Norme de chiffrement des périphériques de stockage amovibles

22 juin 2011

But

Cette norme établit les exigences minimales pour une utilisation sécurisée des périphériques de stockage amovibles.

Aperçu

Les supports de stockage amovibles permettent la portabilité des données et des programmes. Simples d'utilisation, ils peuvent contenir de grandes quantités de données. Cependant, ces mêmes caractéristiques soulèvent des problèmes de sécurité. Leur petite taille les rend faciles à perdre ou à voler. Leur portabilité facilite l'extraction de données confidentielles de systèmes sécurisés.

Cette norme identifie les mesures à prendre pour réduire les risques liés à l'utilisation de périphériques de stockage amovibles.

Portée

Cette norme définit les exigences minimales relatives à l'utilisation sécurisée des supports de stockage amovibles et au chiffrement des données confidentielles qui y sont stockées. Elle ne s'applique pas aux fichiers enregistrés sur bande ou autre support dans le cadre du processus de sauvegarde régulier d'un organisme, lorsque le logiciel utilisé est exclusivement destiné à la création et à la gestion des sauvegardes.

Cette norme s'applique à tous les organismes tels que définis par le chapitre 8A, section 101 du Code de l'Iowa. Les organismes non participants sont encouragés à suivre les lignes directrices de ce document et d'autres politiques, normes, lignes directrices, processus et procédures au niveau de l'entreprise.

Définitions

Certains termes de la norme de chiffrement des supports de stockage amovibles d'entreprise sont définis ci-dessous :

Périphériques de stockage amovibles : dispositifs conçus pour stocker et transférer des informations électroniques d’un ordinateur à un autre. Les périphériques de stockage amovibles comprennent, entre autres :

• Clés USB (clés USB) Disques durs portables
• Cartes mémoire
• DVD, CD et disquettes
• Téléphones portables, iPods et lecteurs MP3
• Les bandes magnétiques ne font pas partie du processus de sauvegarde d'une agence.

Mises à jour

Cette norme sera révisée au moins tous les deux ans et mise à jour au besoin.

Norme de chiffrement des supports amovibles d'entreprise

Les normes minimales suivantes doivent être respectées pour tous les périphériques de stockage amovibles :

1. Politique : Les organismes doivent établir une politique régissant l’utilisation des supports de stockage amovibles. Cette politique doit au minimum couvrir les points suivants :
   1. Les types de données autorisées sur les périphériques de stockage amovibles
   2. Les types d'appareils autorisés
2. Chiffrement des données : Les données confidentielles stockées sur des supports de stockage amovibles doivent être chiffrées. Le chiffrement doit utiliser la norme AES 256 bits ou un chiffrement plus robuste.
3. Dispositifs : Les dispositions suivantes s'appliquent aux périphériques de stockage amovibles.
   1. Les employés ne sont pas autorisés à copier des données confidentielles de l'État sur des appareils personnels.
   2. Il est interdit de brancher des appareils dont le propriétaire est inconnu sur les ordinateurs de l'État.
   3. Les appareils fournis par les clients de l'agence doivent être analysés afin de détecter tout logiciel malveillant.
   4. Les organismes doivent mettre en œuvre des paramètres ou des politiques visant à interdire l'utilisation de périphériques amovibles non autorisés.
   5. Utilisez un mot de passe fort :
      1. Au moins 8 caractères
      2. Un mélange de chiffres et de lettres
      3. Au moins un caractère spécial
      4. La biométrie peut être utilisée conjointement avec les mots de passe pour une authentification forte.
      5. Les mots de passe écrits ne doivent pas être stockés avec l'appareil.
   6. Les appareils seront gérés de manière centralisée par l'agence.
      1. Les organismes doivent tenir un inventaire des appareils distribués, des personnes auxquelles l'appareil a été attribué et de l'état de chiffrement de l'appareil.
4. Protection physique : Les employés sont responsables de la protection physique des dispositifs de stockage amovibles cryptés contenant des informations confidentielles.
5. Stockage principal : Les périphériques de stockage amovibles ne doivent pas constituer le périphérique de stockage principal des données confidentielles de l'État de l'Iowa.
6. Évaluation : L’ISO évaluera périodiquement la conformité des organismes à la présente norme. Les organismes donneront accès aux informations et systèmes d’inventaire nécessaires à cette évaluation. En cas de non-conformité, l’organisme concerné recevra une notification écrite conformément à la norme IAC 11-25.11(8A).
7. Formation de sensibilisation : Le personnel recevra une formation de sensibilisation à la sécurité des périphériques de stockage amovibles et des supports de stockage. À minima, les utilisateurs recevront une documentation décrivant les périphériques de stockage amovibles et les risques associés.
8. Signalement : Tout dispositif de stockage amovible perdu ou volé contenant des informations confidentielles doit être signalé au Bureau de la sécurité de l’information du DAS dans un délai de 24 heures. La notification doit comprendre :
   1. Nom et coordonnées de l'agence
   2. Date du vol/de la perte
   3. Description du vol/de la perte.
   4. Description des informations stockées sur l'appareil
   5. Si l'appareil était crypté