peer-to-peer (ad-hoc) umrežavanja.
    2. Onemogućite Bluetooth osim ako to nije potrebno za legitimne poslovne potrebe. Ako je Bluetooth potreban za legitimne poslovne potrebe, laptop mora:
       1. Uparujte samo s uređajima koje je odobrila agencija.
       2. Onemogući način otkrivanja.
    3. Koristite šifrirano VPN rješenje prilikom daljinskog povezivanja na internu mrežu agencije putem javne bežične mreže. VPN rješenje treba:
       1. Koristite dvofaktorsku autentifikaciju
       2. Ne dozvoliti dvije istovremene veze prema različitim mrežama (tj. bez podijeljenog tuneliranja i bez višestrukih veza).

Ažuriranja

Ovaj dokument će se preispitivati ​​najmanje svake dvije godine i ažurirati po potrebi.

Datum stupanja na snagu

Ovaj standard stupa na snagu 1. maja 2012. godine.

Provođenje

Ovaj standard će se provoditi u skladu s Administrativnim zakonikom Iowe 11—25.11(8A).

Varijanca

Član 11 - 25.11(2) Administrativnog zakona Iowe predviđa odstupanja od sigurnosnih standarda. Zahtjevi za odstupanje od bilo kojeg zahtjeva ove politike bit će podneseni u pisanoj formi glavnom službeniku za sigurnost informacija prije implementacije.