Informace Bezpečnostní Úřad

Účel

účelem tohoto Pokynu je stanovit rámec pro klasifikaci institucionálních údaje založené na jeho úroveň citlivosti, hodnoty a kritičnosti na Univerzitě, jak vyžaduje Univerzitní Politika Bezpečnosti Informací. Klasifikace údajů pomůže při určování základních bezpečnostních kontrol pro ochranu údajů.

se Vztahuje Na

Tato Politika se vztahuje na všechny fakulty, zaměstnanců a třetích stran Agenty Univerzity, stejně jako jakékoliv jiné Univerzitě affiliate, který je oprávněn k přístupu k Institucionální Údajů. Tyto obecné zásady se vztahují zejména na ty, kteří jsou odpovědní za klasifikaci a ochranu institucionálních údajů, jak jsou definovány úlohami a povinnostmi v oblasti bezpečnosti informací.

definice

důvěrné údaje je obecný pojem, který obvykle představuje údaje klasifikované jako omezené podle schématu klasifikace údajů definovaného v těchto obecných zásadách. Tento termín se často používá zaměnitelně s citlivými údaji.

správce dat je zaměstnanec vysoké školy, který dohlíží na životní cyklus jedné nebo více sad institucionálních dat. Další informace naleznete v rolích a odpovědnostech v oblasti bezpečnosti informací.

institucionální Data jsou definována jako všechna data vlastněná nebo licencovaná univerzitou.

neveřejné informace jsou definovány jako jakékoli informace, které jsou klasifikovány jako soukromé nebo omezené informace podle schématu klasifikace údajů definovaného v těchto obecných zásadách.

citlivá Data je obecný termín, který obvykle představuje data klasifikovaná jako omezená podle schématu klasifikace dat definovaného v těchto pokynech. Tento termín se často používá zaměnitelně s důvěrnými údaji.

Klasifikace Dat

Data klasifikace, a to v kontextu informační bezpečnosti, je klasifikace dat na základě jeho úroveň citlivosti a dopadu na Univerzitě by se, že údaje budou zveřejněny, pozměněny nebo zničeny bez povolení. Klasifikace dat pomáhá určit, jaké základní bezpečnostní kontroly jsou vhodné pro zabezpečení těchto dat. Všechny institucionální údaje by měly být zařazeny do jedné ze tří úrovní citlivosti, nebo klasifikací:

Klasifikace Definice
Omezené Údaje by měly být klasifikovány jako důvěrné když neoprávněnému zveřejnění, pozměnění nebo zničení, že údaje by mohly způsobit významnou míru rizika, aby se Univerzita nebo její dceřiné společnosti. Mezi příklady omezených údajů patří údaje chráněné státními nebo federálními předpisy o ochraně osobních údajů a údaje chráněné dohodami o důvěrnosti. U omezených údajů by měla být uplatňována nejvyšší úroveň bezpečnostních kontrol.
Soukromé Údaje by měly být klasifikovány jako Soukromou, pokud neoprávněnému zveřejnění, pozměnění nebo zničení, že údaje by mohly mít za následek mírné úroveň rizika pro Univerzity nebo jejích dceřiných společností. Ve výchozím nastavení by se se všemi institucionálními údaji, které nejsou výslovně klasifikovány jako omezené nebo veřejné údaje, mělo zacházet jako se soukromými údaji. U soukromých údajů by měla být uplatňována přiměřená úroveň bezpečnostních kontrol.
Veřejné údaje by měly být klasifikovány jako veřejné, pokud by neoprávněné zveřejnění, změna nebo zničení těchto údajů vedlo k malému nebo žádnému riziku pro univerzitu a její přidružené společnosti. Příklady veřejných údajů zahrnují Tiskové zprávy, informace o kurzu a výzkumné publikace. Zatímco pro ochranu důvěrnosti veřejných údajů je vyžadována malá nebo žádná kontrola, je vyžadována určitá úroveň kontroly, aby se zabránilo neoprávněným úpravám nebo zničení veřejných údajů.

