III-1E控制 - 有限的信息:对受限制信息的情况下的信息安全要求

批准日期:2009年11月16日
生效日期:2009年11月16日
负责人:首席信息安全官
负责办公室:[U]高科技信息安全办公室
修订历史:1.0版;过时2011年5月20日
相关立法和大学政策:  

审查期限:5年 
最后一次审查的日期:2011年5月20日
有关:教师,工作人员谁敏感信息工作

目的

作为企业级信息保护风险缓解动作,永利棋牌游戏限制控件,以引导用户和管理员提供了正确的存储要求,处理,并在它或纸张资源的限制信息的保护,包括对永利棋牌游戏app下载网络联网主机。

范围

这个过程适用于使用永利棋牌游戏app下载的网络基础设施的所有高校信息和信息技术系统。它被设计为支持永利棋牌游戏app下载的信息安全政策和可审计。

消除

不适用。

过程语句

一般

此过程概述对所有受限制的信息所需的基本控件,包括纸的文件,它系统中处理,存储或传输受限信息。因为限制信息是在大学信息的最高机密等级,该程序定义了需要额外的管理流程。

限制它控制标准在所述公共信息和内部用户只(IUO)控制标准建造的,因此被认为是最大的安全配置的标准。对于所有它的系统处理限制信息,所述公共信息和IUO标准适用,这里所列出的控制是除了那些为较低级别的信息要被施加。

程序

所有配置控件 公开信息 和IUO控制水平是适用于受限制的环境中,受限制的数据被保持。

行政控制

  1. 库存。 任何一所大学组织(学校,管理中心,部门),负责受限信息应保持他们的业务和行政能力所使用的任何限制信息的类型和位置的书面清单。这个清单应包括IT资源与限制的数据,基于纸张的记录,以及包含该信息的任何其他物理或逻辑的资产。
  2. 安全责任。 任何一所大学的组织,负责受限信息应以书面形式管理作为代表责任方执行和遵守安全保护和控制的限制信息指定。涉及限制数据的所有安全事故都是下一个强制性的报告要求。
  3. 安全计划。 所有的IT系统处理和管理限制信息应具有勾画永利棋牌游戏与在大学的IT环境限制信息相关的公认的风险管理流程的书面安全计划。安全计划模板是可以从信息安全办公室。安全计划将讨论以下议题:
    1. 数据所有权。
    2. 工作人员安全的责任,包括员工的安全程序。
    3. IT系统的清单授权受限信息。
    4. 一个上市的已知风险和应对顶级风险的行动计划。
    5. 对于任何高影响基本应急计划的风险。
    6. 审计报告里面详细介绍了已知的防护措施。
    7. 计划和控制的年度审查。
    8. 批准的语句从高级管理运​​行系统(院长或副总裁)
  4. 培训用户和系统管理员。 限售的所有信息系统管理员和用户将收到限制的数据处理和管理的适当和记录的培训。至少一个系统管理员负责IT系统有限制信息应完成基于一次性基础上SANS安全351“计算机和网络安全意识”为信息安全认证计划。这些系统管理员应认证系统管理员的国家信息安全保障培训标准(nstissi-4013),或类似的认证(SANS,安全+,CompTIA的),这将等同于 美国国防部8570 IAT II级认证。非雇员的学生须避免处理受限信息或管理IT系统文件句柄限制信息被禁止。
  5. 评估和审计。 在年度基础上,负责限制信息的组织的内部工作人员将进行安全计划的随机审计和实施安全控制。与整治规划进行差距分析报告将提交给该组织的管理和大学的首席信息安全官。
  6. 人员控制。 背景调查应授权访问,过程的所有人员定期进行,并存储限制的信息。人力资源的大学部门将确定适当的时间间隔。此外,IT系统与限制信息的系统管理员的背景调查应包括犯罪背景调查,就业备案审查和信用检查。
  7. 标签。 所有文件和包含通信限制信息,将包括指示“受限制的”信息存在的标签。典型的例子是使用文件的页眉和页脚和/或水印与标签的“限制”。
  8. 业务连续性计划。 部门与限制的信息系统和关键IT基础设施的,经管理自由裁量权,制定和实施业务连续性计划。

