Estándar de interconectividad

Temas:

Standards

22 de junio de 2011

Volver arriba

Objetivo

Este documento establece los requisitos mínimos para establecer, mantener y finalizar las interconexiones con la infraestructura informática estatal compartida o con sistemas informáticos externos al gobierno estatal.

Volver arriba

Descripción general

El estado de Iowa mantiene una variedad de datos en sus sistemas informáticos, incluyendo información confidencial y sensible de los clientes. Conectar los sistemas informáticos de la agencia a redes externas.   La falta de control por parte de sus agencias aumenta el riesgo de acceso no autorizado a la información e interrupción del servicio. La protección de datos y sistemas se reforzará al garantizar que las agencias cumplan con los estándares al conectarse a la infraestructura informática estatal compartida o a sistemas informáticos externos al gobierno estatal.

Volver arriba

Alcance

Para los fines de esta norma, la seguridad se define como la capacidad de proteger la confidencialidad, la integridad y la disponibilidad de la información procesada, almacenada y transmitida por las agencias. Los activos de tecnología de la información cubiertos por esta política incluyen aquellos que procesan, almacenan, transmiten o supervisan información digital. Este documento presenta los estándares mínimos que deben cumplir las agencias que deseen conectarse a la infraestructura de TI estatal compartida y a los sistemas de TI externos al gobierno estatal.

Esta norma se aplica a todos los organismos según lo definido en el Capítulo 8A, Sección 101 del Código de Iowa.   Agencias no participantes   son   motivado    seguir   el   pautas   en   este   y otros   empresa   políticas, estándares, directrices, procesos y procedimientos de nivel.

Volver arriba

Definiciones

Seleccionado   términos   usado   en   el   Empresa   Interconectividad   Estándar   son   definido a continuación:

  • Antivirus   Software   programa   eso   monitores    computadora    red para   identificar   todo   importante   tipos de malware y prevenir o contener incidentes de malware.

  • Compromiso : Divulgación de información a personas no autorizadas o violación de la política de seguridad de un sistema en el que se haya producido una divulgación, modificación, destrucción o pérdida no autorizada, intencional o no intencional, de un objeto.

  • Interconexión o interconectividad: Conexión directa de dos o más sistemas informáticos con el fin de compartir datos y otros recursos de información. Esto incluye conexiones con otras agencias, socios comerciales, proveedores de servicios externos e Internet.

  • Penetración   Prueba  Seguridad   prueba   en   cual   evaluadores   imitar   mundo real   ataques   en   un   intentar   identificar formas de eludir las medidas de seguridad de una aplicación, sistema o red.
  • Seguridad   Controles : Los controles de gestión, operativos y técnicos (es decir, salvaguardas o contramedidas) prescritos para un sistema de información con el fin de proteger la confidencialidad, la integridad y la disponibilidad del sistema y su información.
  • Seguridad   Incidente  Un   aparición   eso   de hecho    potencialmente   pone en peligro   el   confidencialidad, integridad o disponibilidad de un sistema de información o de la información que el sistema procesa, almacena o transmite, o que constituya una violación o una amenaza inminente de violación de las políticas de seguridad, los procedimientos de seguridad o las políticas de uso aceptable.
  • Vulnerabilidad   Evaluación:   Formal   descripción    evaluación   de   el   vulnerabilidades   en   un sistema de información.
Volver arriba

Actualizaciones

Este   estándar   voluntad   ser   revisado   en   el menos   cada   dos   años    actualizado   según sea necesario.

Volver arriba

Elementos del estándar

El   elementos siguientes   aplicar    agencias   conectando con   el   compartido   Estado   infraestructura de TI o   Sistemas informáticos fuera del gobierno estatal.

  1. Explotación florestal:   Agencias   deber   mantener    revisar   registros   para   todo   servidores    red   dispositivos.   Los organismos deberán:
    1. Desarrollar    registro   revisar   política que incluye:
      1. Longitud   de   tiempo   para   registro   retención (Registro)   retención   debe   ser   en   el menos   90 días)
      2. Individuo(s)   responsable   para   revisión del registro
      3. Registro   frecuencia de revisión
      4. Registro   procedimientos de revisión
    2. Desarrollar   base   comportamiento   para   actividad normal
    3. Derivación del tiempo:   Los dispositivos sincronizarán su hora con un servidor NTP. Se ajustará el horario de verano.
  2. Cifrado:   Agencias   debe   usar    mínimo   cifrado de 256 bits   para:   remoto   conexiones; tareas administrativas; y transferencias de archivos que contienen datos confidenciales.

