Patakaran sa Cybersecurity sa Buong Lungsod

Ang Lungsod at County ng San Francisco (Lungsod) ay nakatuon sa pagbuo ng isang matibay na programa sa cybersecurity upang suportahan, mapanatili, at ma-secure ang mga kritikal na imprastraktura at mga sistema ng datos. Ang sumusunod na patakaran ay naglalayong mapanatili at mapahusay ang mga pangunahing elemento ng isang programa sa cybersecurity sa buong lungsod.

Ang Patakaran sa Cybersecurity ng COIT ang naglalatag ng pundasyon para sa Programa sa Cybersecurity ng Lungsod sa kabuuan at nagpapahayag ng suporta sa antas ng ehekutibo para sa pagsisikap. Ang mga operasyon sa cybersecurity sa buong Lungsod ay nasa iba't ibang yugto ng pag-deploy. Sinusuportahan ng Patakaran sa Cybersecurity ang Programa sa Cybersecurity ng Lungsod na itinatag upang:

• protektahan ang ating konektadong kritikal na imprastraktura
• protektahan ang sensitibong impormasyong inilagay sa aming tiwala
• pamahalaan ang panganib
• patuloy na nagpapabuti sa aming kakayahang tuklasin ang mga kaganapan sa cybersecurity
• pigilan at lipulin ang mga kompromiso, ibalik ang mga mapagkukunan ng impormasyon sa isang ligtas at gumaganang katayuan
• tiyaking sapat ang paggamot sa panganib at naaayon sa kahalagahan ng mapagkukunan ng impormasyon
• mapadali ang kamalayan sa panganib sa aming mga operasyon sa konteksto ng cybersecurity

Ang mga kinakailangang tinukoy sa patakarang ito ay nalalapat sa lahat ng mapagkukunan ng impormasyon na pinapatakbo ng o para sa Lungsod at County ng San Francisco at mga departamento, at komisyon nito. Ang mga halal na opisyal, empleyado, consultant, at vendor na nagtatrabaho sa ngalan ng Lungsod at County ng San Francisco ay kinakailangang sumunod sa patakarang ito.

Ang Patakaran sa Cybersecurity ng COIT ay nag-aatas sa lahat ng departamento na:

1. Magtalaga ng isang Departmental Information Security Officer (DISO) upang mag-coordinate ng mga pagsisikap sa cybersecurity. Ang mas malalaking Departamento ay maaaring magtalaga ng isang Chief Information Security Officer (CISO) upang kilalanin ang mas malawak na saklaw ng responsibilidad.
2. Gumamit ng balangkas ng cybersecurity bilang batayan sa pagbuo ng kanilang programa sa cybersecurity. Inirerekomenda ng Lungsod ang paggamit ng National Institute of Standards and Technology (NIST) Cybersecurity Framework bilang isang metodolohiya upang mapangalagaan ang mga mapagkukunan ng impormasyon.
3. Suportahan ang pagtugon sa mga insidente sa cyber kung kinakailangan alinsunod sa Emergency Support Function 18 (ESF-18) Unified Cyber ​​Command.
4. Magsagawa at mag-update, kahit man lang taun-taon, ng pagtatasa ng panganib sa cybersecurity ng Departamento . Ang mga departamentong may dedikadong kawani ng Pamamahala ng Panganib ay maaaring pumili na isama ang pamamahala ng panganib sa cybersecurity sa programa ng Pamamahala ng Panganib ng departamento.
5. Bumuo at mag-update, kahit man lang taun-taon, ng mga kinakailangan sa cybersecurity ng Departamento pag-mitigaate (pagpaginhawa) ang panganib at sumunod sa mga legal at regulasyon na kinakailangan sa cybersecurity. Bubuo at magpapatibay ang Departamento ng mga kinakailangan sa cybersecurity na dapat katumbas o mas mataas kaysa sa mga kinakailangan sa seguridad sa buong lungsod.
6. Makilahok sa mga pagpupulong sa forum ng cybersecurity sa buong lungsod.

Inaatasan ng Patakaran sa Cybersecurity ang lahat ng departamento na magpatibay ng balangkas ng cybersecurity upang gabayan ang kanilang mga operasyon.

