Informationssicherheitsbüro

Zweck

Der Zweck dieser Richtlinie besteht darin, einen Rahmen für die Klassifizierung institutioneller Daten auf der Grundlage ihrer Sensibilität, ihres Werts und ihrer Kritikalität für die Universität zu schaffen, wie dies in der Informationssicherheitspolitik der Universität gefordert wird. Die Klassifizierung von Daten hilft bei der Festlegung grundlegender Sicherheitskontrollen zum Schutz von Daten.

Gilt für

Diese Richtlinie gilt für alle Fakultäten, Mitarbeiter und Drittanbieter der Universität sowie für alle anderen Universitätsangehörigen, die berechtigt sind, auf institutionelle Daten zuzugreifen. Diese Richtlinie gilt insbesondere für diejenigen, die für die Klassifizierung und den Schutz institutioneller Daten verantwortlich sind, wie in den Rollen und Verantwortlichkeiten der Informationssicherheit definiert.

Definitionen

Vertrauliche Daten sind ein verallgemeinerter Begriff, der typischerweise Daten darstellt, die gemäß dem in dieser Richtlinie definierten Datenklassifizierungsschema als eingeschränkt eingestuft sind. Dieser Begriff wird oft synonym mit sensiblen Daten verwendet.

Ein Data Steward ist ein leitender Angestellter der Universität, der den Lebenszyklus eines oder mehrerer Sätze institutioneller Daten überwacht. Weitere Informationen finden Sie unter Informationssicherheitsrollen und -verantwortlichkeiten.

Institutionelle Daten sind definiert als alle Daten, die der Universität gehören oder von ihr lizenziert werden.

Nicht öffentliche Informationen sind alle Informationen, die gemäß dem in dieser Richtlinie definierten Datenklassifizierungsschema als private oder eingeschränkte Informationen eingestuft werden.

Sensible Daten sind ein verallgemeinerter Begriff, der typischerweise Daten darstellt, die gemäß dem in dieser Richtlinie definierten Datenklassifizierungsschema als eingeschränkt eingestuft sind. Dieser Begriff wird häufig synonym mit vertraulichen Daten verwendet.

Datenklassifizierung

Datenklassifizierung im Kontext der Informationssicherheit ist die Klassifizierung von Daten auf der Grundlage ihrer Sensibilität und der Auswirkungen auf die Universität, sollten diese Daten ohne Genehmigung offengelegt, verändert oder zerstört werden. Die Klassifizierung von Daten hilft zu bestimmen, welche grundlegenden Sicherheitskontrollen zum Schutz dieser Daten geeignet sind. Alle institutionellen Daten sollten in eine von drei Sensitivitätsstufen oder Klassifikationen eingeteilt werden:

Klassifikation Definition
Eingeschränkt Daten sollten als eingeschränkt eingestuft werden, wenn die unbefugte Offenlegung, Änderung oder Zerstörung dieser Daten ein erhebliches Risiko für die Universität oder ihre verbundenen Unternehmen darstellen könnte. Beispiele für eingeschränkte Daten sind Daten, die durch staatliche oder bundesstaatliche Datenschutzbestimmungen geschützt sind, und Daten, die durch Vertraulichkeitsvereinbarungen geschützt sind. Für eingeschränkte Daten sollten die höchsten Sicherheitskontrollen angewendet werden.
Private Daten sollten als privat eingestuft werden, wenn die unbefugte Offenlegung, Änderung oder Zerstörung dieser Daten zu einem moderaten Risiko für die Universität oder ihre verbundenen Unternehmen führen könnte. Standardmäßig sollten alle institutionellen Daten, die nicht explizit als eingeschränkte oder öffentliche Daten klassifiziert sind, als private Daten behandelt werden. Ein angemessenes Maß an Sicherheitskontrollen sollte auf private Daten angewendet werden.
Öffentlich Daten sollten als öffentlich eingestuft werden, wenn die unbefugte Offenlegung, Änderung oder Zerstörung dieser Daten zu einem geringen oder keinem Risiko für die Universität und ihre verbundenen Unternehmen führen würde. Beispiele für öffentliche Daten sind Pressemitteilungen, Kursinformationen und Forschungspublikationen. Während wenig oder keine Kontrollen erforderlich sind, um die Vertraulichkeit öffentlicher Daten zu schützen, ist ein gewisses Maß an Kontrolle erforderlich, um eine unbefugte Änderung oder Zerstörung öffentlicher Daten zu verhindern.

