Bureau de la sécurité de l’information

Objet

La présente Ligne directrice vise à établir un cadre de classification des données institutionnelles en fonction de leur niveau de sensibilité, de valeur et de criticité pour l’Université, conformément à la Politique de sécurité de l’Information de l’Université. La classification des données aidera à déterminer les contrôles de sécurité de base pour la protection des données.

S’applique à

Cette Politique s’applique à tous les professeurs, employés et agents tiers de l’Université ainsi qu’à tout autre affilié universitaire autorisé à accéder aux Données institutionnelles. En particulier, cette Ligne directrice s’applique à ceux qui sont responsables de la classification et de la protection des Données institutionnelles, telles que définies par les Rôles et responsabilités en matière de sécurité de l’information.

Définitions

Les données confidentielles sont un terme généralisé qui représente généralement des données classées comme restreintes, selon le schéma de classification des données défini dans la présente ligne directrice. Ce terme est souvent utilisé de manière interchangeable avec les données sensibles.

Un responsable des données est un employé de niveau supérieur de l’Université qui supervise le cycle de vie d’un ou plusieurs ensembles de données institutionnelles. Consultez les Rôles et responsabilités en matière de sécurité de l’information pour plus d’informations.

Les données institutionnelles sont définies comme toutes les données détenues ou autorisées par l’Université.

L’information non publique est définie comme toute information classée comme Information privée ou restreinte selon le schéma de classification des données défini dans la présente Ligne directrice.

Les données sensibles sont un terme généralisé qui représente généralement des données classées comme restreintes, selon le schéma de classification des données défini dans la présente ligne directrice. Ce terme est souvent utilisé de manière interchangeable avec des données confidentielles.

Classification des données

La classification des données, dans le contexte de la sécurité de l’information, est la classification des données en fonction de leur niveau de sensibilité et de l’impact pour l’Université si ces données étaient divulguées, modifiées ou détruites sans autorisation. La classification des données permet de déterminer quels contrôles de sécurité de base sont appropriés pour protéger ces données. Toutes les données institutionnelles doivent être classées dans l’un des trois niveaux de sensibilité, ou classifications:

Classification Définition
Les données restreintes devraient être classées comme restreintes lorsque la divulgation, la modification ou la destruction non autorisées de ces données pourraient entraîner un niveau de risque important pour l’Université ou ses affiliés. Des exemples de données restreintes incluent les données protégées par les réglementations nationales ou fédérales en matière de confidentialité et les données protégées par des accords de confidentialité. Le plus haut niveau de contrôles de sécurité devrait être appliqué aux données restreintes.
Les données privées doivent être classées comme privées lorsque la divulgation, la modification ou la destruction non autorisées de ces données pourraient entraîner un niveau de risque modéré pour l’Université ou ses affiliés. Par défaut, toutes les Données institutionnelles qui ne sont pas explicitement classées comme des données restreintes ou publiques doivent être traitées comme des données privées. Un niveau raisonnable de contrôles de sécurité devrait être appliqué aux données privées.
Public Les données doivent être classées comme publiques lorsque la divulgation, la modification ou la destruction non autorisées de ces données entraînerait peu ou pas de risque pour l’Université et ses affiliés. Des exemples de données publiques comprennent des communiqués de presse, des informations sur les cours et des publications de recherche. Bien que peu ou pas de contrôles soient nécessaires pour protéger la confidentialité des données publiques, un certain niveau de contrôle est nécessaire pour empêcher toute modification ou destruction non autorisée des données publiques.

La classification des données doit être effectuée par un gestionnaire de données approprié. Les responsables des données sont des employés de niveau supérieur de l’Université qui supervisent le cycle de vie d’un ou plusieurs ensembles de données institutionnelles. Voir Rôles et responsabilités en matière de sécurité de l’information pour plus d’informations sur le rôle de responsable des données et les responsabilités associées.

Collections de données

Les gestionnaires de données peuvent souhaiter attribuer une classification unique à une collection de données ayant un but ou une fonction communs. Lors de la classification d’une collection de données, la classification la plus restrictive de l’un des éléments de données individuels doit être utilisée. Par exemple, si une collecte de données comprend le nom, l’adresse et le numéro de sécurité sociale d’un étudiant, la collecte de données doit être classée comme restreinte même si le nom et l’adresse de l’étudiant peuvent être considérés comme des informations publiques.

