スポーツベットブックメーカー脆弱性管理, - システムのセキュリティ管理を評価し、

運用および管理のセキュリティスポーツベットブックメーカー

第 3432 章

発行: 2009 年 12 月

改訂/検討日: 2023 年 1 月, 05/2024

.010 目的

このスポーツベットブックメーカーの目的は、の安全な運用を確保することです。 K州情報システムとK州の適切な管理 IT セキュリティプログラムとテクノロジー.

.020 スコープ

このスポーツベットブックメーカーはすべての大学に適用されます, 部門, 行政単位, および大学の情報技術リソースを使用して作成する関連組織, アクセス, ビジネス機能を実行するために大学データを保存または管理.

.030 発効日

このスポーツベットブックメーカーは 11 月 13 日に発効しました, 2009.

.040 権限

そのスポーツベットブックメーカー, ITEC 情報技術ポリシー 5300, 改訂 1: ビジネス緊急時対応計画, すべての州機関が必要, 摂政機関を含む, 「あらゆる中断時にすべての事業体が重要な業務を継続し、妥当な期間内に通常の業務を再開できることを保証する事業継続計画」を策定する."

そのスポーツベットブックメーカー, ITEC 情報技術セキュリティ標準ポリシー 7230A (PDF), スポーツベットブックメーカーのすべての支店が必要, ボード, 手数料, 部門, 師団, 代理店, およびリスク評価を実行するためにスポーツベットブックメーカー政府に代わってビジネス機能を処理または提供するために使用される第三者.

050 スポーツベットブックメーカー

事業継続計画 - K 州は、K 州の情報システムのセキュリティを維持し、タイムリーなサービスの復旧を保証する方法で、災害やサービスのその他の重大な中断からの復旧を導くための事業継続計画を策定する必要があります.
構成管理 - サーバーの構成, ワークステーション, ネットワークデバイス, ファイアウォールやその他のエンタープライズセキュリティテクノロジーは、一貫したセットアップを提供する方法で管理する必要があります, 文書の変更, 構成が変更された場合でもセキュリティ要件が維持されるようにします.
データのバックアップ - スポーツベットブックメーカーデータは定期的にバックアップし、バックアップメディアは安全に保管する必要があります, データの分類に応じて.
ファイアウォール
1. K 州立スポーツベットブックメーカーキャンパス外のネットワークへのすべての接続, インターネットやインターネットなど2, 一般的な脅威に対して受信および送信の両方のネットワークトラフィックをフィルタリングするファイアウォールで保護する必要があります.
2. 機密データをホストするすべての企業情報システムと K-State システムは、ネットワークファイアウォールとホストベースのソフトウェアファイアウォールで保護する必要があります, どちらも受信トラフィックに対して「デフォルトの拒否」モードで構成されており、これらのシステムに対して文書化された信頼関係が強制されています.
3. スポーツベットブックメーカーのネットワークに接続されているすべてのスポーツベットブックメーカーのコンピュータには、システムのセキュリティ要件とそこに保存されているデータの分類に合わせて適切に構成されたホストベースのファイアウォールが必要です.
4. すべてのファイアウォールでログを有効にし、異常なイベントがないか定期的に確認する必要があります.
5. 企業情報システム上のネットワークファイアウォールとホストベースのファイアウォールの構成は、保護するシステムのセキュリティ要件との一貫性を確保するために定期的に監査される必要があります.
セキュリティイベントのログ記録と監査
1. ユーザーアクティビティを記録する監査ログ, 例外 (つまり, エラーまたは失敗), 情報セキュリティイベントは、監視対象のシステムのセキュリティ要件に応じて生成される必要があります. 監査ログは少なくとも 30 日間保持する必要があります.
2. 企業情報システムはシステム管理者のアクティビティをログに記録する必要があります, 特権アカウントの使用など (例, スーパーバイザー, 管理者, またはルート).
3. セキュリティ違反を検出するには、監査ログを定期的に確認する必要があります.
4. セキュリティイベントログデータは不正なアクセスや改ざんから保護する必要があります.
5. 監視対象のシステムのクロックは、正確な時刻源から定期的に同期する必要があります.
セキュリティ管理 - K 州の IT セキュリティプログラムとスポーツベットブックメーカーは、継続的な有効性を確保するために監視され、定期的に評価される必要があります. 最高情報セキュリティ責任者 (CISO) または被指名者は、年次 IT セキュリティ自己評価を実施し、概要レポートをスポーツベットブックメーカー評議員会オフィスに提出する必要があります, スポーツベットブックメーカーの情報技術政策の要求に応じて.

.060 の定義

認証

デジタル ID を確認するプロセス. たとえば, 誰かがウェブメールにログインしたとき, パスワードは、ログインしている人が eID の所有者であることを確認します. 検証プロセスは認証と呼ばれます.

機密データ

限られたユーザーを対象とした非常に機密性の高いデータ, ワークグループによる特定の用途, 部門, または正当に知っておく必要がある個人のグループ. 参照K 州のデータ分類とセキュリティスポーツベットブックメーカー詳細な定義と例については.

デフォルトの拒否

すべてのネットワークトラフィックをブロックすることから始まるファイアウォールルールセット, 受信と送信の両方, ファイアウォールで保護されたシステムの効果的かつ安全な運用に必要な特定のネットワークトラフィックのみを許可します.

企業情報システム

スポーツベットブックメーカーコミュニティで一般的に必要とされ、通常は中央の IT 部門によって提供されるサービスを提供する情報システムおよび/またはサーバー. 学部情報システムは、個々のスポーツベットブックメーカーの使命と重点に特化したサービスを提供します, 部門, 行政単位, または関連組織であり、通常はそれらの部門に分散した IT スタッフによって提供されます.