Die Klassifizierung der Daten sollte von einem geeigneten Datenverwalter durchgeführt werden. Data Stewards sind hochrangige Mitarbeiter der Universität, die den Lebenszyklus eines oder mehrerer institutioneller Daten überwachen. Weitere Informationen zur Data Steward-Rolle und den damit verbundenen Verantwortlichkeiten finden Sie unter Informationssicherheitsrollen und -verantwortlichkeiten.

Datensammlungen

Datenverwalter möchten möglicherweise einer Sammlung von Daten, deren Zweck oder Funktion gemeinsam ist, eine einzige Klassifizierung zuweisen. Bei der Klassifizierung einer Datensammlung sollte die restriktivste Klassifizierung der einzelnen Datenelemente verwendet werden. Wenn eine Datenerhebung beispielsweise aus dem Namen, der Adresse und der Sozialversicherungsnummer eines Schülers besteht, sollte die Datenerhebung als eingeschränkt eingestuft werden, obwohl der Name und die Adresse des Schülers als öffentliche Information angesehen werden können.

Reklassifizierung

In regelmäßigen Abständen ist es wichtig, die Klassifizierung institutioneller Daten neu zu bewerten, um sicherzustellen, dass die zugewiesene Klassifizierung aufgrund von Änderungen gesetzlicher und vertraglicher Verpflichtungen sowie Änderungen in der Verwendung der Daten oder ihres Wertes für die Universität weiterhin angemessen ist. Diese Bewertung sollte vom zuständigen Datenverwalter durchgeführt werden. Die Durchführung einer jährlichen Evaluierung wird empfohlen; der Datenverwalter sollte jedoch auf der Grundlage der verfügbaren Ressourcen bestimmen, welche Häufigkeit am besten geeignet ist. Wenn ein Datenverwalter feststellt, dass sich die Klassifizierung eines bestimmten Datensatzes geändert hat, sollte eine Analyse der Sicherheitskontrollen durchgeführt werden, um festzustellen, ob die vorhandenen Kontrollen mit der neuen Klassifizierung übereinstimmen. Werden Lücken in den bestehenden Sicherheitskontrollen festgestellt, sollten diese zeitnah entsprechend dem Risiko der Lücken behoben werden.

Berechnungsklassifizierung

Ziel der Informationssicherheit ist es, wie in der Informationssicherheitspolitik der Universität angegeben, die Vertraulichkeit, Integrität und Verfügbarkeit institutioneller Daten zu schützen. Die Datenklassifizierung spiegelt den Grad der Auswirkungen auf die Universität wider, wenn Vertraulichkeit, Integrität oder Verfügbarkeit beeinträchtigt werden.

Leider gibt es kein perfektes quantitatives System zur Berechnung der Klassifizierung eines bestimmten Datenelements. In einigen Situationen kann die entsprechende Klassifizierung offensichtlicher sein, z. B. wenn Bundesgesetze von der Universität verlangen, bestimmte Arten von Daten (z. B. personenbezogene Daten) zu schützen. Wenn die geeignete Klassifizierung nicht von Natur aus offensichtlich ist, betrachten Sie jedes Sicherheitsziel anhand der folgenden Tabelle als Leitfaden. Es ist ein Auszug aus der Veröffentlichung 199 der Federal Information Processing Standards (FIPS) des National Institute of Standards and Technology, in der die Kategorisierung von Informations- und Informationssystemen erörtert wird.

