スポーツベットブックメーカー電子通信のプライバシーの尊重.,.060

情報のセキュリティ, スポーツベットブックメーカー

第3430章

改訂/レビュー: 2010 年 9 月, 07/2019, 04/2020, 08/2022, 05/2024

.010 目的

スポーツベットブックメーカーの情報を保護するために必要なセキュリティ要件を確立および維持するため, コンピューティングおよびネットワークリソース, そしてに対する攻撃の影響を最小限に抑えます K州リソース、または他のサイトに対する K 州の場所からのリソース.

.020 スコープ

この手順と付随する要件は、スポーツベットブックメーカーのすべての拠点と、あらゆる拠点のすべてのシステムユーザーに適用されます, それらの教員を含む, 私有のコンピュータまたはシステムを使用してスポーツベットブックメーカーの情報にアクセスする学生と職員, コンピューティングおよびネットワークリソース.

情報のプライバシーを保護するためにセキュリティ要件を整備する必要があります, 情報の不正な変更に対する保護, サービス妨害に対するシステムの保護, 不正アクセスからのシステムの保護. K 州立スポーツベットブックメーカーの情報技術リソースのすべての使用には、以下を含むすべてのスポーツベットブックメーカーのポリシーが適用されることをユーザーに通知します。情報技術利用スポーツベットブックメーカー.

.030 一般スポーツベットブックメーカー

スポーツベットブックメーカー情報, コンピューティング, ネットワークリソースへのアクセスまたは使用は、スポーツベットブックメーカーによって許可された個人のみが許可されます. スポーツベットブックメーカーはコンピューティングおよびネットワークリソースの使用を奨励し、ユーザーのプライバシーを尊重します. それでも, スポーツベットブックメーカーは、次の目的でスポーツベットブックメーカーのコンピュータネットワークに保存されている情報にアクセスする場合があります:

アイテム A ～ G の場合, アクセスの範囲は、情報の取得や問題の解決に合理的に必要な範囲に限定されます.

ハードウェアとソフトウェアの問題のトラブルシューティング.
不正アクセスとシステム悪用の防止.
スポーツベットブックメーカーのビジネス関連情報の取得.*
スポーツベットブックメーカーのポリシーまたは地域の違反に関する報告を調査中, 州法または連邦法.*
法的な情報要求に従う.*
配信不能なメールの再ルーティングまたは破棄.
安全性またはセキュリティの問題への対処.

* システム管理者は最高情報責任者 (CIO)、またはこれらの目的で特定のメールスポーツベットブックメーカーデータにアクセスする適切な指名者.

公共の場では可能な限り個人のプライバシーが保護されるべきです. ただし, スポーツベットブックメーカー所有の機器に保存されている文書やメッセージにはプライバシーや機密性が期待されていません.

.040 要件の不遵守による結果

情報の完全性に対して脅威をもたらすことが判明したシステム, コンピューティングおよびネットワークリソースは、CIO または適切な指定者によってこれらのリソースへのアクセスが一時停止される可能性があります. 問題が解決され、システムがK州の情報内で動作することが部門のセキュリティ担当者によって検証されるまで、サービスの停止は継続されます, コンピューティングおよびネットワークリソース環境. 状況が情報技術環境に重大な脅威をもたらす場合、スポーツベットブックメーカーは事前通知なしにサービスの緊急停止を発動する権利を留保します.

.050 情報の要件, コンピューティングとネットワークセキュリティ

次のシステム要件は、スポーツベットブックメーカー情報のセキュリティを確立および維持するために導入する必要がある最低基準を表します, コンピューティング, およびネットワークリソース.