Upang sapat na maprotektahan ang mga mapagkukunan ng impormasyon, ang mga sistema at datos ay dapat na maayos na ikategorya batay sa sensitibidad at kahalagahan ng impormasyon sa mga operasyon. Ang isang metodolohiyang nakabatay sa panganib ay nag-iistandardisa sa arkitektura ng seguridad, lumilikha ng isang karaniwang pag-unawa sa ibinahaging o inilipat na panganib kapag ang mga sistema at imprastraktura ay konektado, at ginagawang mas simple ang pag-secure ng mga sistema at datos.

Ang balangkas ng NIST ay nagbibigay ng limang elemento sa isang programa sa cybersecurity:

• Tukuyin: Paunlarin ang pag-unawa ng organisasyon upang pamahalaan ang panganib ng cybersecurity sa mga sistema, asset, datos, at kakayahan.
• Protektahan: Bumuo at magpatupad ng mga angkop na pananggalang upang matiyak ang paghahatid ng mga serbisyo sa imprastraktura.
• Tuklasin: Bumuo at magpatupad ng mga naaangkop na aktibidad upang matukoy ang paglitaw ng isang kaganapan sa cybersecurity.
• Tugon: Bumuo at magpatupad ng mga angkop na aktibidad upang tumugon sa isang kaganapan sa cybersecurity.
• Pagbawi: Bumuo at magpatupad ng mga naaangkop na aktibidad upang mapanatili ang mga plano para sa kakayahang umahon at upang maibalik ang anumang mga kakayahan o serbisyong napinsala ng isang kaganapan sa cybersecurity.

Ang mga departamento, sa pakikipagkonsulta sa City Chief Information Security Officer (CCISO), ay maaaring pumili ng mga alternatibo sa NIST Cybersecurity Framework. Gayunpaman, ang lahat ng departamento ay dapat magpatupad o gumamit ng mga sentral na pamantayan at serbisyo mula sa kani-kanilang balangkas, tulad ng access control at management, risk assessment at management, awareness at training, at data classification.

Gaya ng binigyang kahulugan sa NIST Special Publication 800-30, “Guide for Conducting Risk Assessments,” ang pagtatasa ng panganib ay ang proseso ng pagtukoy, pagtantya, at pagbibigay-priyoridad sa mga panganib sa seguridad ng impormasyon. Ang pagtatasa ng panganib ay nangangailangan ng maingat na pagsusuri ng impormasyon tungkol sa banta at kahinaan upang matukoy ang lawak kung saan maaaring epekto; impakt (do NOT use: impakto) nang negatibo ang mga pangyayari o kaganapan sa isang organisasyon [ibig sabihin, mga departamento ng Lungsod] at ang posibilidad na mangyari ang mga naturang pangyayari o kaganapan.

Ang layunin ng pagtatasa ng panganib ay impormado sa mga gumagawa ng desisyon at suportahan ang mga tugon sa panganib sa pamamagitan ng pagtukoy sa:

• mga kaugnay na banta sa [mga departamento]
• mga kahinaan kapwa panloob at panlabas sa [mga departamento]
• epekto; impakt (do NOT use: impakto) (ibig sabihin, pinsala) sa [mga departamento] na maaaring mangyari dahil sa potensyal ng mga banta na nagsasamantala sa mga kahinaan
• posibilidad na mangyari ang pinsala

Ang huling resulta ay ang pagtukoy ng panganib (ibig sabihin, karaniwang nakabatay sa antas ng pinsala at posibilidad na mangyari ang pinsala).

Upang matiyak na ang kanilang mga programa sa cybersecurity ay sumusunod sa isang aprubadong balangkas ng cybersecurity, kabilang ang NIST CSF, ISO 2700x, at CIS Top 20, at isang pamamaraang nakabatay sa panganib, ang City Services Auditor ay nagsasagawa ng mga pagtatasa ng kahandaan upang masukat ang implementasyon.

Ang mga pagtatasa ng kahandaan ay naaayon sa isang aprubadong balangkas ng cybersecurity at nagbibigay-daan sa mga departamento na matukoy ang kanilang kasalukuyang mga kakayahan sa cybersecurity, magtakda ng mga indibidwal na layunin para sa isang target na estado, at magtatag ng isang plano para sa pagpapabuti at pagpapanatili ng mga programa sa cyber security. Ang mga pagtatasa ng kahandaan ay tumutulong din sa Departamento ng Teknolohiya at sa Controller sa mahusay at epektibong pagpaplano ng mga aktibidad sa cybersecurity.