MÖGLICHE AUSWIRKUNGEN
Sicherheitsziel NIEDRIG MITTEL HOCH
Vertraulichkeit
Beibehaltung autorisierter Beschränkungen des Zugangs und der Offenlegung von Informationen, einschließlich Mitteln zum Schutz der Privatsphäre und geschützter Informationen.
Es ist zu erwarten, dass die unbefugte Offenlegung von Informationen begrenzte nachteilige Auswirkungen auf organisatorische Vorgänge, organisatorische Vermögenswerte oder Einzelpersonen hat. Es ist zu erwarten, dass die unbefugte Offenlegung von Informationen schwerwiegende nachteilige Auswirkungen auf organisatorische Vorgänge, organisatorische Vermögenswerte oder Einzelpersonen hat. Es ist zu erwarten, dass die unbefugte Offenlegung von Informationen schwerwiegende oder katastrophale nachteilige Auswirkungen auf organisatorische Vorgänge, organisatorische Vermögenswerte oder Einzelpersonen hat.
Integrität
Schutz vor unsachgemäßer Änderung oder Zerstörung von Informationen und umfasst die Gewährleistung der Nichtverweigerung und Authentizität von Informationen.
Es ist zu erwarten, dass die unbefugte Änderung oder Vernichtung von Informationen begrenzte nachteilige Auswirkungen auf organisatorische Vorgänge, organisatorische Vermögenswerte oder Einzelpersonen hat. Es ist zu erwarten, dass die unbefugte Änderung oder Zerstörung von Informationen schwerwiegende nachteilige Auswirkungen auf organisatorische Vorgänge, organisatorische Vermögenswerte oder Einzelpersonen hat. Es ist zu erwarten, dass die unbefugte Änderung oder Zerstörung von Informationen schwerwiegende oder katastrophale nachteilige Auswirkungen auf organisatorische Vorgänge, organisatorische Vermögenswerte oder Einzelpersonen hat.
Verfügbarkeit
Gewährleistung eines zeitnahen und zuverlässigen Zugriffs auf und der Nutzung von Informationen.
Es ist zu erwarten, dass die Unterbrechung des Zugangs zu oder der Nutzung von Informationen oder eines Informationssystems begrenzte nachteilige Auswirkungen auf organisatorische Vorgänge, organisatorische Vermögenswerte oder Einzelpersonen hat. Die Unterbrechung des Zugangs zu oder der Nutzung von Informationen oder eines Informationssystems könnte schwerwiegende nachteilige Auswirkungen auf organisatorische Abläufe, organisatorische Vermögenswerte oder Einzelpersonen haben. Die Unterbrechung des Zugangs zu oder der Nutzung von Informationen oder eines Informationssystems könnte schwerwiegende oder katastrophale nachteilige Auswirkungen auf organisatorische Abläufe, organisatorische Vermögenswerte oder Einzelpersonen haben.

Da die potenziellen Gesamtauswirkungen auf die Universität von niedrig auf hoch ansteigen, Die Klassifizierung von Daten sollte restriktiver werden und von öffentlich zu eingeschränkt wechseln. Wenn eine geeignete Klassifizierung nach Berücksichtigung dieser Punkte noch unklar ist, wenden Sie sich an das Informationssicherheitsbüro, um Unterstützung zu erhalten.

