实物保护
概述
这个更新的标准是为了帮助信息技术办公室(OIT)围绕物理保护控制的现有实践与NIST 800-171 (PE | 3)的要求保持一致.10.X)以及行业最佳实践. 这个文件没有完全覆盖3.10.由于现有的限制和特定于CUI的其他需求,171中的x控件.
本文件内容:
- 访客监控要求
- 需要查看的物理日志内容
- 物理接入设备标准
- 远程工作要求
本文件中不包含的内容:
- 物理日志的日志位置
- 汪达尔卡或密钥安全标准
政策参考
目的
本物理保护标准支持 APM 30.11高校数据分类与标准 以及其他相关的大学政策.
范围
这些标准是所有访问的托管和非托管系统的最低基线, 存储或处理365滚球官网的数据(见 APM 30.14 C-6)在高风险水平(见 APM 30.11)或具有相关法规的数据,如FCI/CUI,未在批准的系统安全计划中另行涵盖.
这特别包括大学运营的数据中心,但也可能包括其他相关数据可能未加密的空间.
标准
陪同及监督访客在禁区内的活动.
- 访客在禁区内受到护送.
- 访客日志必须包含在下面描述的物理访问日志中.
- 这些日志还必须包括陪同来访者的个人.
维护对范围内区域的物理访问的审计日志.
- 进入限制区域必须以电子方式或通过签到表进行记录.
- 签到表必须妥善保管,以防OIT安全部门确定的篡改.
- 物理访问审计日志至少需要保存3年.
- 物理访问日志应包含:
- 提供访问的当地时间.
- 每个被提供访问权限的人.
- 正在访问的受限区域.
- 每个人离开的当地时间.
控制和管理物理访问设备(钥匙卡/读卡器), 锁上的销钉, 传统的钥匙, 等).
- 物理接入设备按APM 40记录当前接入设备持有人/所有者.28.
- 物理锁被认为是由爱达荷州设施管理大学维护,除非另有批准.
- 在以下情况下,物理访问设备被旋转/取消授权/撤销:
- 任何访问设备丢失,丢失,被盗或其他原因不明.
- 当前访问设备持有人不再处于需要访问的角色中.
- 创建任何未经授权的访问设备副本.
- 永久物理访问设备只有在需要执行其角色时才分配给个人.
为确保从远程位置安全地完成工作,必须满足以下标准:
- 在其他工作地点工作时,个人必须:
- 通过认可的远程接入方式(如vpn)进行连接.salamzone.com.
- 呆在一个私密的地方,或者用其他方式遮挡屏幕.
- 使用it管理的技术.
- 在私人空间进行电话/视频通话,讨论高风险或受监管的数据时,必须采取适当的预防措施,防止被窃听.
- 访问受监管数据时使用的备用工作场所必须遵守法规的任何附加要求.
OIT 安全将发布并维护一份内部文件,确定被批准处理高风险数据的领域.
- 处理高风险或其他受监管的数据不应发生在这些地点之外.
- 这些地点必须满足以下要求:
- 必须使用VandalCard和pin或OIT 安全批准的其他方法控制进入安全区域的接入点吗.
- 是否必须根据规定或合同(如PCI或CUI)设置合适的标识.
- 必须与非安全区域物理隔离.
- 必须有摄像头监控接入点吗.
其他参考资料
- NIST sp800 - 171 r2 (2020年2月)
- NIST SP800-53r5 (2020年9月)
- NIST sp800 - 114 - r1 (2016年7月)
- NIST SP800-46r2 (2016年7月)
- CMMC术语表 (2021年12月)
定义
1. 游客
没有永久物理访问授权凭证的个人(I.E. 损坏卡、钥匙、门销等.)
2. 物理访问设备
一种设备,用于获得物理进入一个区域,如钥匙卡/读卡器, 锁上的销钉, 传统的钥匙, 等.
3. 物理访问设备持有人/所有者
目前拥有或负责物理访问设备的个人.
4. 备选工作地点
除学校控制的办公空间外,允许进行工作的区域. 这包括但不限于, 校园公共空间, 根据FSH 3250的弹性办公协议或主管批准的区域覆盖的家庭办公室.
5. 联邦合同信息(FCI)
“联邦合同信息就是信息, 不打算公开发布, 由政府根据为政府发展或提供产品或服务的合约而提供或为政府产生的资料, 但不包括政府向公众提供的资料(例如在公共网站上)或简单的事务性资料, 例如处理付款所必需的.(CMMC术语)
- 在加密时,数据不被认为是FCI
6. 受控非机密信息(CUI)
"法律信息", 法规或政府政策要求有保障或传播控制, 不包括根据13526号行政命令分类的信息, 国家安全机密信息, 12月29日, 2009, 或者任何前驱或后继顺序, 或者1954年的原子能法案, 修订的.(nist sp 800-171)
- 在加密时,数据不被认为是CUI
7. 禁区
用于存储的位置, 传输, 处理, 讨论或以其他方式处理高风险数据或符合FCI/CUI等相关规定的数据.
标准的主人
OIT负责这些标准的内容和管理.
联系人: oit-security@salamzone.com
修订历史
3/1/2024 -小更新
- 小的格式/措辞/参考变化.
2023年6月23日-原始标准
- 完全重写以符合NIST 800-171r2