Norme d'interconnexion

Sujets:

Standards

22 juin 2011

Remonter

But

Ce document énonce les exigences minimales pour établir, maintenir et mettre fin aux interconnexions avec l'infrastructure informatique partagée de l'État ou avec des systèmes informatiques extérieurs au gouvernement de l'État.

Remonter

Aperçu

L’État de l’Iowa conserve diverses données dans ses systèmes informatiques, notamment des informations confidentielles et sensibles sur ses clients. Il assure la connexion des systèmes informatiques des agences à des réseaux externes.   Le recours à des services externes accroît le risque d'accès non autorisé à l'information et d'interruption de service. La protection des données et des systèmes sera renforcée en veillant à ce que les organismes respectent les normes lors de leur connexion à l'infrastructure informatique partagée de l'État ou à des systèmes informatiques externes.

Remonter

Portée

Aux fins de la présente norme, la sécurité est définie comme la capacité à protéger la confidentialité, l'intégrité et la disponibilité des informations traitées, stockées et transmises par les organismes. Les ressources informatiques visées par cette politique comprennent celles qui traitent, stockent, transmettent ou surveillent les informations numériques. Ce document présente les normes minimales que doivent respecter les organismes souhaitant se connecter à l'infrastructure informatique partagée de l'État et aux systèmes informatiques externes à l'administration publique.

Cette norme s'applique à toutes les agences telles que définies par le chapitre 8A, section 101 du Code de l'Iowa.   Organismes non participants   sont   encouragé   à   suivre   le   lignes directrices   dans   ce   et autres   entreprise   politiques, normes, lignes directrices, processus et procédures de niveau.

Remonter

Définitions

Choisi   termes   utilisé   dans   le   Entreprise   Interconnectivité   Standard   sont   défini ci-dessous :

  • Antivirus   Logiciel  UN   programme   que   moniteurs   un   ordinateur   ou   réseau à   identifier   tous   majeur   types de logiciels malveillants et prévention ou confinement des incidents liés aux logiciels malveillants.

  • Compromission : Divulgation d'informations à des personnes non autorisées, ou violation de la politique de sécurité d'un système dans lequel une divulgation, une modification, une destruction ou une perte intentionnelle ou non autorisée d'un objet a pu se produire.

  • Interconnexion ou interconnectivité : Connexion directe de deux ou plusieurs systèmes informatiques en vue du partage de données et d’autres ressources d’information. Cela inclut les connexions à d’autres organismes, partenaires commerciaux, fournisseurs de services tiers et à Internet.

  • Pénétration   Test  Sécurité   test   dans   lequel   évaluateurs   imiter   monde réel   attaques   dans   un   tentative   identifier les moyens de contourner les dispositifs de sécurité d'une application, d'un système ou d'un réseau.
  • Sécurité   Contrôles : Les contrôles de gestion, opérationnels et techniques (c.-à-d. les garanties ou contre-mesures) prescrits pour un système d'information afin de protéger la confidentialité, l'intégrité et la disponibilité du système et de ses informations.
  • Sécurité   Incident  Un   occurrence   que   en fait   ou   potentiellement   met en péril   le   confidentialité, intégrité ou disponibilité d'un système d'information ou des informations que le système traite, stocke ou transmet, ou qui constitue une violation ou une menace imminente de violation des politiques de sécurité, des procédures de sécurité ou des politiques d'utilisation acceptable.
  • Vulnérabilité   Évaluation:   Officiel   description   et   évaluation   de   le   vulnérabilités   dans   un système d'information.
Remonter

Mises à jour

Ce   standard   volonté   être   examiné   à   moins   chaque   deux   années   et   mis à jour   au besoin.

Remonter

Éléments de la norme

Le   éléments suivants   appliquer   à   agences   se connecter à   le   commun   État   infrastructure informatique ou   Systèmes informatiques extérieurs à l'administration publique.

  1. Enregistrement:   Agences   devoir   maintenir   et   revoir   journaux   pour   tous   serveurs   et   réseau   appareils.   Les agences doivent :
    1. Développer   un   enregistrer   revoir   politique comprenant :
      1. Longueur   de   temps   pour   enregistrer   rétention (Journal)   rétention   doit   être   à   moins   90 jours)
      2. Individu(s)   responsable   pour   revue de journal
      3. Enregistrer   fréquence de révision
      4. Enregistrer   procédures d'examen
    2. Développer   ligne de base   comportement   pour   activité normale
    3. Dérivation du temps :   Les appareils synchroniseront leur heure avec un serveur NTP. L'heure d'été sera ajustée.
  2. Chiffrement :   Agences   doit   utiliser   un   minimum   de chiffrement 256 bits   pour:   télécommande   connexions ; tâches administratives ; et transferts de fichiers contenant des données confidentielles.