Anhang A – Vordefinierte Arten von eingeschränkten Informationen

Das Information Security Office und das Office of General Counsel haben verschiedene Arten von eingeschränkten Daten basierend auf staatlichen und bundesstaatlichen behördlichen Anforderungen definiert. Sie sind wie folgt definiert:

Authentifizierungs-Verifizierer
Ein Authentifizierungsüberprüfer ist eine Information, die von einer Person vertraulich behandelt und verwendet wird, um zu beweisen, dass die Person die Person ist, von der sie sagt, dass sie sie ist. In einigen Fällen kann ein Authentifizierungsüberprüfer von einer kleinen Gruppe von Personen gemeinsam genutzt werden. Ein Authentifizierungsüberprüfer kann auch verwendet werden, um die Identität eines Systems oder Dienstes nachzuweisen. Beispiele umfassen, sind aber nicht beschränkt auf:

  • Passwörter
  • Gemeinsame Geheimnisse
  • Kryptografische private Schlüssel
Abgedeckte Finanzinformationen
Siehe das Gramm-Leach-Bliley-Informationssicherheitsprogramm der Universität.
Elektronische geschützte Gesundheitsinformationen („EPHI“)
EPHI ist definiert als geschützte Gesundheitsinformationen („PHI“), die in elektronischen Medien gespeichert oder übertragen werden. Im Sinne dieser Definition umfassen elektronische Medien:

  • Elektronische Speichermedien umfassen Computerfestplatten und jedes entfernbare und / oder transportierbare digitale Speichermedium, wie Magnetband oder Festplatte, optische Festplatte oder digitale Speicherkarte.
  • Übertragungsmedien zum Austausch von Informationen, die sich bereits auf elektronischen Speichermedien befinden. Zu den Übertragungsmedien gehören beispielsweise das Internet, ein Extranet (unter Verwendung der Internettechnologie, um ein Unternehmen mit Informationen zu verbinden, die nur für kooperierende Parteien zugänglich sind), Mietleitungen, Einwahlleitungen, private Netze und die physische Bewegung von Wechsel- und /oder transportablen elektronischen Speichermedien. Bestimmte Übertragungen, einschließlich von Papier per Fax und von Sprache per Telefon, gelten nicht als Übertragungen über elektronische Medien, da die ausgetauschten Informationen vor der Übertragung nicht in elektronischer Form vorlagen.
Export kontrollierte Materialien

Exportkontrolliertes Material ist definiert als alle Informationen oder Materialien, die den Exportkontrollbestimmungen der Vereinigten Staaten unterliegen, einschließlich, aber nicht beschränkt auf die von den USA veröffentlichten Export Administration Regulations (EAR). Handelsministerium und die International Traffic in Arms Regulations (ITAR), die vom US-Außenministerium veröffentlicht wurden. Weitere Informationen finden Sie in den FAQ des Office of Research Integrity and Compliance zur Exportkontrolle.

Eidgenössische Steuerinformation („FTI“)
FTI ist definiert als Rückgabe, Rückgabeinformationen oder Steuerzahlerrückgabeinformationen, die der Universität von den Internal Revenue Services anvertraut werden. Siehe Internal Revenue Service Publication 1075 Exhibit 2 für weitere Informationen.
Zahlungskarteninformationen

Zahlungskarteninformationen sind definiert als eine Kreditkartennummer (auch als primäre Kontonummer oder PAN bezeichnet) in Kombination mit einem oder mehreren der folgenden Datenelemente:

  • Name des Karteninhabers
  • Servicecode
  • Ablaufdatum
  • CVC2-, CVV2- oder CID-Wert
  • PIN oder PIN-Block
  • Inhalt des Magnetstreifens einer Kreditkarte

Zahlung Die Karteninformationen unterliegen auch den PCI DSS-Richtlinien und -Richtlinien der Universität (Anmeldung erforderlich).

Persönlich identifizierbare Bildungsaufzeichnungen
Persönlich identifizierbare Bildungsdatensätze sind definiert als alle Bildungsdatensätze, die eine oder mehrere der folgenden persönlichen Identifikatoren enthalten:

  • Name des Schülers
  • Name der Eltern des Schülers oder eines anderen Familienmitglieds
  • Sozialversicherungsnummer
  • Studentennummer
  • Eine Liste persönlicher Merkmale, die die Identität des Schülers leicht nachvollziehbar machen
  • Jede andere Information oder Kennung, die die Identität des Schülers die Identität des Schülers leicht nachvollziehbar

Weitere Informationen darüber, was einen Bildungsnachweis ausmacht, finden Sie in der Richtlinie von Carnegie Mellon zu den Datenschutzrechten von Schülern.

