Propósito
El propósito de esta Guía es establecer un marco para clasificar los datos institucionales en función de su nivel de sensibilidad, valor y criticidad para la Universidad, según lo requiera la Política de Seguridad de la Información de la Universidad. La clasificación de los datos ayudará a determinar los controles de seguridad de referencia para la protección de los datos.
Se aplica a
Esta Política se aplica a todos los profesores, el personal y los Agentes externos de la Universidad, así como a cualquier otra filial de la Universidad que esté autorizada a acceder a los Datos Institucionales. En particular, esta Directriz se aplica a quienes son responsables de clasificar y proteger los Datos Institucionales, tal como se definen en las Funciones y Responsabilidades de Seguridad de la Información.
Definiciones
Los datos confidenciales son un término generalizado que típicamente representa datos clasificados como Restringidos, de acuerdo con el esquema de clasificación de datos definido en esta Guía. Este término se utiliza a menudo indistintamente con datos confidenciales.
Un Administrador de Datos es un empleado de nivel superior de la Universidad que supervisa el ciclo de vida de uno o más conjuntos de Datos Institucionales. Consulte las Funciones y Responsabilidades de Seguridad de la información para obtener más información.
Los datos institucionales se definen como todos los datos propiedad o licenciados por la Universidad.
La información no pública se define como cualquier información clasificada como Información Privada o Restringida de acuerdo con el esquema de clasificación de datos definido en la presente Orientación.
Los datos sensibles son un término generalizado que típicamente representa datos clasificados como Restringidos, de acuerdo con el esquema de clasificación de datos definido en esta Guía. Este término se utiliza a menudo indistintamente con datos confidenciales.
Clasificación de datos
La clasificación de datos, en el contexto de la seguridad de la información, es la clasificación de datos basada en su nivel de sensibilidad y el impacto para la Universidad si los datos se divulgan, alteran o destruyen sin autorización. La clasificación de los datos ayuda a determinar qué controles de seguridad de referencia son adecuados para salvaguardar esos datos. Todos los datos institucionales deben clasificarse en uno de los tres niveles de sensibilidad o clasificaciones:
Clasificación | Definición |
Restringido | Los datos deben clasificarse como restringidos cuando la divulgación, alteración o destrucción no autorizada de esos datos pueda causar un nivel significativo de riesgo para la Universidad o sus filiales. Ejemplos de datos restringidos incluyen datos protegidos por regulaciones de privacidad estatales o federales y datos protegidos por acuerdos de confidencialidad. A los datos restringidos deben aplicarse los controles de seguridad más estrictos. |
Los datos privados | deben clasificarse como Privados cuando la divulgación, alteración o destrucción no autorizada de esos datos pueda dar lugar a un nivel moderado de riesgo para la Universidad o sus filiales. De forma predeterminada, todos los Datos Institucionales que no se clasifiquen explícitamente como datos restringidos o públicos deben tratarse como datos privados. Se debe aplicar un nivel razonable de controles de seguridad a los datos privados. |
Los datos públicos | deben clasificarse como Públicos cuando la divulgación, alteración o destrucción no autorizada de esos datos resulte en poco o ningún riesgo para la Universidad y sus afiliados. Entre los ejemplos de datos públicos figuran comunicados de prensa, información sobre cursos y publicaciones de investigación. Si bien se requieren pocos o ningún control para proteger la confidencialidad de los datos públicos, se requiere cierto nivel de control para impedir la modificación o destrucción no autorizadas de los datos públicos. |
La clasificación de los datos debe ser realizada por un Administrador de datos apropiado. Los Administradores de datos son empleados de alto nivel de la Universidad que supervisan el ciclo de vida de uno o más conjuntos de Datos Institucionales. Consulte Roles y Responsabilidades de Seguridad de la información para obtener más información sobre el rol de Administrador de datos y las responsabilidades asociadas.