Kinakailangang bumuo at mag-update ang mga departamento ng mga kinakailangan sa cybersecurity pag-mitigaate (pagpaginhawa) ang mga profile ng panganib at sumunod sa mga legal at regulasyon na kinakailangan sa cybersecurity. Ang Punong Opisyal ng Seguridad ng Impormasyon ng Lungsod ang bubuo ng mga baseline na kinakailangan sa cybersecurity upang matugunan ang profile ng panganib sa buong lungsod. Ang lahat ng iminungkahing kinakailangan ay susuriin at aaprubahan ng Architecture Policy and Pagrepaso Board (APRB). Sa pag-aampon ng APRB, ang mga Kagawaran ay dapat na bumuo ng mga kinakailangan sa cybersecurity na dapat katumbas o mas mataas kaysa sa mga kinakailangan sa seguridad sa buong lungsod upang matugunan ang mga panganib ng Departamento . Dapat magtatag ang APRB ng mga makabuluhang timeline para sa pag-aampon batay sa pagiging kumplikado ng mga iminungkahing kinakailangan.

Ang mga kinakailangan sa cyber-security sa buong lungsod ay hindi dapat pumalit sa mga kinakailangan ng Estado o Pederal na maaaring naaangkop sa ilang partikular na departamento ng lungsod.

Ang mga Pinuno ng Departamento ay dapat:

• Itaguyod ang kultura ng kamalayan sa cybersecurity at pagsunod sa patakaran ng Lungsod tungkol sa cybersecurity. Dapat ipaalala sa mga pinuno ng Departamento ang kanilang mga empleyado at kontratista tungkol sa mga patakaran, pamantayan, pamamaraan, alituntunin, at pinakamahuhusay na kagawian sa Cybersecurity ng Lungsod.
• Hangga't kaya ng mga mapagkukunan, magbadyet at maglaan ng tauhan para sa tungkulin ng cybersecurity para sa mga sistemang binili, pinapatakbo, o kinontrata ng kanilang mga departamento upang matiyak na ang lahat ng sistema at ang datos na nakapaloob sa mga ito ay protektado alinsunod sa kategorya/klasipikasyon ng datos at mga sistema.
• Magtalaga ng isang Departmental Information Security Officer (DISO) o isang Chief Information Security Officer

Ang Punong Opisyal ng Seguridad ng Impormasyon ng Lungsod (CCISO) ay dapat:

• Magtatag at magpanatili ng isang pangkat ng seguridad at gagana nang may kakayahang tukuyin, protektahan, tuklasin, tumugon, at makabangon mula sa mga pag-atake laban sa mga mapagkukunan ng impormasyon ng Lungsod.
• Bumuo at magpanatili ng isang sentralisadong programa sa pagtugon sa mga insidente na may kakayahang tugunan ang mga pangunahing problema sa mga mapagkukunan ng impormasyon ng Lungsod.
• Pagrepaso ang annex ng Emergency Support Function 18 Unified Cyber ​​Command taun-taon at tiyaking ina-update ito kung kinakailangan.
• Suportahan ang mga pagsasanay sa cyber emergency ng mga departamento at magsagawa ng pana-panahong pagsasanay sa cybersecurity emergency sa buong Lungsod kasama ang mga pinuno ng Lungsod.
• Tiyakin na ang Departamento, Komisyon, at ang Sentralisadong mga Programa sa Cybersecurity ng Teknolohiya ng Impormasyon ay gumagamit ng isang programa sa pagtatasa at paggamot na nakabatay sa panganib, at regular na iniuulat ang katayuan ng natitirang profile ng panganib ng Lungsod sa pamunuan ng Lungsod.
• Bumuo ng metodolohiya sa pagtatasa ng panganib sa cybersecurity at magbigay ng pagsasanay sa mga DISO sa pagsasagawa ng mga pagtatasa ng panganib sa cybersecurity.
• Magbigay ng patnubay sa pagbuo ng organisasyon ng seguridad sa antas ng Departamento .
• Tiyakin na ang mga resulta ng pagtatasa ng panganib sa cybersecurity ng mga Kagawaran ay sapat na protektado at ang pag-access ay limitado sa limitadong mga tauhan ng cybersecurity ng Lungsod.
• Hindi bababa sa taun-taon, bumuo at mag-update ng mga kinakailangan sa cybersecurity sa buong lungsod pag-mitigaate (pagpaginhawa) ang natitirang profile ng panganib ng Lungsod, at sumunod sa mga legal at regulasyon na kinakailangan sa cybersecurity. Ang lahat ng mga kinakailangan sa cybersecurity ay aaprubahan ng Architecture Policy & Pagrepaso Board (APRB) bago magkabisa.
• Suportahan ang pagpapatupad ng mga departamento ng mga kinakailangan sa cybersecurity sa buong lungsod.
• Suportahan ang mga DISO ng Departamento sa kanilang mga responsibilidad sa cybersecurity, kabilang ang sa pamamagitan ng sentralisadong programa sa pagtugon sa insidente, mga kakayahan sa pagtatanggol sa cybersecurity, at isang hanay ng mga kagamitan sa cybersecurity sa buong lungsod.
• Mag-organisa ng mga pagpupulong sa forum ng cybersecurity sa buong lungsod.