  3. Cortafuegos: Las agencias deberán instalar y mantener cortafuegos en todas las interconexiones con su agencia. Esto incluye:   conexiones    otro   agencias; socios comerciales;   tercero   fiesta   servicio   proveedores; y   el   Internet. Los cortafuegos deben cumplir los siguientes requisitos:

    1. Por defecto   contraseñas   son   cambió   antes de la instalación
    2. El software y/o los sistemas operativos integrados de los firewalls de hardware están actualizados. Las actualizaciones deben probarse antes de su puesta en producción.
    3. SNMP   comunidad   instrumentos de cuerda   son   cambió   de   configuración predeterminada
    4. Cortafuegos   deber   llevar a cabo   ingreso    filtrado de salida

    5. Los cortafuegos bloquearán todo el tráfico por defecto. Se establecerá una lista de excepciones para identificar los puertos, servicios y direcciones autorizados.   Los puertos que permanezcan inactivos durante más de un año serán clausurados.

    6. Crítico   sistemas   son   aislado   en   zonas lógicas

    7. Cortafuegos   debe   fallar   en    estado cerrado

    8. Cortafuegos   configuraciones   son   revisado,    actualizado   trimestral   por   administradores de red
  4. Controles de acceso lógico: Las agencias deberán utilizar listas de control de acceso (ACL) y reglas de acceso para especificar el acceso del personal autorizado (o de las agencias si utilizan una VPN de sitio a sitio) a la red.   dispositivos   (servidores,   enrutadores,   interruptores    cortafuegos).   LCA   deber   incluir el   nivel   de   acceso   y el   tipos de transacciones    funciones   eso   son   permitido   (p.ej,   leer,   escribir,   ejecutar, eliminar, crear,   y búsqueda).
    1. LCA   será:
      1. Configurado sin conexión
      2. Versionado   en   un repositorio
      3. Repartido    el   adecuado   dispositivo de control
    2. Agencias   deber   conceder   adecuado   privilegios de acceso:
      1. Basado   en   roles    funciones del puesto
      2. Basado   en   el   principio   de   menos privilegios
    3. Solo   sistema   administradores   con    negocio   necesidad   tener   acceso    los controles
  5. Banner: Las pantallas de inicio de sesión utilizadas para acceder a la red de una agencia deberán incluir un banner de advertencia.   El asesor legal de la agencia deberá aprobar el banner y notificar a los usuarios que:
    1. Usuarios   son   entrando    Estado   de   Sistema de Iowa
    2. Acceso   es   limitado    autorizado   usar solamente
    3. Usuarios   consentir   para monitorear
  6. Identificación y   Autenticación:   Las agencias deberán   identificar y   autenticar   usuarios a   Asegúrese de que estén autorizados para acceder a la interconexión:
    1. En    mínimo   contraseñas    usuario   Identificaciones   voluntad   ser   usado.   Contraseñas   será:
      1. En   el menos   ocho   personajes    administrador   contraseñas   deber   ser   en   el menos   10 caracteres
      2.   mezcla   de   números,   letras mayúsculas y minúsculas
      3. Incluir   en   el menos   uno   personaje especial
      4. Cambió   en   el menos   cada   sesenta días
    2. Maestro   contraseña   archivos   deber   ser   cifrado    protegido   de   acceso no autorizado.
    3. Emergencia   administrador   contraseñas   deber   ser   almacenado de forma segura.
    4. El   siguiente   puede   ser   usado   en   suma    contraseñas seguras.
      1. Certificados digitales
      2. Tokens de autenticación
      3. Biometría
      4. Tarjetas inteligentes
  7. Análisis de virus: Las agencias deberán instalar software antivirus en todos los servidores y computadoras, excepto en las computadoras centrales. Se deben cumplir los siguientes requisitos:
    1. Datos   transferido    el   agencia   de   un   externo   La fuente es escaneada
    2. Antivirus   software   automáticamente   cheques   para   actualizaciones   en   al menos diariamente
    3. Los administradores reciben una notificación por correo electrónico, mensaje de texto o buscapersonas si el software antivirus no puede limpiar automáticamente un virus detectado.
    4. Usuarios   son   instruido   en   cómo    informe    virus sospechoso
  8. Actualizaciones del sistema: Los organismos deberán aplicar las actualizaciones del sistema y los parches de seguridad a sus sistemas de manera oportuna. Los organismos deberán:
    1. Establecer    metodología de parches
    2. Prueba   parches/actualizaciones   previo   para la instalación
    3. Instalar   crítico   parches   para   activo   explosiones   dentro   cinco   (5)   negocio   días   de liberación
    4. No crítico   parches   deber   ser   aplicado   por    cronograma   establecido   por   la agencia

  9. Seguridad física: Los organismos deberán proporcionar la seguridad física adecuada para sus sistemas de tecnología de la información a fin de evitar el acceso no autorizado.

    1. Los servidores, enrutadores, conmutadores y demás equipos de red deberán almacenarse de forma segura en un armario o habitación cerrada con llave.