klasifikaci údajů by měl provádět příslušný správce údajů. Správci dat jsou zaměstnanci univerzity na vyšší úrovni, kteří dohlížejí na životní cyklus jedné nebo více sad institucionálních dat. Další informace o úloze správce dat a souvisejících odpovědnostech naleznete v části role a odpovědnosti v oblasti bezpečnosti informací.

datové sbírky

správci dat si mohou přát přiřadit ke sbírce dat jednotnou klasifikaci, která je společným účelem nebo funkcí. Při klasifikaci sběru dat by měla být použita nejpřísnější klasifikace kteréhokoli z jednotlivých datových prvků. Pokud se například sběr dat skládá ze jména, adresy a čísla sociálního zabezpečení studenta, měl by být sběr dat klasifikován jako omezený, i když jméno a adresa studenta mohou být považovány za veřejné informace.

Klasifikace

V pravidelných intervalech, je důležité přehodnotit klasifikaci Institucionálních Dat, aby zajistily, přiřazené klasifikace je stále vhodné na základě změny zákonné a smluvní povinnosti, stejně jako změny v použití údajů nebo jeho hodnotu na Univerzitě. Toto hodnocení by měl provádět příslušný správce údajů. Doporučuje se provádět hodnocení každoročně; správce údajů by však měl na základě dostupných zdrojů určit, jaká frekvence je nejvhodnější. Pokud správce údajů zjistí, že se klasifikace určitého souboru údajů změnila, měla by být provedena analýza bezpečnostních kontrol, aby se zjistilo, zda jsou stávající kontroly v souladu s novou klasifikací. Pokud jsou zjištěny mezery ve stávajících bezpečnostních kontrolách, měly by být opraveny včas, úměrně úrovni rizika, které mezery představují.

Výpočet Klasifikace

cílem informační bezpečnosti, jak je uvedeno v Univerzitní Politika Informační Bezpečnosti, je chránit důvěrnost, integritu a dostupnost Institucionální Údajů. Klasifikace dat odráží úroveň dopadu na univerzitu, pokud je ohrožena důvěrnost, integrita nebo dostupnost.

bohužel neexistuje dokonalý kvantitativní systém pro výpočet klasifikace konkrétního datového prvku. V některých situacích může být příslušná klasifikace zřetelnější, například když federální zákony vyžadují, aby Univerzita chránila určité typy dat(např. Pokud příslušná klasifikace není ze své podstaty zřejmá, zvažte každý bezpečnostní cíl pomocí následující tabulky jako průvodce. To je výňatek z Federal Information Processing Standards (FIPS) publikace 199 vydané Národním Institutem pro Standardy a Technologie, které pojednává o kategorizaci informací a informačních systémů.

POTENCIÁLNÍ DOPAD
Bezpečnostní Cíle NÍZKÝ STŘEDNĚ VYSOKÁ
Důvěrnost
Zachování oprávněné omezení přístupu k informacím a zveřejnění, včetně prostředků pro ochranu osobních údajů a důvěrné informace.
lze očekávat, že neoprávněné zveřejnění informací bude mít omezený nepříznivý dopad na organizační operace, organizační aktiva nebo jednotlivce. lze očekávat, že neoprávněné zveřejnění informací bude mít vážný nepříznivý dopad na organizační operace, organizační aktiva nebo jednotlivce. lze očekávat, že neoprávněné zveřejnění informací bude mít závažný nebo katastrofický nepříznivý dopad na organizační operace, organizační aktiva nebo jednotlivce.
Integrita
ochrana proti nesprávné informace, změně nebo zničení, a zahrnuje zajištění informační nepopiratelnosti a autenticity.
lze očekávat, že neoprávněná změna nebo zničení informací bude mít omezený nepříznivý dopad na organizační operace, organizační aktiva nebo jednotlivce. lze očekávat, že neoprávněná změna nebo zničení informací bude mít závažný nepříznivý dopad na organizační operace, organizační aktiva nebo jednotlivce. lze očekávat, že neoprávněná změna nebo zničení informací bude mít závažný nebo katastrofický nepříznivý dopad na organizační operace, organizační aktiva nebo jednotlivce.
dostupnost
zajištění včasného a spolehlivého přístupu k informacím a jejich používání.
lze očekávat, že narušení přístupu k informacím nebo informačnímu systému nebo jejich použití bude mít omezený nepříznivý dopad na organizační operace, organizační aktiva nebo jednotlivce. lze očekávat, že narušení přístupu k informacím nebo informačnímu systému nebo jejich použití bude mít závažný nepříznivý dopad na organizační operace, organizační aktiva nebo jednotlivce. lze očekávat, že narušení přístupu k informacím nebo informačnímu systému nebo jejich použití bude mít závažný nebo katastrofický nepříznivý dopad na organizační operace, organizační aktiva nebo jednotlivce.