Ang mga Opisyal ng Seguridad ng Impormasyon ng Kagawaran (Diso) ay dapat:

• Tiyaking ang mga mapagkukunan ng impormasyon ay wastong protektado sa pamamagitan ng mga estratehiya sa paggamot sa panganib na nakakatugon sa katanggap-tanggap na limitasyon sa panganib para sa kategorya / klasipikasyon ng mapagkukunan ng impormasyon.
• Bumuo ng mga kinakailangang organisasyong pangseguridad batay sa mga magagamit na mapagkukunan at badyet.
• Ipaalam sa Punong Opisyal ng Seguridad ng Impormasyon ng Lungsod kapag mayroong pangyayaring nakompromiso ang kontrol, pagiging kumpidensyal, integridad, o pagkakaroon ng isang sistema o datos na kinasasangkutan ng Personal na Impormasyong Nakakapagpakilala, Impormasyong Protektado ng Regulasyon (tulad ng HIPAA o Social Security Numbers), at/o datos na hindi itinuturing na pampubliko sa lalong madaling panahon.
• Makilahok sa mga round table meeting ng cybersecurity sa buong lungsod.
• Magsagawa at mag-update, kahit man lang taun-taon, ng mga pagtatasa ng panganib sa cybersecurity ng Departamento , at kumpidensyal na ibahagi ang mga resulta sa Punong Opisyal ng Seguridad ng Impormasyon ng Lungsod.
• Taon-taon, makikipagpulong ang Departamento sa Disaster Preparedness Coordinator upang Pagrepaso ang mga resulta ng pagtatasa ng panganib sa cyber at i-update ang cyber appendix ng Departamento ng COOP kung kinakailangan. Pagrepaso ng mga departamentong may nakalaang Emergency Management Functions ang mga resulta ng mga pagtatasa ng panganib sa cyber-security ng kanilang departamento at i-update ang kanilang mga pamamaraan sa pagtugon sa insidente kung naaangkop.
• Magsagawa, kahit man lang taun-taon, ng pagsasanay sa cybersecurity ng Departamento kasama ang pamunuan ng Departamento , mga iba pang kasosyo/kabalikat sa gawain ng HSH ng Lungsod, at mahahalagang ikatlong partido. Ang mga departamentong may nakalaang mga Tungkulin sa Pamamahala ng Emergency ay maaaring pumili na isama ang cyber-security bilang bahagi ng mga pagsasanay sa emerhensya ng kanilang Departamento .
• Bumuo at mag-update, kahit man lang taun-taon, ng mga kinakailangan sa cybersecurity ng Departamento pag-mitigaate (pagpaginhawa) ang profile ng panganib ng Departamento at sumunod sa mga legal at regulasyon na kinakailangan sa cybersecurity, at kumpidensyal na ibahagi ang mga kinakailangan sa Chief Information Security Officer ng Lungsod. Mga kinakailangan ng Departamento na dapat katumbas o mas mataas kaysa sa mga kinakailangan sa seguridad sa buong lungsod.
• Kung naaangkop, kumonsulta sa Punong Opisyal ng Seguridad ng Impormasyon ng Lungsod kapag tinitipon ang mga kinakailangan para sa mga bagong sistema ng impormasyon upang matiyak na nasuri ang disenyo ng seguridad bago ang pagpili at pag-deploy.

Departamento ng Pangangasiwa ng mga Emerhensya

• Isaaktibo ang sentro ng operasyon ng emerhensya ng lungsod upang i-coordinate ang pagtugon sa mga cyber event sa antas ng emerhensya gaya ng nakabalangkas sa Emergency Support Function 18 Unified Cyber ​​Command.
• Suportahan ang buong Lungsod para sa mga lider ng Lungsod sa mga pang-emerhensiyang pagsasanay sa cybersecurity sa pakikipagtulungan sa Chief Information Security Officer ng Lungsod.

