スポーツベットブックメーカー脆弱性管理, - システムのセキュリティ管理を評価し、

運用および管理のセキュリティスポーツベットブックメーカー

第 3432 章

発行: 2009 年 12 月

改訂/検討日: 2023 年 1 月, 05/2024

.010 目的

このスポーツベットブックメーカーの目的は、の安全な運用を確保することです。 K州スポーツベットブックメーカーシステムとK州の適切な管理スポーツベットブックメーカーセキュリティプスポーツベットブックメーカーラムとテクノロジー.

.020 スコープ

このスポーツベットブックメーカーはすべての大学に適用されます, 部門, 行政単位, および大学の情報技術リソースを使用して作成する関連組織, アクセス, ビジネス機能を実行するために大学データを保存または管理.

.030 発効日

このスポーツベットブックメーカーは 11 月 13 日に発効しました, 2009.

.040 権限

スポーツベットブックメーカースポーツベットブックメーカー, ITEC 情報技術ポリシー 5300, 改訂 1: ビジネス緊急時対応計画, すべての州機関が必要, 摂政機関を含む, 「あらゆる中断時にすべての事業体が重要な業務を継続し、妥当な期間内に通常の業務を再開できることを保証する事業継続計画」を策定する."

スポーツベットブックメーカースポーツベットブックメーカー, ITEC 情報技術セキュリティ標準ポリシー 7230A (PDF), スポーツベットブックメーカーのすべての支店が必要, ボード, 手数料, 部門, 師団, 代理店, およびリスク評価を実行するためにスポーツベットブックメーカー政府に代わってビジネス機能を処理または提供するために使用される第三者.

050 スポーツベットブックメーカー

事業継続計画 - K 州は、K 州のスポーツベットブックメーカーシステムのセキュリティを維持し、タイムリーなサービスの復旧を保証する方法で、災害やサービスのその他の重大な中断からの復旧を導くための事業継続計画を策定する必要があります.
構成スポーツベットブックメーカー - サーバーの構成, スポーツベットブックメーカーステーション, ネットスポーツベットブックメーカーデバイス, ファイアウォールやその他のエンタープライズセキュリティテクノロジーは、一貫したセットアップを提供する方法で管理する必要があります, 文書の変更, 構成が変更された場合でもセキュリティ要件が維持されるようにします.
スポーツベットブックメーカーのバックアップ - スポーツベットブックメーカーデータは定期的にバックアップし、バックアップメディアは安全に保管する必要があります, データの分類に応じて.
スポーツベットブックメーカー
1. K 州立スポーツベットブックメーカーキャンパス外のネットワークへのすべての接続, インターネットやインターネットなど2, 一般的な脅威に対して受信および送信の両方のネットワークトラフィックをフィルタリングするファイアウォールで保護する必要があります.
2. 機密データをホストするすべての企業スポーツベットブックメーカーシステムと K-State システムは、ネットワークファイアウォールとホストベースのソフトウェアファイアウォールで保護する必要があります, どちらも受信トラフィックに対して「デフォルトの拒否」モードで構成されており、これらのシステムに対して文書化された信頼関係が強制されています.
3. スポーツベットブックメーカーのネットワークに接続されているすべてのスポーツベットブックメーカーのコンピュータには、システムのセキュリティ要件とそこに保存されているデータの分類に合わせて適切に構成されたホストベースのファイアウォールが必要です.
4. すべてのファイアウォールでスポーツベットブックメーカーを有効にし、異常なイベントがないか定期的に確認する必要があります.
5. 企業スポーツベットブックメーカーシステム上のネットワークファイアウォールとホストベースのファイアウォールの構成は、保護するシステムのセキュリティ要件との一貫性を確保するために定期的に監査される必要があります.
セキュリティイベントのスポーツベットブックメーカー記録と監査
1. ユーザーアクティビティを記録する監査スポーツベットブックメーカー, 例外 (つまり, エラーまたは失敗), スポーツベットブックメーカーセキュリティイベントは、監視対象のシステムのセキュリティ要件に応じて生成される必要があります. 監査ログは少なくとも 30 日間保持する必要があります.
2. 企業スポーツベットブックメーカーシステムはシステム管理者のアクティビティをログに記録する必要があります, 特権アカウントの使用など (例, スーパーバイザー, 管理者, スポーツベットブックメーカールート).
3. セキュリティ違反を検出するには、監査スポーツベットブックメーカーを定期的に確認する必要があります.
4. セキュリティイベントスポーツベットブックメーカーデータは不正なアクセスや改ざんから保護する必要があります.
5. 監視対象のスポーツベットブックメーカークロックは、正確な時刻源から定期的に同期する必要があります.
セキュリティスポーツベットブックメーカー - K 州の IT セキュリティプログラムとスポーツベットブックメーカーは、継続的な有効性を確保するために監視され、定期的に評価される必要があります. 最高情報セキュリティ責任者 (CISO) または被指名者は、年次 IT セキュリティ自己評価を実施し、概要レポートをスポーツベットブックメーカー評議員会オフィスに提出する必要があります, スポーツベットブックメーカーの情報技術政策の要求に応じて.