Jako celkový potenciální dopad na Univerzitu zvyšuje od nejnižší k nejvyšší, klasifikace údajů, které by měly být více omezující, pohybující se od Veřejnosti Omezen. Pokud je po zvážení těchto bodů stále nejasná příslušná klasifikace, požádejte o pomoc Úřad pro bezpečnost informací.

Dodatek A – Předdefinované Typy Omezených Informací

Informace Bezpečnostní úřad a Úřad Generální ředitel definovali několik typů Omezené údaje založené na státní a federální regulační požadavky. Jsou definovány takto:

Ověřování Ověřovatel
Ověřování Ověřovatel je informace, která se koná v sebevědomí jednotlivce a používá k prokázání, že osoba je, kdo říkají, že jsou. V některých případech může být ověřovatel autentizace sdílen mezi malou skupinou jednotlivců. Ověřovač ověřování lze také použít k prokázání totožnosti systému nebo služby. Příklady zahrnují, ale nejsou omezeny na:

  • Hesla
  • Sdílené tajemství
  • soukromé Kryptografické klíče
Vztahuje Finanční Informace
Vidět Univerzity Gramm-Leach-Bliley Informace Bezpečnostní Program.
Elektronické Chráněné Zdravotní Informace („EPHI“)
EPHI je definováno jako jakékoli Chráněné Zdravotní Informace („FÍ“), která je uložena nebo přenášena elektronickými médii. Pro účely této definice, elektronická média zahrnuje:

  • Elektronických paměťových médií zahrnuje počítače, pevné disky a vyměnitelné a/nebo přenosné digitální paměťové médium, jako je například magnetickou pásku nebo disk, optický disk nebo digitální paměťové karty.
  • přenosová média používaná k výměně informací již v elektronických paměťových médiích. Přenosová média zahrnují například Internet, extranet (využívající internetovou technologii k propojení podniku s informacemi přístupnými pouze spolupracujícím stranám), pronajaté linky, vytáčené linky, soukromé sítě a fyzický pohyb vyměnitelných a/nebo přepravitelných elektronických paměťových médií. Některé přenosy, včetně papíru, prostřednictvím faxu a hlasu, přes telefon, nejsou považovány za přenosy přes elektronická média, protože informace, které jsou vyměňovány ne existuje v elektronické podobě před převodovka.
Vývoz Kontrolovaných Materiálů

Vývoz Kontrolované Materiály jsou definovány jako jakékoli informace nebo materiály, které jsou předmětem Spojené Státy americké nařízení o kontrole vývozu, včetně, ale ne omezený k, Export Administration Regulations (EAR), publikované v USA Ministerstvo obchodu a mezinárodní dopravní předpisy ve zbrojení (ITAR) zveřejněné ministerstvem zahraničí USA. Další informace naleznete v FAQ Úřadu pro integritu výzkumu a dodržování předpisů o kontrole vývozu.