Colecciones de datos
Los administradores de datos pueden asignar una clasificación única a una colección de datos que sea común en su propósito o función. Al clasificar una colección de datos, se debe utilizar la clasificación más restrictiva de cualquiera de los elementos de datos individuales. Por ejemplo, si una recopilación de datos consiste en el nombre, la dirección y el número de seguro social de un estudiante, la recopilación de datos debe clasificarse como Restringida, aunque el nombre y la dirección del estudiante puedan considerarse información pública.
Reclasificación
De forma periódica, es importante reevaluar la clasificación de los Datos Institucionales para garantizar que la clasificación asignada siga siendo adecuada en función de los cambios en las obligaciones legales y contractuales, así como de los cambios en el uso de los datos o su valor para la Universidad. Esta evaluación debe ser realizada por el Administrador de datos apropiado. Se recomienda realizar una evaluación anual; sin embargo, el Administrador de Datos debe determinar la frecuencia más apropiada en función de los recursos disponibles. Si un Administrador de datos determina que la clasificación de un determinado conjunto de datos ha cambiado, se debe realizar un análisis de los controles de seguridad para determinar si los controles existentes son coherentes con la nueva clasificación. Si se detectan deficiencias en los controles de seguridad existentes, éstas deben corregirse oportunamente, en consonancia con el nivel de riesgo que presenten.
Cálculo de Clasificación
El objetivo de la seguridad de la información, tal y como se establece en la Política de Seguridad de la Información de la Universidad, es proteger la confidencialidad, integridad y disponibilidad de los Datos Institucionales. La clasificación de los datos refleja el nivel de impacto para la Universidad si se compromete la confidencialidad, la integridad o la disponibilidad.
Desafortunadamente no existe un sistema cuantitativo perfecto para calcular la clasificación de un elemento de datos en particular. En algunas situaciones, la clasificación apropiada puede ser más obvia, como cuando las leyes federales requieren que la Universidad proteja ciertos tipos de datos (por ejemplo, información de identificación personal). Si la clasificación adecuada no es intrínsecamente obvia, considere cada objetivo de seguridad utilizando la siguiente tabla como guía. Es un extracto de la publicación 199 de las Normas Federales de Procesamiento de Información (FIPS, por sus siglas en inglés), publicada por el Instituto Nacional de Normas y Tecnología, que analiza la categorización de la información y los sistemas de información.
IMPACTO POTENCIAL | |||
Objetivo de seguridad | BAJO | MODERADO | ALTO |
Confidencialidad Preservar las restricciones autorizadas al acceso y divulgación de la información, incluidos los medios para proteger la privacidad personal y la información de propiedad. |
Cabe esperar que la divulgación no autorizada de información tenga un efecto adverso limitado en las operaciones de la organización, los activos de la organización o las personas. | Cabe esperar que la divulgación no autorizada de información tenga un efecto adverso grave en las operaciones de la organización, los activos de la organización o las personas. | Cabe esperar que la divulgación no autorizada de información tenga un efecto adverso grave o catastrófico en las operaciones de la organización, los activos de la organización o las personas. |
Integridad Protección contra la modificación o destrucción de información incorrecta, e incluye garantizar la autenticidad y no repudio de la información. |
Cabe esperar que la modificación o destrucción no autorizadas de información tenga un efecto adverso limitado en las operaciones, los activos o las personas de la organización. | Cabe esperar que la modificación o destrucción no autorizadas de información tenga un efecto adverso grave en las operaciones, los bienes o las personas de la organización. | Cabe esperar que la modificación o destrucción no autorizada de información tenga un efecto adverso grave o catastrófico en las operaciones, los activos o las personas de la organización. |
Disponibilidad Garantizar el acceso oportuno y fiable a la información y su uso. |
Cabe esperar que la interrupción del acceso a la información o a un sistema de información o su uso tenga un efecto adverso limitado en las operaciones de la organización, los activos de la organización o las personas. | Cabe esperar que la interrupción del acceso a la información o a un sistema de información o de su uso tenga un efecto adverso grave en las operaciones de la organización, los activos de la organización o las personas. | La interrupción del acceso a la información o a un sistema de información o su uso podría tener un efecto adverso grave o catastrófico en las operaciones de la organización, los activos de la organización o las personas. |
A medida que el impacto potencial total para la Universidad aumenta de Bajo a Alto, la clasificación de los datos debería ser más restrictiva, pasando de Pública a Restringida. Si una clasificación apropiada aún no está clara después de considerar estos puntos, comuníquese con la Oficina de Seguridad de la Información para obtener asistencia.