最初のネットワーク接続
各システムは、K州の情報に添付される前に、ハッカー攻撃スポーツベットブックメーカー迷惑メールの中継に対する脆弱性のテストに合格できなければなりません, コンピューティング, スポーツベットブックメーカーネットワークリソース. システムテストは、部門/部門または最高情報セキュリティ責任者 (CISO).
パスワードの指定
パスワードスポーツベットブックメーカー: あらゆるシステム上のすべてのパスワード, K 州が所有しているか個人が所有しているか, K州のネットワークに直接接続する場合は、技術的に可能な場合は次の標準に準拠する必要があります. これには、直接有線接続でキャンパスネットワークに接続されたデバイスが含まれます, ワイヤレス, リモートアクセスソフトウェア (例, Windows リモートデスクトップ), 仮想プライベートネットワークの使用 (VPN), など. このスポーツベットブックメーカーはすべてのパスワードに適用されます - eID, システム, ユーザー, データベース, アプリケーション, など準拠しないシステムは、事前の通知なしにネットワークアクセスをブロックされる場合があります. そのパスワード標準 CIO または被指名者によって保守されます. 例外は CIO または被指名者の承認が必要.
無人コンピュータ
放置されたコンピュータ上のデータへの不正アクセスを防ぐため, 次の予防措置が必要です:
1. 公共アクセス用に設計された特殊なコンピュータを除く、すべてのスポーツベットブックメーカーコンピュータのスクリーンセーバーでパスワード保護を有効にする, 情報キオスクや登録キオスクなど, 図書館の公共コンピュータ, または、ユーザーが共有コンピュータを独占するリスクがあるため、ロックが望ましくないコンピュータラボ. パスワードで保護されたスクリーンセーバーが起動するまでの時間を 20 分以下に設定する必要があります. 研究室の場合, 最長 30 分間のアイドル時間が経過すると自動的にログアウトするようにコンピュータを設定することをお勧めします.
2. コンピュータを無人かつ保護されていない状態で放置しないでください. コンピュータを離れる前に, アクセスにパスワードが必要な方法でディスプレイをロックするか、ログアウトします.
悪意のあるソフトウェアと侵入からの保護
悪意のあるソフトウェア, またはマルウェア, ウイルスにはさまざまな形があります, 虫, トロイの木馬, サービス拒否攻撃, ボットネット, スパイウェア, アドウェア, スパムリレー, などすべてがセキュリティ上のリスクを引き起こす, その一部は機密性にとって非常に深刻な脅威です, 誠実さ, またはK州の情報スポーツベットブックメーカー技術リソースの利用可能性. K州のシステムと情報をマルウェアによる侵害から保護するには、適切な予防措置を講じる必要があります. そのために, K州は、K州のキャンパスネットワークに接続されているコンピュータ、またはK州の情報や技術リソースにアクセスしているコンピュータに必須のセキュリティソフトウェアのインストールを要求する場合があります. 次のセクションではウイルス対策の特定の要件を定義します, スパイウェア/アドウェア, パーソナルファイアウォール, そしてメール. マルウェア対策ソフトウェアの有効性を保証するのは各ユーザーの責任です, 部門/部隊のセキュリティ担当者, と CISO.
ウイルス対策
1. 以下にリストされているコンピュータは、管理モードで構成されたスポーツベットブックメーカー提供のウイルス対策ソフトウェアを使用する必要があります (管理モードでは、サーバーがクライアントコンピュータ上のウイルス対策保護を監視および構成し、オンデマンドでクライアントに更新をプッシュできます). スポーツベットブックメーカーが提供するウイルス対策ソフトウェアの使用に関連して文書化されたパフォーマンスの問題がある場合, ユーザーは、F 3-8 にリストされているのと同じセキュリティを提供するウイルス対策ソフトウェアをコンピュータにインストールする必要があります. スポーツベットブックメーカーが所有または管理しているコンピュータが侵害され、ウイルス対策プログラムが実行されていない場合, システムが再構築され、ウイルス対策プログラムがインストールされるまで、コンピュータはブロックされたままになります.
  1. スポーツベットブックメーカー所有のコンピュータ.
  2. K 州立スポーツベットブックメーカーの無線または有線ネットワーク (スポーツベットブックメーカー所有のコンピュータの場合) のユーザー.
2. K 州立スポーツベットブックメーカーのキャンパスネットワークまたは情報技術リソースにアクセスする他のすべてのコンピュータはアクティブに実行されている必要があります, 最新のウイルス対策ソフトウェア.
