Standard upravljanja podacima

Teme:

Standards
Na vrh

Svrha

Ovaj standard utvrđuje zahtjeve za upravljanje podacima za državne agencije s ciljem zaštite povjerljivosti, integriteta i dostupnosti državnih podataka.

Na vrh

Pregled

Državne agencije prikupljaju i obrađuju razne podatke, uključujući povjerljive informacije. Moraju se poduzeti mjere za zaštitu podataka od neovlaštene izmjene, uništenja ili otkrivanja, bilo slučajnog ili namjernog, te kako bi se osigurala njihova autentičnost, integritet i dostupnost.

Na vrh

Opseg

U svrhu ovog standarda, sigurnost se definira kao sposobnost zaštite povjerljivosti, integriteta i dostupnosti informacija koje obrađuje, pohranjuje i prenosi agencija. Podaci uključuju sve informacije, kako u elektronskom tako i u papirnom formatu, koje obrađuje, pohranjuje ili prenosi državna agencija.

Ova politika se primjenjuje na sve agencije kako je definirano u Zakonu Iowe, Poglavlje 8A, Odjeljak 101. Agencije koje ne sudjeluju se potiču da slijede smjernice u ovoj i drugim sigurnosnim politikama, standardima, procesima i procedurama na nivou preduzeća, kao i da sudjeluju u sigurnosnim programima na nivou preduzeća.

Na vrh

Definicije

Odabrani termini korišteni u Standardu za upravljanje podacima preduzeća definirani su u nastavku:

  • Dostupnost - Osiguranje pravovremenog i pouzdanog pristupa informacijama i njihovog korištenja.
  • Povjerljivi podaci – Podaci koji su identificirani kao povjerljivi u skladu s politikom klasifikacije podataka agencije.
  • Povjerljivost - Svojstvo da se osjetljive informacije ne otkrivaju neovlaštenim osobama, subjektima ili procesima.
  • Kršenje podataka – Kršenje podataka je neovlašteno (namjerno ili nenamjerno) izlaganje, otkrivanje ili gubitak ličnih ili finansijskih podataka.
  • Upravitelj podataka – Pojedinci s odgovornošću za planiranje i politiku podataka unutar agencije. Upravitelji podataka imaju odgovornost osigurati da se poduzmu odgovarajući koraci za zaštitu podataka i da se odgovarajuće politike i smjernice pravilno provode.
  • Integritet - Svojstvo da osjetljivi podaci nisu modificirani ili izbrisani na neovlašten i neotkriven način.
Na vrh

Elementi

Slijede elementi Standarda sigurnosti upravljanja podacima preduzeća.