Apéndice A – Tipos Predefinidos de Información Restringida
La Oficina de Seguridad de la Información y la Oficina del Asesor General han definido varios tipos de datos restringidos en función de los requisitos reglamentarios estatales y federales. Se definen de la siguiente manera:
Verificador de Autenticación | |
Un Verificador de autenticación es una pieza de información que un individuo mantiene en secreto y que se utiliza para demostrar que la persona es quien dice ser. En algunos casos, un Verificador de autenticación puede compartirse entre un pequeño grupo de personas. También podrá utilizarse un verificador de autenticación para probar la identidad de un sistema o servicio. Los ejemplos incluyen, pero no se limitan a::
|
|
Información Financiera Cubierta | |
Consulte el Programa de Seguridad de la Información Gramm-Leach-Bliley de la Universidad. | |
Información Médica Protegida Electrónica («EPHI») | |
EPHI se define como cualquier Información de Salud Protegida («PHI») que se almacena o transmite por medios electrónicos. A los efectos de esta definición, los medios electrónicos incluyen::
|
|
Materiales Controlados para la Exportación | |
Los Materiales Controlados para la Exportación se definen como cualquier información o material que esté sujeto a las regulaciones de control de exportaciones de los Estados Unidos, incluidas, entre otras, las Regulaciones de Administración de Exportaciones (EAR, por sus siglas en inglés) publicadas por los Estados Unidos. Department of Commerce and the International Traffic in Arms Regulations (AR) publicado por el Departamento de Estado de los Estados Unidos. Consulte las Preguntas frecuentes sobre Control de Exportaciones de la Oficina de Integridad de la Investigación y Cumplimiento para obtener más información. |
|
Información de Impuestos Federales («FTI») | |
FTI se define como cualquier declaración, información de declaración o información de declaración de contribuyente que el Servicio de Impuestos Internos confíe a la Universidad. Consulte la Publicación 1075 del Servicio de Impuestos Internos, Anexo 2, para obtener más información. | |
Información de la Tarjeta de Pago | |
La información de la tarjeta de pago se define como un número de tarjeta de crédito (también conocido como número de cuenta principal o PAN) en combinación con uno o más de los siguientes elementos de datos:
Pago La información de la tarjeta también se rige por la Política y las Directrices de PCI DSS de la Universidad (se requiere inicio de sesión). |
|
Registros Educativos de Identificación Personal | |
Los Registros Educativos de Identificación Personal se definen como cualquier Registro Educativo que contenga uno o más de los siguientes identificadores personales:
Consulte la Política de Carnegie Mellon sobre los Derechos de Privacidad del Estudiante para obtener más información sobre lo que constituye un Expediente Educativo. |
|
Información de Identificación Personal | |
Con el fin de cumplir con los requisitos de notificación de violaciones de seguridad, la PII se define como el nombre de una persona o la primera inicial y el apellido en combinación con uno o más de los siguientes elementos de datos:
|
|
Información de Salud Protegida («PHI») | |
La PHI se define como «información de salud identificable individualmente» transmitida por medios electrónicos, mantenida en medios electrónicos o transmitido o mantenido en cualquier otra forma o medio por un Componente Cubierto, como se define en la Póliza HIPAA de Carnegie Mellon. La PHI se considera identificable individualmente si contiene uno o más de los siguientes identificadores:
Según la Póliza HIPAA de Carnegie Mellon, la PHI no incluye registros educativos ni registros de tratamiento cubiertos por la Ley de Derechos Educativos y Privacidad de la Familia o los registros de empleo en poder de la Universidad en su papel de empleador. |
|
Información Técnica Controlada («CTI») | |
Información Técnica Controlada significa «información técnica con aplicaciones militares o espaciales que está sujeta a controles sobre el acceso, uso, reproducción, modificación, rendimiento, exhibición, publicación, divulgación o difusión» según DFARS 252.204-7012. | |
Para Uso Oficial («FOUO») | |
Los documentos y datos etiquetados o marcados Solo para Uso Oficial son un pre-cursor de Información No Clasificada Controlada (CUI) según lo definido por los Archivos Nacionales (NARA) | |
Datos Personales de la Unión Europea (UE) | |
El Reglamento General de Protección de Datos (RGPD) de la UE define los datos personales como cualquier información que pueda identificar a una persona física, directa o indirectamente, por referencia a un identificador que incluye
Cualquier dato personal que se recopile de personas en países del Espacio Económico Europeo (EEE) está sujeto al RGPD. Para preguntas, envíe un correo electrónico a [email protected]. |
Historial de Revisiones
Versión | Publicado | Autor | Descripción |
0.1 | 07/02/2008 | Doug Markiewicz | Borrador original |
0.2 | 09/25/2008 | Doug Markiewicz | Reemplazó la sección de Categorización por Colecciones de Datos y agregó secciones sobre Reclasificación y Cálculo de Clasificaciones. |
0.3 | 10/20/2008 | Doug Markiewicz | Reescribió la sección sobre el Cálculo de clasificaciones debido a fallas en el sistema original. Propósito Actualizado, Se Aplica A y Definiciones. |
0.4 | 11/04/2008 | Doug Markiewicz | Eliminó la ecuación, realizó una actualización menor de la definición de Datos Públicos e Información Adicional actualizada. Apéndice A ordenado de manera que los términos aparezcan en orden alfabético y agregado Información Financiera Cubierta como un término. |
0.5 | 02/20/2009 | Doug Markiewicz | Agregó una viñeta faltante al último identificador listado en la Definición G del Apéndice A. La definición en sí no se modificó. |
0.6 | 02/26/2009 | Doug Markiewicz | Varias actualizaciones basadas en la Retroalimentación. Los cambios principales incluyen agregar «Administrador de Datos» a las Definiciones, agregar referencias a las Responsabilidades de los Roles de Seguridad de la Información & y agregar Información de Impuestos Federales al Apéndice A. |
0.7 | 03/18/2009 | Doug Markiewicz | Definición actualizada de PHI en el Apéndice A para hacer referencia a la Política de Seguridad de la Información de HIPAA. Añadido Verificador de Autenticación al Apéndice A. |
0.8 | 09/17/2009 | Doug Markiewicz | Actualizado Aplicado a por coherencia con publicaciones relacionadas. Se eliminaron los Registros Educativos del Apéndice A por recomendación del Asesor Jurídico General. Registros Educativos de Identificación Personal Actualizados en el Apéndice A para hacer referencia a la Política sobre los Derechos de Privacidad de los Estudiantes. |
0.9 | 01/22/2010 | Doug Markiewicz | Actualizó el Apéndice A para incluir Materiales Controlados para la Exportación. |
1.0 | 09/15/2011 | Doug Markiewicz | definición Actualizada de la Información de Salud Protegida para alinearse con la nueva Política HIPAA. Se ha eliminado la designación de BORRADOR. |
1.1 | 04/07/2015 | Laura Raderman |
Actualizada el Apéndice a se incluyen Controlada de Información Técnica. |
1.2 | 03/20/2018 | Laura Raderman |
Actualizó el apéndice A para incluir FOUO y CUI. |
1.3 | 05/23/2018 | Mary Ann Blair |
Actualizada el Apéndice a se incluyen los Datos Personales de la Unión Europea |
Estado: | Publicado |
Publicado: | 07/02/2008 |
La Última Revisión: | 05/23/2018 |
Última Actualización: | 05/23/2018 |