Mga Tagapangasiwa ng Departamento ng Paghahanda sa Sakuna (DPC)

• Sanayin ang pamunuan ng Departamento at mga kawani ng pagtugon sa insidente ng cybersecurity gamit ang mga tungkulin at responsibilidad ng Departamento at Emergency Operation Center
• Makipagtulungan sa DISO upang gamitin ang mga proseso ng pag-uulat para sa Emergency Support Function 18 Unified Cyber ​​Command.
• Makilahok, kahit man lang taun-taon, sa ehersisyo pang-emerhensya sa cybersecurity ng Departamento .

Ang COIT at ang Tanggapan ng Badyet ng Alkalde ay dapat:

• Hangga't maaari, sapat na suportahan at pondohan ang mga operasyon sa cybersecurity ng Lungsod at Departamento alinsunod sa pagtatasa ng panganib.

Ang Punong Opisyal ng Datos ay dapat:

• Makipagtulungan sa Punong Opisyal ng Seguridad ng Impormasyon ng Lungsod upang bumuo at magpanatili ng isang sistema ng klasipikasyon ng impormasyon at suportahan ang mga departamento sa kanilang mga pagsisikap sa klasipikasyon ng datos.

Ang Auditor ng mga Serbisyo ng Lungsod ay dapat:

• Suriin ang mga pagsisikap ng Lungsod laban sa cybersecurity sa pamamagitan ng regular na pagtatasa ng kahandaan at tumulong sa pagsusuri ng mga kontrol sa pag-audit ng cybersecurity.
• Pagrepaso, kahit man lang taun-taon, ang mga plano sa pagpapatupad ng Departamento para sa pagpapatibay ng mga kinakailangan sa cybersecurity sa buong lungsod at partikular sa departamento.
• Magsagawa ng pagsusuri sa seguridad para sa mga departamento alinsunod sa mga kinakailangan sa cybersecurity sa buong lungsod upang mapatunayan na epektibong ipinapatupad ng mga departamento ang mga kinakailangan.
• Ibahagi ang mga resulta ng pagsusuring ito sa Pinuno ng Departamento , at kapag hiniling, pangasiwaan ang talakayan ng mga potensyal na estratehiya sa pagbabawas ng panganib sa pagitan ng Departamento at ng CISO ng Lungsod.

Ang mga Empleyado, kontratista, at vendor ng Lungsod ay dapat:

• Sumunod sa mga kasanayan, kinakailangan, at kasunduan sa katanggap-tanggap na paggamit tungkol sa cybersecurity, at agad na iulat ang anumang insidente sa mga kinauukulang opisyal.

Sa abot ng pinahihintulutan ng mga mapagkukunan:

1. Ang mga pinuno ng Departamento ay may pananagutan sa pagtiyak na ang mga sistemang kinukuha, pinapatakbo, o kinontrata ng kani-kanilang Departamento o komisyon ay nakakatugon sa naaangkop na mga proteksyon sa seguridad na kinakailangan ng kategorya/klasipikasyon ng panganib ng sistema, bilang karagdagan sa anumang mga kinakailangan sa regulasyon.
2. Dapat tiyakin ng mga empleyado, consultant, at vendor na ang mga mapagkukunan ng impormasyon ay naaangkop at ligtas na ginagamit, pinangangasiwaan, at pinapatakbo habang ipinagkakaloob ang awtorisadong pag-access, alinsunod sa Patakaran sa Katanggap-tanggap na Paggamit.
   1. Susuriin ng City Services Auditor ang mga pagsisikap ng Lungsod sa cybersecurity at bapatunayan ang pagpapatupad ng mga departamento ng mga naaangkop na kinakailangan sa seguridad.

Walang mga eksepsiyon sa patakarang ito ang aaprubahan.

SEK. 22A.3. Nakasaad sa Administrative Code ng Lungsod, “ Pagrepaso at aaprubahan ng COIT ang mga rekomendasyon ng City CIO para sa mga pamantayan, patakaran, at pamamaraan ng ICT upang maisakatuparan ang matagumpay na pagpapaunlad, operasyon, pagpapanatili, at suporta sa ICT ng Lungsod.”

• Balangkas ng Seguridad sa Siber ng NIST
• Cyber ​​Safe SF

• Publikasyon ng Seryeng Teknikal ng NIST