  1. Upravitelj(i) podataka : Svaka agencija će imenovati upravitelja(e) podataka odgovornog(ih) za održavanje tačnosti, privatnosti i sigurnosti podataka koje agencija prikuplja.
  2. Neophodnost : Agencije će prikupljati samo povjerljive podatke koji su neophodni za ispunjavanje misije agencije i zakonskih zahtjeva.
  3. Čuvanje podataka : Agencije će čuvati samo povjerljive podatke koji su neophodni za ispunjavanje misije agencije i zakonskih zahtjeva.
  4. Pristup : Agencije će osigurati da samo ovlašteni korisnici imaju pristup povjerljivim informacijama agencije. Ovlašteni korisnici su oni koji imaju legitimnu i neophodnu poslovnu potrebu za podacima.
  5. Pohrana : Povjerljivi podaci moraju se sigurno pohranjivati. Elektronski podaci trebaju se, ako je moguće, pohranjivati ​​na centralno upravljanom serveru. Povjerljivi podaci koji se prenose ili pohranjuju izvan kontrole agencije moraju se pridržavati zahtjeva Standarda 10 u nastavku.
  6. Prijenos : Povjerljivi podaci se prenose sigurno.
  7. Obuka : Obuka Agencije o sigurnosti mora uključivati ​​odjeljak o zaštiti povjerljivih informacija.
    a. Organizacije/pojedinci (npr. blagajnici okruga, advokati, revizori) kojima je odobren pristup povjerljivim državnim podacima/sistemima moraju proći obuku o sigurnosti prije nego što im se odobri pristup.
  8. Razvoj novog sistema : Agencije se ne obeshrabruju da koriste povjerljive podatke za testiranje računarskih sistema u razvoju. Ako se povjerljivi podaci moraju koristiti za testiranje, razvojni sistem mora ispunjavati iste sigurnosne standarde kao i produkcijski sistem.
  9. Brojevi socijalnog osiguranja : Prikupljanje i korištenje brojeva socijalnog osiguranja bit će ograničeno i zasnovano na jakoj poslovnoj potrebi. Brojevi socijalnog osiguranja neće biti:
    a. Koristi se kao jedinstveni broj kupca.
    b. Koristi se kao primarni ključ u bazama podataka, osim tamo gdje je to zakonom propisano.
    c. Prikazano u cijelosti na eksternim web aplikacijama izvan početnog ekrana za unos podataka.
    d. U cijelosti prikazano na štampanim materijalima.
  10. Šifriranje : Polja baze podataka koja sadrže povjerljive informacije moraju biti šifrirana u stanju mirovanja korištenjem AES (256-bitne) ili jače enkripcije.
  11. Dijeljenje podataka : Dijeljenje povjerljivih informacija izvan agencije mora se svesti na minimum. Agencije će:
    a. Imajte pisanu politiku koja pokriva dijeljenje podataka.
    b. Zahtijevati potpisan, pisani sporazum o dijeljenju podataka između agencije i vanjskog subjekta prije razmjene podataka. Sporazum mora uključivati:
    i. Podaci koji će se dijeliti;
    ii. Namjeravana upotreba podataka;
    iii. Vremenski period koji obuhvata razmjenu;
    iv. Zahtjev da će podnosilac zahtjeva zaštititi povjerljivost podataka;
    v. Zahtjev da podnosilac zahtjeva neće ponovo otkriti podatke;
    vi. Zahtjev da podnosilac zahtjeva odmah prijavi izgubljene ili ukradene podatke agenciji;
    vii. i Odredbe za konačno uništavanje podataka.
    c. Voditi evidenciju sporazuma o dijeljenju podataka.
    d. Šifrirajte elektronske podatke prije slanja.
    e. Osigurati da je dijeljenje podataka u skladu sa državnim i saveznim zakonima.
  12. Objavljivanje podataka : Agencije će koristiti sveobuhvatne tehnike izbjegavanja otkrivanja podataka u skladu s profesionalno prihvatljivim standardima kako bi deidentifikovale povjerljive podatke prije nego što ih objave javnosti.
  13. Odlaganje : Uređaji i mediji koji sadrže povjerljive podatke moraju se izbrisati metodom odobrenom od strane Ministarstva odbrane prije odlaganja.
    a. Uređaji koji se ne mogu obrisati moraju se uništiti.
    b. Papirni dokumenti koji sadrže povjerljive podatke moraju se usitniti pomoću mikrorezača prije odlaganja ili isporuke reciklažnom preduzeću.
  14. Obavještenje : Državne agencije će obavijestiti pojedince pogođene kršenjem sigurnosti podataka. Obavještenje se mora dostaviti u najkraćem mogućem roku i na najbrži mogući način i bez nerazumnog odlaganja, u skladu sa svim mjerama potrebnim za utvrđivanje obima kršenja sigurnosti i legitimnim potrebama provođenja zakona.
Na vrh

Ažuriranja

Ovaj dokument će se preispitivati ​​najmanje svake dvije godine i ažurirati po potrebi.

Na vrh

Datum stupanja na snagu

Ovaj standard stupa na snagu 2. septembra 2014. godine.

Na vrh

Provođenje

Ovaj standard će se provoditi u skladu s Administrativnim zakonikom Iowe 11—25.11(8A).

Na vrh

Varijanca

Član 11 - 25.11(2) Administrativnog zakona Iowe predviđa odstupanja od sigurnosnih standarda. Zahtjevi za odstupanje od bilo kojeg zahtjeva ove politike bit će podneseni u pisanoj formi glavnom službeniku za sigurnost informacija prije implementacije.

Na vrh