  3. Pare-feu : Les organismes doivent installer et maintenir des pare-feu à tous les points d’interconnexion de leur organisme. Cela comprend   relations   à   autre   agences; partenaires commerciaux;   troisième   faire la fête   service   fournisseurs; et   le   Internet. Les pare-feu doivent répondre aux exigences suivantes :

    1. Défaut   mots de passe   sont   modifié   avant l'installation
    2. Les logiciels et/ou les systèmes d'exploitation intégrés des pare-feu matériels sont à jour. Les mises à jour doivent être testées avant leur mise en production.
    3. SNMP   communauté   cordes   sont   modifié   depuis   paramètre par défaut
    4. Pare-feu   devoir   effectuer   entrée   et   filtrage des sorties

    5. Les pare-feu doivent bloquer tout le trafic par défaut. Une liste d'exceptions doit être établie afin d'identifier les ports, services et adresses autorisés.   Les ports inactifs depuis plus d'un an seront fermés.

    6. Critique   systèmes   sont   séparé   dans   zones logiques

    7. Pare-feu   doit   échouer   dans   un   état fermé

    8. Pare-feu   configurations   sont   examiné,   et   mis à jour   trimestriel   par   administrateurs réseau
  4. Contrôles d'accès logiques : les organismes doivent utiliser des listes de contrôle d'accès (ACL) et des règles d'accès pour spécifier l'accès du personnel autorisé (ou des organismes autorisés s'ils utilisent un VPN de site à site) au réseau.   appareils   (serveurs,   routeurs,   interrupteurs   et   pare-feu).   LCA   devoir   inclure le   niveau   de   accéder   et le   types de transactions   et   fonctions   que   sont   permis   (par exemple,   lire,   écrire,   exécuter, supprimer, créer,   et recherche).
    1. LCA   sera :
      1. Configuré hors ligne
      2. Versionné   dans   un dépôt
      3. Distribué   à   le   approprié   dispositif de commande
    2. Agences   devoir   accorder   approprié   privilèges d'accès :
      1. Basé   sur   rôles   ou   fonctions du poste
      2. Basé   sur   le   principe   de   les plus démunis
    3. Seulement   système   administrateurs   avec   un   entreprise   besoin   avoir   accéder   à   les commandes
  5. Bannière : Les écrans de connexion utilisés pour accéder au réseau d'une agence doivent comporter une bannière d'avertissement.   Le conseiller juridique de l'agence approuvera la bannière et informera les utilisateurs que :
    1. Utilisateurs   sont   entrer   un   État   de   Système de l'Iowa
    2. Accéder   est   limité   à   autorisé   utiliser uniquement
    3. Utilisateurs   consentement   à la surveillance
  6. Identification et   Authentification:   Les agences doivent   identifier et   authentifier   utilisateurs à   s'assurer qu'ils sont autorisés à accéder à l'interconnexion :
    1. À   un   minimum   mots de passe   et   utilisateur   Identifiants   volonté   être   utilisé.   Mots de passe   sera :
      1. À   moins   huit   personnages   et   administrateur   mots de passe   devoir   être   à   moins   10 caractères
      2. UN   mélange   de   Nombres,   lettres majuscules et minuscules
      3. Inclure   à   moins   un   caractère spécial
      4. Modifié   à   moins   chaque   soixante jours
    2. Maître   mot de passe   fichiers   devoir   être   crypté   et   protégé   depuis   accès non autorisé.
    3. Urgence   administrateur   mots de passe   devoir   être   stocké en toute sécurité.
    4. Le   suivant   peut   être   utilisé   dans   ajout   à   Des mots de passe forts.
      1. Certificats numériques
      2. jetons d'authentification
      3. biométrie
      4. cartes à puce
  7. Analyse antivirus : Les organismes doivent installer un logiciel antivirus sur tous les serveurs et ordinateurs, à l’exception des ordinateurs centraux. Les exigences suivantes doivent être respectées :
    1. Données   transféré   à   le   agence   depuis   un   externe   La source est scannée
    2. Antivirus   logiciel   automatiquement   vérifications   pour   mises à jour   à   au moins par jour
    3. Les administrateurs sont avertis par e-mail, SMS ou téléavertisseur si le logiciel antivirus ne parvient pas à supprimer automatiquement un virus détecté.
    4. Utilisateurs   sont   instruit   sur   comment   à   rapport   un   virus suspecté
  8. Mises à jour du système : Les organismes doivent appliquer en temps opportun les mises à jour et les correctifs de sécurité à leurs systèmes. Les organismes doivent :
    1. Établir   un   méthodologie des patchs
    2. Test   correctifs/mises à jour   avant   à l'installation
    3. Installer   critique   patchs   pour   actif   exploits   dans   cinq   (5)   entreprise   jours   de la libération
    4. Non critique   patchs   devoir   être   appliqué   par   un   calendrier   établi   par   l' agence

  9. Sécurité physique : Les organismes doivent assurer une sécurité physique appropriée à leurs systèmes informatiques afin d'empêcher tout accès non autorisé.