3. ウイルス対策ソフトウェアはコンピュータの起動時にアクティブ化し、動作中は常にアクティブにしておく必要があります.
4. ファイルがハードドライブに書き込まれる前に悪意のある異常がないかスキャンされるリアルタイムファイルスキャンを有効にする必要があります.
5. ウイルス対策ソフトウェアのバージョン (e.g., ウイルス対策プログラムまたはエンジン) は、ベンダーが提供する現在のバージョンまたは K-State が承認するバージョンよりも 1 つ以上前のバージョンである必要があります, ベンダーによるサポートが必要です.
6. ウイルス定義ファイル (e.g., 既知のマルウェアを識別するウイルス対策ソフトウェアのデータベース) は、ベンダーから入手可能な最新バージョンで最新である必要があります.
7. ウイルス定義ファイルとウイルス対策ソフトウェアのアップデートの確認とインストールは自動化し、少なくとも毎日実行する必要があります.
8. すべてのローカルハードドライブの包括的なウイルススキャンを少なくとも毎週実行する必要があります.
スパイウェア/アドウェアからの保護
1. キャンパスネットワークに接続されているすべてのコンピュータは、アクティブなスパイウェア/アドウェア保護ソフトウェアを実行する必要があります.
2. スパイウェア/アドウェアの定義/検出ルールは、ベンダーから入手可能な最新バージョンで最新である必要があります.
3. スパイウェア/アドウェアのすべてのローカルハードドライブのスキャンは、少なくとも毎週実行する必要があります.
パーソナルファイアウォール保護
1. スポーツベットブックメーカー提供のセキュリティソフトウェア (ウイルスを含む) を使用しているすべてのコンピュータ, スパイウェア, 侵入, およびファイアウォール保護) はファイアウォールを有効にする必要があります.
2. キャンパスネットワークに接続されている他のコンピュータはパーソナルファイアウォールを実行する必要があります. Microsoft Windows ファイアウォールは許容可能なパーソナルファイアウォールです.
メール保護
1. すべてのキャンパス電子メールサーバーは、感染した電子メールメッセージを検出して軽減するウイルス対策保護を提供する必要があります.
2. 感染したメッセージは破棄するか隔離する必要があります, 差出人に返送されませんでした.
セキュリティパッチ
キャンパスネットワークに接続されているすべてのシステム、スポーツベットブックメーカーそれらのシステム上で実行されているアプリケーションとデータベースには、各ベンダーから入手可能な最新のセキュリティパッチが適用されている必要があります. パッチが利用できない既知の脆弱性があるシステムまたはアプリケーションは、リスクを軽減するために適切な措置を講じる必要があります, システムをファイアウォールの内側に置くなど. K-Stateは、パッチが適用されていないシステムのネットワークへのアクセスをブロックする可能性があります.
スポーツベットブックメーカー/学部システム
スポーツベットブックメーカー, 部門, または他のK州ユニットが独自の分散コンピューティングシステムを設立することもできます, これらはユーザーに貴重な専門サービスを提供するため. これらのサーバー, 接続されているスポーツベットブックメーカーのリソースを保護するため, オペレーティングシステムおよびアプリケーションソフトウェアのベンダーがサポートする現在のバージョンよりも 1 つ以上前のバージョンを保持し、このポリシーに規定されているすべてのセキュリティ要件と標準に準拠する必要があります.
資格のある IT サポートスタッフがいるキャンパス単位では、ウイルスを提供するスポーツベットブックメーカー提供のセキュリティソフトウェアを使用して独自のセキュリティ管理環境を実行できます, スパイウェア, 侵入, およびファイアウォール保護. キャンパス全体の包括的なレポートを容易にするために、中央セキュリティ管理システムにレポートを提供するようにユニットセキュリティ管理システムを構成する必要があります. 資格のある IT サポートスタッフが不在の場合, ユニットはマルウェア保護のために中央セキュリティ管理サービスを使用する必要があります.
サーバー保護の保証は部門のセキュリティ担当者の責任です.
執行
これらのスポーツベットブックメーカーおよび関連標準の施行は、CIO または指名された者の責任です. セキュリティスポーツベットブックメーカーと標準に準拠していないシステム, 既知の脆弱性の影響を受けやすい, または侵害された場合、他のシステムやデータの整合性を保護するために、事前の通知なしにネットワークアクセスが即座にブロックされる可能性があります.