.060 の定義

認証

デジタル ID を確認するプロセス. たとえば, 誰かがウェブメールにログインしたとき, パススポーツベットブックメーカードは、ログインしている人が eID の所有者であることを確認します. 検証プロセスは認証と呼ばれます.

機密スポーツベットブックメーカー

限られたユーザーを対象とした非常に機密性の高いデータ, ワークグループによる特定の用途, 部門, スポーツベットブックメーカー正当に知っておく必要がある個人のグループ. 参照K 州のデータ分類とセキュリティスポーツベットブックメーカー詳細な定義と例については.

デフォルトの拒否

すべてのネットスポーツベットブックメーカートラフィックをブロックすることから始まるファイアウォールルールセット, 受信と送信の両方, ファイアウォールで保護されたシステムの効果的かつ安全な運用に必要な特定のネットスポーツベットブックメーカートラフィックのみを許可します.

企業スポーツベットブックメーカーシステム

スポーツベットブックメーカーコミュニティで一般的に必要とされ、通常は中央の IT 部門によって提供されるサービスを提供する情報システムおよび/またはサーバー. 学部情報システムは、個々のスポーツベットブックメーカーの使命と重点に特化したサービスを提供します, 部門, 行政単位, または関連組織であり、通常はそれらの部門に分散した IT スタッフによって提供されます.

スポーツベットブックメーカー

ネットワークまたはホスト間のネットワークトラフィックフローを制御してセキュリティスポーツベットブックメーカーを適用し、それらのネットワークまたはホスト上のリソースを保護する特殊なデバイスまたはソフトウェアプログラム. このスポーツベットブックメーカーの目的のため, アクセスコントロールリストを持つルーター (ACL) はスポーツベットブックメーカーとみなされません.

信頼関係

サーバー上のリソーススポーツベットブックメーカーそれに関連するデータスポーツベットブックメーカーアプリケーションへのアクセスが信頼されているコンピューターシステムスポーツベットブックメーカー/またはアプリケーションに付与されるアクセスレベルの仕様. これはシステム間のアクセス制御に適用されます, 個々のユーザーまたは役割に対するアクセス権ではありません.

スポーツベットブックメーカーのコンピュータ

スポーツベットブックメーカー立大学の所有物とみなされるコンピューター.

スポーツベットブックメーカーデータ

スポーツベットブックメーカー立大学 (以下「大学」) の機能に関連するデータ:

スポーツベットブックメーカーの情報技術システムに保存されています.
K州立スポーツベットブックメーカーの教職員が管理, または学生.
キャンパス内外の組織的プロセスにスポーツベットブックメーカー.

これはあらゆるフォーマットスポーツベットブックメーカーメディアに適用されます（言い換えれば, 電子データに限定されません).

スポーツベットブックメーカーネットワーク

マンハッタンスポーツベットブックメーカーサリナのキャンパスに物理的に位置するK州のデータネットワークの一部. これには、ルーティング可能なデバイスとルーティング不可能なデバイスが割り当てられたネットワーク上のデバイスが含まれます IP 住所, 通常は 129.130.X.X スポーツベットブックメーカー 10.X.X.X, それぞれ, K 州の無線ネットワークと、K 州の学生寮とジャーディンアパートにサービスを提供するネットワークに適用されます.