Federální Daňové Informace („FTI“)
FTI je definován jako jakýkoli návrat, návrat informace nebo daňové přiznání informace, která je pověřena Univerzita Internal Revenue Služby. Viz Internal Revenue Service publikace 1075 exponát 2 pro více informací.
Platební Karty Informace

Platební karty informace je definována jako číslo kreditní karty (také odkazoval se na jako primární číslo účtu nebo PÁNEV) v kombinaci s jedním nebo více z následujících datových prvků:

  • jméno držitele Karty
  • Service code
  • datum Vypršení platnosti
  • CVC2, CVV2 nebo CID hodnota
  • PIN nebo PIN blok
  • Obsah kreditní karty je magnetický proužek

Platební Karty Informace se také řídí Univerzity PCI DSS Politiky a Pokyny (je vyžadováno přihlášení).

Osobně Identifikovatelné Vzdělávání Záznamů
Osobně Identifikovatelné Záznamy Vzdělání jsou definovány jako jakékoli Vzdělávání Záznamy, které obsahují jednu nebo více z následujících osobní identifikátory:

  • Jméno studenta
  • Jméno studenta rodiče(rodičů) nebo jiného člena rodiny(s)
  • rodné číslo
  • Student číslo
  • seznam osobních charakteristik, které by student identity snadno sledovatelné
  • Jakékoliv další informace, nebo identifikátor, který by student identity snadno sledovatelné

Viz Carnegie Mellon Politika na Soukromí Studentů Práv pro více informací o tom, co představuje Vzdělávání Rekord.

Osobně Identifikovatelné Informace
Pro účely zasedání bezpečnostní požadavky na oznamování narušení bezpečnosti, PII je definován jako osoba, křestní jméno nebo počáteční písmeno jména a příjmení v kombinaci s jedním nebo více z následujících datových prvků:

  • rodné číslo
  • State-vydán řidičský průkaz číslo
  • Státem vydaný identifikační karta číslo
  • Finanční číslo účtu v kombinaci s bezpečnostním kódem, přístupový kód nebo heslo, které by umožnily přístup k účtu
  • Lékařské a/nebo zdravotní pojištění informace
Chráněné Zdravotní Informace („PHI“)
PHI je definována jako „individuálně identifikovatelných zdravotních údajů“ přenášen prostřednictvím elektronických médií, udržované v elektronických médiích nebo přenášeny nebo udržovány v jakékoli jiné formě nebo médiu krytou složkou, jak je definováno v Zásadách HIPAA společnosti Carnegie Mellon. PHI se považuje za individuálně identifikovatelné, pokud obsahuje jeden nebo více z následujících identifikátorů:

  • Jméno
  • Adresa (všechny zeměpisné subdivize menší než státu, včetně ulice, město, kraj, okrsek, nebo psč)
  • Všechny prvky data (s výjimkou roku) týkající se jednotlivce, včetně data narození, přijímací data, data udělení absolutoria, datum úmrtí a přesný věk, pokud více než 89)
  • Telefonní čísla
  • Faxové číslo
  • adresy Elektronické pošty
  • čísla Sociálního zabezpečení
  • Lékařské rekordní čísla
  • Zdravotní plán příjemce čísla
  • čísla Účtu
  • Osvědčení/licence čísla
  • identifikačních znaků Vozidla a sériová čísla, včetně spz
  • identifikátory Zařízení a sériového čísla
  • Universal Resource Locator (Url)
  • Internet protocol (IP) adresy
  • Biometrické identifikátory, a to včetně prstu a hlasové tisky
  • celý obličej fotografických obrazů a jakékoli srovnatelné obrázky
  • Nějaké jiné jedinečné identifikační číslo, charakteristické nebo kódu, které by mohly identifikovat jednotlivé

Na Carnegie Mellon je HIPAA Politiky, PHI nezahrnuje vzdělávání záznamy nebo záznamy léčba se vztahuje zákon o právech a ochraně osobních údajů v rodině nebo záznamy o zaměstnání, které má univerzita v roli zaměstnavatele.