Persönlich identifizierbare Informationen
Zum Zwecke der Erfüllung der Meldepflichten bei Sicherheitsverletzungen werden personenbezogene Daten als Vorname oder Vor- und Nachname einer Person in Kombination mit einem oder mehreren der folgenden Datenelemente definiert:

  • Sozialversicherungsnummer
  • Staatlich ausgestellte Führerscheinnummer
  • Staatlich ausgestellte Identifikationsnummer
  • Finanzkontonummer in Kombination mit einem Sicherheitscode, Zugangscode oder Passwort, das den Zugriff auf das Konto ermöglicht
  • Medizinische und / oder Krankenversicherungsinformationen
Geschützte Gesundheitsinformationen („PHI“)
PHI ist definiert als „individuell identifizierbare Gesundheitsinformationen“, die durch elektronische Medien übertragen, in elektronischen Medien gepflegt oder übertragen oder in einer anderen Form oder einem anderen Medium von einer abgedeckten Komponente gemäß der Definition in der HIPAA-Richtlinie von Carnegie Mellon verwaltet werden. PHI gilt als individuell identifizierbar, wenn sie eine oder mehrere der folgenden Kennungen enthält:

  • Name
  • Adresse (alle geografischen Unterteilungen kleiner als Staat, einschließlich Straße, Stadt, Landkreis, Bezirk oder Postleitzahl)
  • Alle Elemente von Daten (außer Jahr) im Zusammenhang mit einer Person, einschließlich Geburtsdatum, Aufnahmedatum, Entlassungsdatum, Todesdatum und genaues Alter, wenn über 89)
  • Telefonnummern
  • Faxnummern
  • E-Mail-Adressen
  • Sozialversicherungsnummern
  • Krankenakte Zahlen
  • Gesundheitsplan Begünstigten Nummern
  • Kontonummern
  • Zertifikat / Lizenz nummern
  • Fahrzeugidentifikatoren und Seriennummern, einschließlich Kennzeichen
  • Geräte-Identifikatoren und Seriennummern
  • Universal Resource Locators (URLs)
  • IP-Adressen (Internet Protocol)
  • Biometrische Identifikatoren, einschließlich Finger- und Sprachausdrucke
  • Fotografische Vollgesichtsbilder und vergleichbare Bilder
  • Jede andere eindeutige identifizierende Nummer, Eigenschaft oder Code, die eine Person identifizieren könnte

Gemäß der HIPAA-Richtlinie von Carnegie Mellon enthält PHI keine Bildungsunterlagen oder Behandlungsunterlagen, die von die Familie Educational Rights and Privacy Act oder Beschäftigung Aufzeichnungen von der Universität in ihrer Rolle als Arbeitgeber gehalten.

Kontrollierte technische Informationen („CTI“)
Kontrollierte technische Informationen sind „technische Informationen mit militärischer oder Weltraumanwendung, die gemäß DFARS 252.204-7012 Kontrollen für den Zugriff, die Verwendung, die Reproduktion, die Änderung, die Leistung, die Anzeige, die Freigabe, die Offenlegung oder die Verbreitung unterliegen“.
Nur für den offiziellen Gebrauch („FOUO“)
Dokumente und Daten, die nur für den amtlichen Gebrauch gekennzeichnet oder markiert sind, sind ein Vorläufer von Controlled Unclassified Information (CUI) im Sinne des National Archives (NARA)
Personenbezogene Daten aus der Europäischen Union (EU)

Die EU-Datenschutz-Grundverordnung (DSGVO) definiert personenbezogene Daten als alle Informationen, die eine natürliche Person direkt oder indirekt anhand einer Kennung identifizieren können, einschließlich

  • Name
  • Eine Identifikationsnummer
  • Standortdaten
  • Eine Online-Kennung
  • Ein oder mehrere Faktoren, die spezifisch für die physische, physiologische, genetische, mentale, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person sind

Alle personenbezogenen Daten, die von Personen in Ländern des Europäischen Wirtschaftsraums (EWR) erhoben werden, unterliegen der DSGVO. Bei Fragen senden Sie eine E-Mail an [email protected].