.070 役割と責任

最高スポーツベットブックメーカーセキュリティ責任者 (CISO) - ガイドラインの作成を調整, 標準, および/またはこのスポーツベットブックメーカーに関連する手順および本人確認, 実装, およびこのスポーツベットブックメーカーに必要な共通のセキュリティ管理の評価; K-State の全体的な IT セキュリティプログラムとスポーツベットブックメーカーを監視し、定期的に評価します; 年次 IT セキュリティ自己評価とレポートの完了を保証します.
企業 IT スポーツベットブックメーカーアナリスト- 情報システムに適切な運用上のセキュリティ制御を確実に適用する; 識別に関しては CISO と調整します, 実装, スポーツベットブックメーカー一般的なセキュリティ管理の評価; バックアップが定期的に実行され、安全に保管されるようにします; 情報システムのコンポーネントに適切な構成管理システムが確実に導入されるようにします. この役割は、開発に直接関与している人物が担当する可能性があります, メンテナンス, スポーツベットブックメーカー/または情報システムの運用.

.080 実施スポーツベットブックメーカー

セキュリティイベントのスポーツベットブックメーカー記録と監査
1. 監査ログには次のスポーツベットブックメーカーが含まれている必要があります, 関連する場合:
  1. eID スポーツベットブックメーカーユーザー名
  2. スポーツベットブックメーカー日時
  3. スポーツベットブックメーカー種類
  4. スポーツベットブックメーカー説明
  5. 関連するネットスポーツベットブックメーカーアドレスとプロトコル
  6. スポーツベットブックメーカーされたファイル
  7. 実行されたコマンド/プロセス
2. K州のスポーツベットブックメーカーシステムは、以下のイベントや、重要または疑わしい行為を追跡するのに適切と思われるその他のイベントをログに記録することを検討する必要があります:
  1. ログインスポーツベットブックメーカー認証の成功と失敗
  2. 機密データへのスポーツベットブックメーカー
  3. 機密データへのスポーツベットブックメーカー権限の変更
  4. ファイアウォールなどのセキュリティシステムのアクティブ化と非アクティブ化, ウイルス対策システム, スポーツベットブックメーカー侵入検知システム, スポーツベットブックメーカーこれらのシステムからのアラート.
  5. 特権アカウントの使用などの特権操作 (e.g., スーパーバイザー, 管理者, スポーツベットブックメーカールート), システムの起動と停止, そして入出力デバイスの取り付け/取り外し.
  6. システムスポーツベットブックメーカーネットワークのアラートと障害メッセージ.
  7. 変更点, スポーツベットブックメーカー変更を試みる, システムセキュリティの設定と制御.

.090 関連法, 規制, またはスポーツベットブックメーカー

K 州の既存の IT セキュリティ運用および管理スポーツベットブックメーカー
- 脆弱性スポーツベットブックメーカー - システムのセキュリティスポーツベットブックメーカーを評価し、脆弱性を特定して軽減するための K 州の要件は K 州の規定にあります K 州のシステム開発および保守セキュリティスポーツベットブックメーカー, セクション .050.D.
その他の関連法, 規制, またはスポーツベットブックメーカー
1. K 州のデータ分類とセキュリティスポーツベットブックメーカー
2. スポーツベットブックメーカー, ITEC 情報技術ポリシー 5300, 改訂 1: ビジネス緊急時対応計画
3. スポーツベットブックメーカー, ITEC 情報技術セキュリティ標準ポリシー 7230A, 改訂 1: 一般情報技術エンタープライズセキュリティポリシー (PDF)
4. ISO/IEC 27002:2013、スポーツベットブックメーカー技術 - セキュリティ技術 - スポーツベットブックメーカーセキュリティ管理の実践規範、発行者: 国際標準化機構. これは、「スポーツベットブックメーカー処理施設の正確かつ安全な運用」を保証するためにアクセスを制御するためのセキュリティ要件を指定する国際セキュリティ標準です。."
5. NIST 特別出版物 800-41 リビジョン 1: ファイアウォールとファイアウォールスポーツベットブックメーカーに関するガイドライン

.100 の質問/免除

スポーツベットブックメーカースポーツベットブックメーカー技術担当副社長兼最高スポーツベットブックメーカー責任者 (CIO) このスポーツベットブックメーカーの責任者. CIO または被指名人は、このスポーツベットブックメーカーの例外を承認する必要があります. このスポーツベットブックメーカーに関する質問は、までお問い合わせください。最高スポーツベットブックメーカーセキュリティ責任者 (CISO).

スポーツベットブックメーカー立大学