Physical Protection
Overview
这个更新的标准是为了帮助信息技术办公室(OIT)围绕物理保护控制的现有实践与NIST 800-171 (PE | 3)的要求保持一致.10.x) as well as industry best practices. 这个文件没有完全覆盖3.10.由于现有的限制和特定于CUI的其他需求,171中的x控件.
What is in this document:
- Visitor monitoring requirements
- Required content of physical logs
- Standards for physical access devices
- Remote work requirements
What is NOT in this document:
- Log locations for physical logs
- VandalCard or key security standards
Policy Reference
APM 30.14 Cyber Incident Reporting and Response
APM 40.28 Access Control Policy
Purpose
This Physical Protection standard supports APM 30.11高校数据分类与标准 and other relevant university policies.
Scope
这些标准是所有访问的托管和非托管系统的最低基线, 存储或处理bet365亚洲官网的数据(见 APM 30.14 C-6) at the High-risk levels (see APM 30.11)或具有相关法规的数据,如FCI/CUI,未在批准的系统安全计划中另行涵盖.
这特别包括大学运营的数据中心,但也可能包括其他相关数据可能未加密的空间.
Standards
陪同及监督访客在禁区内的活动.
- Visitors are escorted in restricted areas.
- 访客日志必须包含在下面描述的物理访问日志中.
- 这些日志还必须包括陪同来访者的个人.
维护对范围内区域的物理访问的审计日志.
- 进入限制区域必须以电子方式或通过签到表进行记录.
- 签到表必须妥善保管,以防OIT安全部门确定的篡改.
- 物理访问审计日志至少需要保存3年.
- Physical access logs should contain:
- The local time that access was provided.
- Each individual that access was provided to.
- The restricted area being accessed.
- The local time each individual exits.
控制和管理物理访问设备(钥匙卡/读卡器), pin pads on locks, traditional keys, etc).
- 物理接入设备按APM 40记录当前接入设备持有人/所有者.28.
- 物理锁被认为是由爱达荷州设施管理大学维护,除非另有批准.
- 在以下情况下,物理访问设备被旋转/取消授权/撤销:
- 任何访问设备丢失,丢失,被盗或其他原因不明.
- 当前访问设备持有人不再处于需要访问的角色中.
- 创建任何未经授权的访问设备副本.
- 永久物理访问设备只有在需要执行其角色时才分配给个人.
为确保从远程位置安全地完成工作,必须满足以下标准:
- 在其他工作地点工作时,个人必须:
- 通过认可的远程接入方式(如vpn)进行连接.12212011.com.
- 呆在一个私密的地方,或者用其他方式遮挡屏幕.
- Be using OIT-managed technology.
- 在私人空间进行电话/视频通话,讨论高风险或受监管的数据时,必须采取适当的预防措施,防止被窃听.
- 访问受监管数据时使用的备用工作场所必须遵守法规的任何附加要求.
OIT Security将发布并维护一份内部文件,确定被批准处理高风险数据的领域.
- 处理高风险或其他受监管的数据不应发生在这些地点之外.
- 这些地点必须满足以下要求:
- 必须使用VandalCard和pin或OIT Security批准的其他方法控制进入安全区域的接入点吗.
- 是否必须根据规定或合同(如PCI或CUI)设置合适的标识.
- 必须与非安全区域物理隔离.
- Must have cameras monitoring access points.
Other References
- NIST SP800-171r2 (February 2020)
- NIST SP800-53r5 (September 2020)
- NIST SP800-114r1 (July 2016)
- NIST SP800-46r2 (July 2016)
- CMMC Glossary (December 2021)
Definitions
1. Visitor
没有永久物理访问授权凭证的个人(I.E. VandalCard, key, door pin, etc.)
2. Physical access device
一种设备,用于获得物理进入一个区域,如钥匙卡/读卡器, pin pads on locks, traditional keys, etc.
3. Physical access device holder/owner
目前拥有或负责物理访问设备的个人.
4. Alternate work site
除学校控制的办公空间外,允许进行工作的区域. This includes but is not limited to, public spaces on campus, 根据FSH 3250的弹性办公协议或主管批准的区域覆盖的家庭办公室.
5. Federal Contract Information (FCI)
“联邦合同信息就是信息, not intended for public release, 由政府根据为政府发展或提供产品或服务的合约而提供或为政府产生的资料, 但不包括政府向公众提供的资料(例如在公共网站上)或简单的事务性资料, such as necessary to process payments.” (CMMC Glossary)
- While encrypted, data is not considered FCI
6. Controlled Unclassified Information (CUI)
“Information that law, 法规或政府政策要求有保障或传播控制, 不包括根据13526号行政命令分类的信息, Classified National Security Information, December 29, 2009, or any predecessor or successor order, or the Atomic Energy Act of 1954, as amended.” (NIST SP 800-171)
- While encrypted, data is not considered CUI
7. Restricted area
A location used for storing, transmitting, processing, 讨论或以其他方式处理高风险数据或符合FCI/CUI等相关规定的数据.
Standard Owner
OIT负责这些标准的内容和管理.
To request an exception to this standard.
Contact: oit-security@12212011.com
Revision History
3/1/2024 — Minor updates
- Minor formatting/wording/reference changes.
6/23/2023 — Original standard
- Full re-write to align with NIST 800-171r2