キャンパスネットワークに直接接続されているデバイス (e.g., 有線または無線で直接接続, Windows リモートデスクトップなどのリモートアクセスソフトウェア, 仮想プライベートネットワーク (VPN) の使用, など) は、セキュリティスポーツベットブックメーカーおよび標準への準拠を判断するために、指定された CIO 情報技術またはセキュリティスタッフによっていつでもスキャンおよび評価される場合があります, または異常なアクティビティを検出, 脆弱性, そしてセキュリティ侵害. このリモートスキャン機能を許可するようにファイアウォールを構成する必要があります. リスクの検出と評価に必要な範囲でのみスキャンを実行できます.
K州のセキュリティインシデント対応チーム (サート) は、脆弱なシステムまたは侵害されたシステムが修復された後にネットワークアクセスを復元するための手順を定義しました. CISO は、修復にコンピュータの再フォーマット、オペレーティングシステムとすべてのソフトウェアとデータの再インストールが必要かどうかを判断します, 侵害の性質による.
セキュリティ担当者の責任
最高情報セキュリティ責任者
K州の情報を保護するITセキュリティプログラムを主導するスポーツベットブックメーカー職員, コンピューティング, およびネットワークリソース. 責任にはスポーツベットブックメーカー全体の IT セキュリティポリシーの支援が含まれます, 管理と手順; セキュリティアーキテクチャの開発と維持, 標準, およびガイドライン; IT セキュリティポリシーと標準への準拠の監視; リスク評価; セキュリティインシデントへの対応の調整; スポーツベットブックメーカー外の組織とのコミュニケーション; セキュリティインシデント対応チーム (SIRT) の議長; 情報の安全な使用に関するトレーニングと認識の促進, コンピューティングおよびネットワークリソース.
IT セキュリティアナリスト
情報の安全な運用の責任を割り当てられた中央情報技術部門の技術者, エンタープライズレベルのコンピューティングとネットワークセキュリティ. 責任には情報の状態の監視が含まれます, コンピューティングとネットワークセキュリティ; セキュリティインシデントの検出と修復, 予防措置の実施, セキュリティ技術の構成と管理 (e.g., ファイアウォールと侵入検知システム), 部門/部門のセキュリティ担当者への警告と救済策の伝達.
セキュリティインシデント対応チーム (SIRT)
助言を提供する各スポーツベットブックメーカーおよび主要な行政単位の代表者からなるチーム, 積極的, そしてK州のITセキュリティプログラムに対する事後対応のサポート. 重大なセキュリティインシデントに対するキャンパス全体の対応を調整する責任が含まれます; スポーツベットブックメーカー/ユニットにおける予防措置の実施の調整; 脅威とベストプラクティスをスポーツベットブックメーカー/学部に伝える; 脆弱なコンピュータまたは侵害されたコンピュータへのネットワークアクセスを復元するリクエストの承認; IT セキュリティポリシーの開発に参加, 標準, ガイドライン, および手順; IT セキュリティのトレーニングと啓発活動の支援. SIRT の職務は個人の職務責任の 30% を超えてはなりません.
部門のセキュリティ担当者
IT セキュリティ問題に関する各部門の主な連絡先. 部門のセキュリティ担当者は、コミュニケーションを支援することで、SIRT と部門の間の連絡役として機能します, 部門内での予防措置の実施を促進する, スポーツベットブックメーカー部門内のテクノロジーまたはデータに関係するセキュリティインシデントへの対応を調整する.
学部長と学部長
責任には、部隊内のコンピュータシステムへのアクセスを許可することが含まれます, システムユーザーがスポーツベットブックメーカーおよびユニットのセキュリティポリシーを理解し、遵守することに同意するようにする, そして、上で概説したセキュリティポリシーと手順の維持を支援するための技術的および手順的な手段とリソースが確実に確保されるようにする.
システムユーザー
責任には、適用されるすべてのスポーツベットブックメーカーおよびユニットのセキュリティポリシーと手順への同意と遵守が含まれます; アカウントの不正使用を防ぐために適切な予防措置を講じています, ソフトウェアプログラム, そしてコンピュータ; スポーツベットブックメーカーのデータを不正アクセスから保護する, 変更, あるいは破壊; あらゆる形式の電子コミュニケーションで自分自身を正直に表現する; 電子通信のプライバシーの尊重.

.060 の質問

このスポーツベットブックメーカーに関する質問は、まで送信してください。情報技術担当副社長兼最高情報責任者 (CIO).

スポーツベットブックメーカー立大学