物理控制

  1. 设备的访问。 所有的服务器资源,处理,存储和管理限制信息应在设施,允许将保护技术,劳动力,并通过驻地限制信息可审计的物理访问控制主办:
    1. 防止未经授权的物理访问,篡改和盗窃。
    2. 控制物理访问项设施,适当的访问日志记录。访问应每年审查,并需要重新授权。不再需要物理访问的人应与接入的状态变化的通知1个工作日内被删除。
    3. 必须控制访问包含信息技术基础设施的房间,只允许授权人员访问服务器资源。这组授权人必须是个有记录需要访问人员的最低数量。
    4. 按法律规定相应的防火/抑制能力。
    5. 适当的环境控制,例如冷却,湿度控制。
    6. 电力需求和紧急中断电力供应。
  2. 访问控制和验证。
    1. 没有限制的数据应以它的系统或可见格式进行访问控制,以确保只有授权的个人被授予访问公之于众。
    2. 所有的服务器资源,处理,存储和管理限制信息应由其确保只有经过授权的人访问控制来保护访问系统和数据。
    3. 与受限制信息的所有基于纸张的记录应使用机制,以防止未经授权的访问,如存储在上锁的柜子和锁的办公室空间。
    4. 访问必须由数据所有者批准,由信息安全办公室授权。
  3. 工作站使用。 所有工作站资源应控制处理,存储和管理限制信息,以防止不当使用可能导致未经授权的访问,丢失或损坏的限制信息的完整性。
    1. 处理限制信息的所有工作站和其他设备必须预先批准的组织管理。需要注意的是公共信息和IUO配置标准也适用。
    2. 没有受限的信息可以被永久地存储在单个用户工作站或笔记本电脑。所有受限制的信息必须保持在受限制的安全服务器。
    3. 的限制信息的发送应采用加密通信方法(例如使用CWRU VPN或SSL基于通信)。临时本地存储应由批准的加密方法和技术,以防止意外泄露的保护。
    4. 防盗和恢复软件应要求对用于限制信息的访问,以减轻在丢失或被盗的情况下,数据公开的可能性移动工作站。
  4. 处置。 在其生命周期的结束时,所有它的资源处理,存储,和管理信息的限制应根据CWRU数据处理程序,其包括硬盘重写程序加以处理。

技术控制

  1. 登录屏幕。 支持的登录画面的所有主机将被配置为要求个人用户提供的凭证登录(例如用户名和密码)。主机不应配置为自动登录。对于管理信息亭设备的特殊例外情况将在逐案基础上作出的,必须通过信息安全批准。
  2. 先进的系统加固和行政程序。 所有主机都应当进行一些基本的硬件和操作系统的评估和配置,以保证默认选项不允许容易和快速的主机妥协。基本硬化可以通过本地策略来实现,或者通过被管理的网络环境中(例如活动目录组策略)。具体的例子包括:
    1. 最大限度地减少不必要的网络为基础的服务和端口。使用的 SANS / FBI前20名 可在淬火主机的关键指引。
    2. 所有系统用户应具有唯一的标识符,以保持系统的行动负责。遵循最小特权原则,用户应该有必要的日常操作的最小权限,只需要进行系统维护时使用具有管理员或根权限的帐户。远程接入与标准用户帐户执行,则“须藤”或“运行方式”的过程用于执行管理功能。
    3. 到UNIX或基于Linux的系统的远程访问不应允许根用户远程连接。
    4. 系统被批准用于作战使用前,所有供应商提供的默认用户名和密码将被改变。
    5. 用于服务器管理明文通信协议应为无效(加密所有非控制台管理访问)。
    6. 会话空闲超时应15分钟空闲时间后设置为锁屏或注销连接。
    7. 其他配置指导清单可以在这里找到。
  3. 防火墙。 限制系统应由高校基建防火墙进行保护(例如,安装在一个数据中心)。额外的数据中心的防火墙规则应被实现以限制到所需的服务器的操作和功能的最小的网络连接。具体要求包括:
    1. 防火墙和路由器配置标准应当符合行业最佳实践。
    2. 防火墙应遵循从没有明确允许所有不受信任的环境中“默认拒绝”的立场。
    3. 防火墙应禁止对存储限制的数据系统直接公共访问(数据应该从公开的应用程序和服务,如Web服务被隔离)。
    4. 防火墙应该隐瞒不信任的环境中解决限制系统的方案。
    5. 防火墙(本地或网络)将被配置为执行网络前过滤以拒绝不与服务器的工作功能相关联的服务器发起出站连接。
    6. 网络防火墙将根据被施加 网络管理策略.
  4. 加密。 所有受限系统应具有开放源码加密实用程序可用,从无意的泄露保护限制数据的实现。
    1. 需要使用的用于网络通信的支持的管理操作的加密协议(例如SSH,SSL,SFTP等)。
    2. 通过明文电子邮件限制数据的通信被禁止。利用端至端的加密方法的通信应当用于限制数据。
    3. 用户从使用移动系统(例如笔记本电脑)来存储和处理限制数据气馁。如果需要的话,移动通信系统应当采用合适的加密技术来保护从丢失或泄露存储受限数据。
    4. 考虑应加密密钥管理的数据业主,以确保数据的可用性是由大学维护。
  5. 漏洞管理。 所有受限系统应定期评价体系和系统软件的漏洞。
    1. 在数据中心的限制系统应每周进行脆弱性评估。
    2. 系统管理员应减轻或接近基于系统风险和数据所有者需要协商的时间表发现的漏洞。
    3. 用开放漏洞构成显著风险,限制的数据或受限环境中的系统可能会受到网络接入去除直至减轻。
  6. 操作系统和软件的安全更新。 在适用时,所有主机必须配置更新的软件供应商发布后1个月的时间内接收并执行安全更新,软件和操作系统软件。如果风险水平保证该等行动带补丁的偶尔出来也应适用。预计受限制的服务器由谁应尽快使用补丁主管IT人员管理。操作需求可以支持从与数据拥有者的书面同意贴片时间帧方差。
  7. 应用程序/软件的安全性。 应用安全是同等重要网络和操作系统的安全方面的限制的信息。
    1. 软件开发必须包括设计,实施和逻辑漏洞评论系统之前,将接受管理审批工作。
    2. 变更控制程序存在并在适当位置。
    3. 的保护措施,以确保应用程序代码的完整性。
    4. 与受限制的数据的应用程序必须执行的用户数据输入验证。
    5. 错误处理例程不得披露系统的建筑细节。
    6. 限制的数据被放置在系统或系统中实现前预设的密码或供应商的凭证应去除。
    7. 应用程序日志应包括成功,失败和权限提升。
  8. 防盗工具。 移动系统(例如平板电脑,笔记本电脑,PDA等)的使用者是高度从使用它们来存储和处理信息的限制气馁,然而,当这样的需要,需要防盗技术。我们强烈推荐使用锁定的电缆。需要基于软件的跟踪服务。
  9. 数据备份。 即有价值的用户限制的数据应该以备份能力被保持,以减轻硬件故障,损失,和盗窃的影响。