Řízené Technické Údaje („CTI“)
Řízené Technické Informace znamená „technické informace vojenské nebo kosmické použití, které je předmětem kontroly přístupu, použití, reprodukce, úpravy, výkon, displej, propuštění, zveřejnění nebo šíření“ za je uvedeno v předpisu č. 252.204-7012.
Pouze Pro Úřední Použití („FOUO“)
Dokumenty a údaje označené nebo označené Pouze Pro Úřední Použití jsou pre-kurzor Kontrolovaných Neutajovaných Informací (CUI) jak je definováno Národním Archivu (NARA)
Osobní Údaje z Evropské Unie (EU)

EU je Obecné Nařízení o Ochraně Údajů (obecného nařízení o ochraně údajů) definuje osobní údaje jako jakékoliv informace, které mohou identifikovat fyzická osoba, přímo nebo nepřímo, odkazem na identifikátor včetně

  • Jméno
  • identifikační číslo,
  • Umístění dat
  • on-line identifikátor
  • Jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo sociální identitu, že fyzická osoba,

Žádné osobní údaje, které jsou shromažďovány od jednotlivců v Evropském Hospodářském Prostoru (EHP), které je předmětem obecného nařízení o ochraně údajů. Pro dotazy, poslat e-mail na adresu [email protected].

Historie Revizí

Verze Publikováno Autor Popis
0.1 07/02/2008 Doug Markiewicz Původní návrh
0.2 09/25/2008 Doug Markiewicz Nahrazuje Kategorizace oddíl s Daty Sbírek a přidána sekce na Reklasifikace a Výpočtu Klasifikace.
0.3 10/20/2008 Doug Markiewicz přepsal část o výpočtu klasifikace z důvodu nedostatků v původním systému. Aktualizovaný účel, platí pro a definice.
0.4 11/04/2008 Doug Markiewicz Odstranit rovnice, provedena menší aktualizace definice Veřejné Údaje a aktualizovány Další Informace. Řazeny Dodatek a tak, aby termíny se objeví v abecedním pořadí a přidal se vztahuje finanční informace jako termín.
0.5 02/20/2009 Doug Markiewicz Přidáno chybějící kulku do posledního identifikátor uveden v Dodatku A se Definice G. definice sám není změněn.
0.6 02/26/2009 Doug Markiewicz Různé aktualizace na základě Zpětné vazby. Hlavní změny zahrnují přidání Data Steward‘ Definic, přidávat odkazy na Informační Bezpečnosti Role & Odpovědnost a přidání Federální Daňové Informace do Dodatku a.
0.7 03/18/2009 Doug Markiewicz aktualizovaná definice PHI v příloze A S odkazem na zásady bezpečnosti informací HIPAA. Přidáno Ověřování Ověřovatel Dodatku A.
0.8 09/17/2009 Doug Markiewicz Aktualizováno Použita pro soulad s publikací. Odstraněny záznamy o vzdělávání z přílohy A na doporučení generálního poradce. Aktualizované osobní identifikační záznamy o vzdělávání v příloze A odkazují na zásady týkající se práv na soukromí studentů.
0.9 01/22/2010 Doug Markiewicz aktualizovaný Dodatek a, aby zahrnoval materiály kontrolované vývozem.
1.0 09/15/2011 Doug Markiewicz Aktualizované definice Chráněných Zdravotních Informací, aby byla v souladu s novou Politiku PŘÍSAHY. Odstraněno označení návrhu.
1.1 04/07/2015 Laura Raderman

Aktualizovaný Dodatek A zahrnují Řízené Technické Informace.

1.2 03/20/2018 Laura Raderman

aktualizovaný Dodatek a, aby zahrnoval FOUO a CUI.

1.3 05/23/2018 Mary Ann Blair

Aktualizovaný Dodatek A zahrnují Osobní Údaje z Evropské Unie

Stav: Zveřejněny
Publikoval: 07/02/2008
Poslední Přezkoumány: 05/23/2018
Naposledy Aktualizováno: 05/23/2018

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.

Previous post Jak Amish Žít Nepojištěný, Ale Zůstat Zdravý
Next post Volkswagen Ostatní Karmann Ghia: Typ 34