ファイアウォール

ネットワークまたはホスト間のネットワークトラフィックフローを制御してセキュリティスポーツベットブックメーカーを適用し、それらのネットワークまたはホスト上のリソースを保護する特殊なデバイスまたはソフトウェアプログラム. このスポーツベットブックメーカーの目的のため, アクセスコントロールリストを持つルーター (ACL) はファイアウォールとみなされません.

信頼関係

サーバー上のリソースおよびそれに関連するデータおよびアプリケーションへのアクセスが信頼されているコンピューターシステムおよび/またはアプリケーションに付与されるアクセスレベルの仕様. これはシステム間のアクセス制御に適用されます, 個々のユーザーまたは役割に対するアクセス権ではありません.

スポーツベットブックメーカーのコンピュータ

スポーツベットブックメーカー立大学の所有物とみなされるコンピューター.

スポーツベットブックメーカーデータ

スポーツベットブックメーカー立大学 (以下「大学」) の機能に関連するデータ:

スポーツベットブックメーカーの情報技術システムに保存されています.
K州立スポーツベットブックメーカーの教職員が管理, または学生.
キャンパス内外の組織的プロセスに関連する.

これはあらゆるフォーマットまたはメディアに適用されます（言い換えれば, 電子データに限定されません).

スポーツベットブックメーカーネットワーク

マンハッタンまたはサリナのキャンパスに物理的に位置するK州のデータネットワークの一部. これには、ルーティング可能なデバイスとルーティング不可能なデバイスが割り当てられたネットワーク上のデバイスが含まれます IP 住所, 通常は 129.130.X.X または 10.X.X.X, それぞれ, K 州の無線ネットワークと、K 州の学生寮とジャーディンアパートにサービスを提供するネットワークに適用されます.

.070 役割と責任

最高情報セキュリティ責任者 (CISO) - ガイドラインの作成を調整, 標準, および/またはこのスポーツベットブックメーカーに関連する手順および本人確認, 実装, およびこのスポーツベットブックメーカーに必要な共通のセキュリティ管理の評価; K-State の全体的な IT セキュリティプログラムとスポーツベットブックメーカーを監視し、定期的に評価します; 年次 IT セキュリティ自己評価とレポートの完了を保証します.
企業 IT セキュリティアナリスト- 情報システムに適切な運用上のセキュリティ制御を確実に適用する; 識別に関しては CISO と調整します, 実装, および一般的なセキュリティ管理の評価; バックアップが定期的に実行され、安全に保管されるようにします; 情報システムのコンポーネントに適切な構成管理システムが確実に導入されるようにします. この役割は、開発に直接関与している人物が担当する可能性があります, メンテナンス, および/または情報システムの運用.

.080 実施手順

セキュリティイベントのログ記録と監査
1. 監査ログには次の情報が含まれている必要があります, 関連する場合:
  1. eID またはユーザー名
  2. イベントの日時
  3. イベントの種類
  4. イベントの説明
  5. 関連するネットワークアドレスとプロトコル
  6. アクセスされたファイル
  7. 実行されたコマンド/プロセス
2. K州の情報システムは、以下のイベントや、重要または疑わしい行為を追跡するのに適切と思われるその他のイベントをログに記録することを検討する必要があります:
  1. ログインまたは認証の成功と失敗
  2. 機密データへのアクセス
  3. 機密データへのアクセス権限の変更
  4. ファイアウォールなどのセキュリティシステムのアクティブ化と非アクティブ化, ウイルス対策システム, および侵入検知システム, およびこれらのシステムからのアラート.
  5. 特権アカウントの使用などの特権操作 (e.g., スーパーバイザー, 管理者, またはルート), システムの起動と停止, そして入出力デバイスの取り付け/取り外し.
  6. システムおよびネットワークのアラートと障害メッセージ.
  7. 変更点, または変更を試みる, システムセキュリティの設定と制御.

.090 関連法, 規制, またはスポーツベットブックメーカー

K 州の既存の IT セキュリティ運用および管理スポーツベットブックメーカー
- 脆弱性管理 - システムのセキュリティ管理を評価し、脆弱性を特定して軽減するための K 州の要件は K 州の規定にあります K 州のシステム開発および保守セキュリティスポーツベットブックメーカー, セクション .050.D.
その他の関連法, 規制, またはスポーツベットブックメーカー
1. K 州のデータ分類とセキュリティスポーツベットブックメーカー
2. スポーツベットブックメーカー, ITEC 情報技術ポリシー 5300, 改訂 1: ビジネス緊急時対応計画
3. スポーツベットブックメーカー, ITEC 情報技術セキュリティ標準ポリシー 7230A, 改訂 1: 一般情報技術エンタープライズセキュリティポリシー (PDF)
4. ISO/IEC 27002:2013、情報技術 - セキュリティ技術 - 情報セキュリティ管理の実践規範、発行者: 国際標準化機構. これは、「情報処理施設の正確かつ安全な運用」を保証するためにアクセスを制御するためのセキュリティ要件を指定する国際セキュリティ標準です。."
5. NIST 特別出版物 800-41 リビジョン 1: ファイアウォールとファイアウォールスポーツベットブックメーカーに関するガイドライン

.100 の質問/免除

その情報技術担当副社長兼最高情報責任者 (CIO) このスポーツベットブックメーカーの責任者. CIO または被指名人は、このスポーツベットブックメーカーの例外を承認する必要があります. このスポーツベットブックメーカーに関する質問は、までお問い合わせください。最高情報セキュリティ責任者 (CISO).

スポーツベットブックメーカー立大学