监管控制

  1. 研究数据。 与联邦政府资助的研究相关的某些数据系统可能会受到额外的安全控制。这些控制将被应用到的那个也应符合限制控制系统的一小部分。这些控制应通过单独的系统来解决,并写入应用系统的安全计划。
    1. 健康保险便携性和覆盖责任法案(HIPAA)实体数据应符合当地的HIPAA安全计划,或由调查评审委员会负责对研究涵盖实体定义的控件。
    2. 电子私人健康信息(EPHI)可能有类似的数据安全要求。
    3. 家庭教育权利保护法案(FERPA)具有大学注册处处长的领导下额外的约束。

责任

CWRU终端用户:保证控制基于CWRU信息类别执行。

工作人员部门的资讯:在保持机密性,完整性和IT系统的可用性部门和大学的目标管理IT系统。

永利棋牌游戏app下载UTECH保安人员:监控安全风险的持续的基础上,并定期更新根据不断变化的安全威胁情况下的程序管制。

首席信息安全官:确保符合对限制数据的保护要求。

数据所有者:制定安全计划,以确保有限控制应用适用于保护限制的数据。承担IT系统和数据的数据保护和风险管理的责任。

定义

主持人:利用网络服务的任何网络能力的设备。主机可以是个人计算机,网络设备,服务器资源,打印机,扫描仪,复印机,或类似的电子装置。

数据拥有者:数据所有者谁负责的制度性数据的一组或多组的生命周期所大学的高级职员。这个人有保护,使用和数据的管理财务和管理责任。

系统管理员:一个受过技术培训的大学员工提供实现IT系统的责任。任何人以“管理员”或“root”特权与限制信息的系统,它被认为是遵从性目的的系统管理员。

学生员工:雇用兼职履行一个技术角色或完成它任务谁是大学生。这是最典型的本科生。研究生和专业的学生执行其角色他们的研究或论文的工作被认为是大学雇员的一部分。

端至端加密:的信息在原始加密源被加密一次并在目的地源解密。速度和整体安全性是优势。注意只对数据进行加密,而不是路由信息。

标准复审周期

这个过程将每三年检讨有关政策生效日的周年纪念日,在最低限度。标准可根据风险的变化更频繁的基础上进行审查。