  10. Incidentes de seguridad: Los organismos deberán notificar a la Oficina de Seguridad de la Información sobre los incidentes de seguridad que impliquen la divulgación de información confidencial, el acceso no autorizado a sistemas o que puedan afectar a otros organismos.

    1. Los organismos deberán desarrollar procedimientos para la respuesta ante incidentes e identificar un equipo de respuesta ante incidentes.
    2. Agencias   deber   aislar    responder    incidentes   originario   de   sus sistemas
    3. Ley   aplicación   deber   ser   notificado   cuando sea apropiado
    4. DAS-ISO   deber   notificar   adecuado   agencia   personal   de   seguridad   incidentes   conmovedor   su agencia.
  11. Seguridad   Conciencia   y   Capacitación:   Los organismos deberán:
    1. Proporcionar y realizar un seguimiento de la seguridad.   capacitación de concientización para   nuevo   usuarios al momento de la contratación y actualización   formación para todos los usuarios anualmente
    2. Proporcionar    pista   técnico   seguridad   capacitación   anualmente   para   personal   responsable   para   gestión de interconexiones entre agencias
    3. Proporcionar   capacitación   en   Empresa   Normas de seguridad
    4. Establecer   un   aceptable   usar   política    distribuir   él    todos los usuarios

  12. Revisiones de seguridad: Cada organismo deberá revisar sus controles de seguridad al menos una vez al año, o cuando se produzca un cambio significativo.   Las revisiones de seguridad de la agencia deberán abarcar todos los sistemas de la agencia e incluir lo siguiente:

    1. Anual   evaluación de vulnerabilidad
    2. Anual   externo   penetración   prueba   incluido   todo   externo   conexiones    la agencia
    3. Documentación   de   problemas de seguridad
    4. Desarrollar    remediación   plan    DIRECCIÓN   problemas de seguridad

El   Información   Seguridad   Oficina   deber   conducta   anual   seguridad   reseñas   de   sistemas estatales.

  1. Comunicación:   Agencias   deber   mantener   comunicación   con   el   Información   Seguridad   Oficina. Los organismos deberán proporcionar a la Oficina de Seguridad de la Información lo siguiente:
    1. El   nombre    teléfono   número   para el:
      1. Primario   personal de seguridad
      2. Primario   personal técnico
    2.   lista   de   nuevo,   restaurado    interconexiones terminadas
    3.   red   diagrama    lista   de   interno    externo   Direcciones IP
  2. Desconexión:   Agencias   son   sujeto    emergencia   desconexión   de   el   compartido   Estado   ÉL   infraestructura. Las agencias pueden ser desconectadas si ocurre alguno de los siguientes casos:
    1. Un   agencia   sistema   es   infectado   por   malware    remediación   no está disponible
    2. Un   agencia   sistema   es   infectado   por   malware    allá   es    alto   riesgo   de   infectando   otros sistemas
    3. Un   agencia   compromiso del sistema
    4. Confidencial   información   es   en   riesgo   de divulgación
    5. Un   agencia   sistema   es   accedido   por   un   usuario no autorizado

Previo    desconexión   agencias   será:

  1. Dado   el   oportunidad    aislar    investigar   el incidente
  2. Notificado   por   teléfono    recibir   correo electrónico   confirmación   de   la notificación
  3. Proporcionó   detalles   en   cuando    bajo   qué   condiciones   el   interconexión   deber   ser restaurado
  4. Si   un   agencia   no puedo   ser   alcanzó    un   emergencia   existe   artículo   "b"   puede   ser omitido

 

  1. Módems  Agencias   deber   prohibir   no autorizado   llamada   módem   acceso.   Los módems deberán:
    1. Requerir   aprobación de la gerencia
    2. Desconectar   de   el   teléfono   línea   cuando   no   en uso
    3. Usar    llamar de vuelta   característica   donde sea posible
    4. Desactivar   el   módem   respondiendo   capacidad   si   no es necesario
  2. Intrusión   Detección   Sistema  Agencias   deber   implementar    monitor   un   intrusión   detección   sistema (IDS). Se supervisará todo el tráfico hacia/desde las interconexiones de la agencia.
Volver arriba

Fecha de entrada en vigor

Agencias   debe   ser   completamente   obediente   con   este   estándar   en    antes   Junio   22 de 2011.

Volver arriba

Aplicación

Este   estándar   voluntad   ser   aplicado   de conformidad    Iowa   Administrativo   Código   11— 25.11(8A).

Volver arriba

Diferencia

El Código Administrativo de Iowa, sección 11 - 25.11(2), contempla excepciones a las normas de seguridad. Las solicitudes de excepción a cualquiera de los requisitos de esta política deberán presentarse por escrito al Director de Seguridad de la Información antes de su implementación.

Volver arriba