Versionsgeschichte

Version Veröffentlicht Autor Beschreibung
0.1 07/02/2008 Doug Markiewicz Ursprünglicher Entwurf
0.2 09/25/2008 Doug Markiewicz Ersetzte den Kategorisierungsabschnitt durch Datensammlungen und fügte Abschnitte zur Neuklassifizierung und Berechnung von Klassifikationen hinzu.
0.3 10/20/2008 Doug Markiewicz Abschnitt zur Berechnung von Klassifikationen aufgrund von Fehlern im ursprünglichen System neu geschrieben. Aktualisierter Zweck, Gilt für und Definitionen.
0.4 11/04/2008 Doug Markiewicz Hat die Gleichung entfernt, die Definition öffentlicher Daten geringfügig aktualisiert und zusätzliche Informationen aktualisiert. Anhang A so sortiert, dass die Begriffe in alphabetischer Reihenfolge angezeigt werden, und abgedeckte Finanzinformationen als Begriff hinzugefügt.
0.5 02/20/2009 Doug Markiewicz Fügte dem letzten in Anhang A Definition G aufgelisteten Bezeichner eine fehlende Aufzählung hinzu.
0.6 02/26/2009 Doug Markiewicz Verschiedene Updates basierend auf Feedback. Zu den wichtigsten Änderungen gehören das Hinzufügen von ‚Data Steward‘ zu den Definitionen, das Hinzufügen von Verweisen auf Verantwortlichkeiten für Informationssicherheitsrollen & und das Hinzufügen von Bundessteuerinformationen zu Anhang A.
0.7 03/18/2009 Doug Markiewicz Aktualisierte Definition von PHI in Anhang A, um auf die HIPAA-Informationssicherheitsrichtlinie zu verweisen. Authentifizierungsüberprüfer zu Anhang A hinzugefügt.
0.8 09/17/2009 Doug Markiewicz Aktualisiert Angewendet, um die Konsistenz mit verwandten Publikationen zu gewährleisten. Bildungsunterlagen aus Anhang A gemäß Empfehlung des General Counsel entfernt. Aktualisierte persönlich identifizierbare Bildungsdatensätze in Anhang A, um auf die Richtlinie zu den Datenschutzrechten von Schülern zu verweisen.
0.9 01/22/2010 Doug Markiewicz Anhang A wurde aktualisiert, um exportkontrollierte Materialien aufzunehmen.
1.0 09/15/2011 Doug Markiewicz Aktualisierte Definition geschützter Gesundheitsinformationen, um sie an die neue HIPAA-Richtlinie anzupassen. ENTWURF der Bezeichnung entfernt.
1.1 04/07/2015 Laura Raderman

Anhang A wurde aktualisiert, um kontrollierte technische Informationen aufzunehmen.

1.2 03/20/2018 Laura Raderman

Anhang A wurde aktualisiert, um FOUO und CUI aufzunehmen.

1.3 05/23/2018 Mary Ann Blair

Anhang A wurde aktualisiert, um personenbezogene Daten aus der Europäischen Union aufzunehmen

Status: Veröffentlicht
Veröffentlicht: 07/02/2008
Zuletzt überprüft: 05/23/2018
Zuletzt aktualisiert: 05/23/2018

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Previous post Wie die Amish unversichert leben, aber gesund bleiben
Next post Der andere Karmann Ghia von Volkswagen: der Typ 34