    1. Les serveurs, routeurs, commutateurs et autres équipements réseau doivent être stockés en toute sécurité dans une armoire ou une pièce fermée à clé.

  10. Incidents de sécurité : Les organismes doivent informer le Bureau de la sécurité de l’information de tout incident de sécurité impliquant la divulgation d’informations confidentielles, un accès non autorisé à des systèmes ou susceptible d’affecter d’autres organismes.

    1. Les organismes doivent élaborer des procédures de réponse aux incidents et identifier une équipe de réponse aux incidents.
    2. Agences   devoir   isoler   et   répondre   à   incidents   origine   depuis   leurs systèmes
    3. Loi   application   devoir   être   notifié   lorsque cela est approprié
    4. DAS-ISO   devoir   notifier   approprié   agence   personnel   de   sécurité   incidents   affectant   leur agence.
  11. Sécurité   Conscience   et   Entraînement:   Les agences doivent :
    1. Fournir et suivre la sécurité   formation de sensibilisation pour   nouveau   utilisateurs lors de l'embauche et du recyclage   formation annuelle pour tous les utilisateurs
    2. Fournir   et   piste   technique   sécurité   entraînement   annuellement   pour   personnel   responsable   pour   gestion des interconnexions entre agences
    3. Fournir   entraînement   sur   Entreprise   Normes de sécurité
    4. Établir   un   acceptable   utiliser   politique   et   distribuer   il   à   tous les utilisateurs

  12. Examens de sécurité : Chaque organisme doit examiner ses contrôles de sécurité au moins une fois par an, ou lorsqu’un changement important survient.   Les examens de sécurité des agences doivent couvrir tous les systèmes de l'agence et inclure les éléments suivants :

    1. Annuel   évaluation de la vulnérabilité
    2. Annuel   externe   pénétration   test   y compris   tous   externe   relations   à   l' agence
    3. Documentation   de   problèmes de sécurité
    4. Développer   un   assainissement   plan   à   adresse   problèmes de sécurité

Le   Information   Sécurité   Bureau   devoir   conduire   annuel   sécurité   avis   de   systèmes étatiques.

  1. Communication:   Agences   devoir   maintenir   communication   avec   le   Information   Sécurité   Bureau. Les agences doivent fournir au Bureau de la sécurité de l'information :
    1. Le   nom   et   téléphone   nombre   pour le :
      1. Primaire   personnel de sécurité
      2. Primaire   personnel technique
    2. UN   liste   de   nouveau,   restauré   ou   interconnexions terminées
    3. UN   réseau   diagramme   et   liste   de   interne   et   externe   adresses IP
  2. Coupure:   Agences   sont   sujet   à   urgence   coupure   depuis   le   commun   État   IL   infrastructure. Les agences peuvent être déconnectées si l'un des événements suivants se produit :
    1. Un   agence   système   est   infecté   par   logiciels malveillants   et   assainissement   est indisponible
    2. Un   agence   système   est   infecté   par   logiciels malveillants   et   là   est   un   haut   risque   de   infecter   autres systèmes
    3. Un   agence   compromission du système
    4. Confidentiel   information   est   à   risque   divulgation
    5. Un   agence   système   est   accédé   par   un   utilisateur non autorisé

Avant   à   coupure   agences   sera :

  1. Donné   le   opportunité   à   isoler   et   enquêter   l' incident
  2. Notifié   par   téléphone   et   recevoir   e-mail   confirmation   de   la notification
  3. Fourni   détails   sur   quand   et   sous   quoi   conditions   le   interconnexion   devoir   être restauré
  4. Si   un   agence   ne peut pas   être   atteint   et   un   urgence   existe   article   « b »   peut   être omis

 

  1. Modems  Agences   devoir   interdire   non autorisé   appel téléphonique   modem   accéder.   Les modems doivent :
    1. Exiger   approbation de la direction
    2. Déconnecter   depuis   le   téléphone   doubler   quand   pas   utilisé
    3. Utiliser   un   rappel   fonctionnalité   lorsque possible
    4. Désactiver   le   modem   répondre   capacité   si   inutile
  2. Intrusion   Détection   Système  Agences   devoir   mettre en œuvre   et   moniteur   un   intrusion   détection   système (IDS). Tout le trafic entrant et sortant des interconnexions de l'agence doit être surveillé.
Remonter

Date d' entrée en vigueur

Agences   doit   être   pleinement   conforme   avec   ce   standard   sur   ou   avant   Juin   22, 2011.

Remonter

Application de la loi

Ce   standard   volonté   être   appliqué   conformément   à   Iowa   Administratif   Code   11— 25.11(8A).

Remonter

Variance

Le Code administratif de l'Iowa, article 11-25.11(2), prévoit des dérogations aux normes de sécurité. Toute demande de dérogation aux exigences de la présente politique doit être soumise par écrit au responsable de la sécurité des systèmes d'information avant sa mise en œuvre.

Remonter