Reclassement

Sur une base périodique, il est important de réévaluer la classification des données institutionnelles pour s’assurer que la classification attribuée est toujours appropriée en fonction des modifications apportées aux obligations légales et contractuelles ainsi que des modifications de l’utilisation des données ou de leur valeur pour l’Université. Cette évaluation devrait être effectuée par le responsable des données approprié. Il est recommandé de procéder à une évaluation sur une base annuelle; cependant, le responsable des données devrait déterminer la fréquence la plus appropriée en fonction des ressources disponibles. Si un gestionnaire de données détermine que la classification d’un certain ensemble de données a changé, une analyse des contrôles de sécurité doit être effectuée pour déterminer si les contrôles existants sont compatibles avec la nouvelle classification. Si des lacunes sont constatées dans les contrôles de sécurité existants, elles devraient être corrigées en temps opportun, en fonction du niveau de risque présenté par les lacunes.

Calcul de la classification

L’objectif de la sécurité de l’information, tel qu’énoncé dans la Politique de sécurité de l’information de l’Université, est de protéger la confidentialité, l’intégrité et la disponibilité des Données institutionnelles. La classification des données reflète le niveau d’impact pour l’Université si la confidentialité, l’intégrité ou la disponibilité est compromise.

Malheureusement, il n’existe pas de système quantitatif parfait pour calculer la classification d’un élément de données particulier. Dans certaines situations, la classification appropriée peut être plus évidente, par exemple lorsque les lois fédérales exigent que l’Université protège certains types de données (par exemple, les informations personnelles identifiables). Si la classification appropriée n’est pas intrinsèquement évidente, considérez chaque objectif de sécurité en utilisant le tableau suivant comme guide. Il s’agit d’un extrait de la publication 199 des Normes fédérales de traitement de l’information (FIPS) publiée par le National Institute of Standards and Technology, qui traite de la catégorisation des systèmes d’information et d’information.

IMPACT POTENTIEL
Objectif de sécurité FAIBLE MODÉRÉ ÉLEVÉ
Confidentialité
Préserver les restrictions autorisées à l’accès et à la divulgation de l’information, y compris les moyens de protéger la vie privée et les informations exclusives.
On pourrait s’attendre à ce que la divulgation non autorisée de renseignements ait un effet négatif limité sur les opérations organisationnelles, les actifs organisationnels ou les individus. On peut s’attendre à ce que la divulgation non autorisée de renseignements ait un effet néfaste grave sur les opérations de l’organisation, les actifs de l’organisation ou les individus. On peut s’attendre à ce que la divulgation non autorisée de renseignements ait un effet négatif grave ou catastrophique sur les opérations organisationnelles, les actifs organisationnels ou les individus.
Intégrité
Protéger contre la modification ou la destruction inappropriée des informations, et notamment assurer la non-répudiation et l’authenticité des informations.
On peut s’attendre à ce que la modification ou la destruction non autorisée de l’information ait un effet négatif limité sur les opérations organisationnelles, les actifs organisationnels ou les individus. On peut s’attendre à ce que la modification ou la destruction non autorisée de l’information ait un effet négatif grave sur les opérations organisationnelles, les actifs organisationnels ou les individus. On peut s’attendre à ce que la modification ou la destruction non autorisée de l’information ait un effet négatif grave ou catastrophique sur les opérations organisationnelles, les actifs organisationnels ou les individus.
Disponibilité
Assurer un accès et une utilisation rapides et fiables de l’information.
La perturbation de l’accès ou de l’utilisation de l’information ou d’un système d’information pourrait avoir un effet négatif limité sur les opérations organisationnelles, les actifs organisationnels ou les individus. La perturbation de l’accès ou de l’utilisation de l’information ou d’un système d’information pourrait avoir un effet négatif grave sur les opérations organisationnelles, les actifs organisationnels ou les individus. La perturbation de l’accès ou de l’utilisation de l’information ou d’un système d’information pourrait avoir un effet négatif grave ou catastrophique sur les opérations organisationnelles, les actifs organisationnels ou les individus.

À mesure que l’impact potentiel total pour l’Université passe de Faible à élevé, la classification des données devrait devenir plus restrictive, passant du public au Restreint. Si une classification appropriée n’est toujours pas claire après avoir examiné ces points, contactez le Bureau de la sécurité de l’information pour obtenir de l’aide.

Annexe A – Types prédéfinis d’Informations restreintes

Le Bureau de la sécurité de l’information et le Bureau des avocats généraux ont défini plusieurs types de données restreintes en fonction des exigences réglementaires des États et du gouvernement fédéral. Ils sont définis comme suit:

Vérificateur d’Authentification
Un vérificateur d’authentification est une information qui est gardée confidentielle par une personne et utilisée pour prouver que la personne est ce qu’elle dit être. Dans certains cas, un vérificateur d’authentification peut être partagé entre un petit groupe d’individus. Un vérificateur d’authentification peut également être utilisé pour prouver l’identité d’un système ou d’un service. Les exemples incluent, mais ne sont pas limités à:

  • Mots de passe
  • Secrets partagés
  • Clés privées cryptographiques
Informations Financières Couvertes
Voir le Programme de sécurité de l’information Gramm-Leach-Bliley de l’Université.
Informations de Santé Protégées par voie électronique ( » EPHI »)
EPHI est défini comme toute Information de santé protégée ( » RPS « ) stockée ou transmise par des supports électroniques. Aux fins de cette définition, les médias électroniques comprennent:

  • Les supports de stockage électroniques comprennent les disques durs d’ordinateur et tout support de mémoire numérique amovible et / ou transportable, tel que la bande magnétique ou le disque, le disque optique ou la carte mémoire numérique.
  • Supports de transmission utilisés pour échanger des informations déjà dans des supports de stockage électroniques. Les supports de transmission comprennent, par exemple, Internet, un extranet (utilisant la technologie Internet pour relier une entreprise à des informations accessibles uniquement aux parties collaboratrices), des lignes louées, des lignes commutées, des réseaux privés et le mouvement physique de supports de stockage électroniques amovibles et / ou transportables. Certaines transmissions, y compris le papier, par télécopieur, et la voix, par téléphone, ne sont pas considérées comme des transmissions par support électronique car les informations échangées n’existaient pas sous forme électronique avant la transmission.
Matières Contrôlées À l’exportation

Les matériaux contrôlés à l’exportation sont définis comme toute information ou tout matériel soumis à la réglementation américaine sur le contrôle des exportations, y compris, mais sans s’y limiter, le Export Administration Regulations (EAR) publié par les États-Unis. Département du Commerce et Règlement sur le Trafic international des Armes (ITAR) publié par le Département d’État des États-Unis. Consultez la FAQ du Bureau de l’intégrité de la recherche et de la conformité sur le contrôle des exportations pour plus d’informations.

Informations fiscales fédérales (« FTI »)
FTI est défini comme toute déclaration, information de retour ou information de déclaration de contribuable qui est confiée à l’Université par l’Internal Revenue Services. Voir la publication 1075 de l’Internal Revenue Service, pièce 2, pour plus d’informations.
Informations Sur la Carte de Paiement

Les informations de carte de paiement sont définies comme un numéro de carte de crédit (également appelé numéro de compte principal ou PAN) en combinaison avec un ou plusieurs des éléments de données suivants:

  • Nom du titulaire de la carte
  • Code de service
  • Date d’expiration
  • Valeur CVC2, CVV2 ou CID
  • Code PIN ou bloc PIN
  • Contenu de la bande magnétique d’une carte de crédit

Paiement Les informations sur la carte sont également régies par la Politique et les directives PCI DSS de l’Université (connexion requise).

Dossiers D’Éducation Personnellement Identifiables
Les dossiers d’éducation personnellement identifiables sont définis comme tout Dossier d’éducation contenant un ou plusieurs des identifiants personnels suivants:

  • Nom de l’étudiant
  • Nom du ou des parents de l’étudiant ou d’un autre membre de la famille
  • Numéro de sécurité sociale
  • Numéro d’étudiant
  • Une liste de caractéristiques personnelles qui rendraient l’identité de l’étudiant facilement traçable
  • Toute autre information ou identifiant qui rendrait l’identité de l’étudiant facilement traçable

Voir la Politique de Carnegie Mellon sur les droits à la vie privée des étudiants pour plus d’informations sur ce qui constitue un Dossier scolaire.

Informations Personnelles Identifiables
Afin de répondre aux exigences de notification de violation de sécurité, les IPI sont définies comme le prénom ou la première initiale et le nom d’une personne en combinaison avec un ou plusieurs des éléments de données suivants:

  • Numéro de sécurité sociale
  • Numéro de permis de conduire délivré par l’État
  • Numéro de carte d’identité délivré par l’État
  • Numéro de compte financier associé à un code de sécurité, un code d’accès ou un mot de passe permettant l’accès au compte
  • Informations médicales et/ou d’assurance maladie
Informations de santé protégées ( » PHI »)
Les RPS sont définies comme des  » informations de santé identifiables individuellement  » transmises par des médias électroniques, conservées dans des médias électroniques ou transmis ou maintenu sous toute autre forme ou support par un Composant couvert, tel que défini dans la Politique HIPAA de Carnegie Mellon. Le PHI est considéré comme identifiable individuellement s’il contient un ou plusieurs des identifiants suivants:

  • Nom
  • Adresse (toutes les subdivisions géographiques plus petites que l’état, y compris l’adresse, la ville, le comté, le district ou le code postal)
  • Tous les éléments de dates (sauf l’année) liés à une personne, y compris la date de naissance, la date d’admission, la date de sortie, la date de décès et l’âge exact si plus de 89 ans)
  • Numéros de téléphone
  • Numéros de fax
  • Adresses de courrier électronique
  • Numéros de sécurité sociale
  • Numéros de dossier médical
  • Numéros de bénéficiaire du régime de santé
  • Numéros de compte
  • Certificat / licence numéros
  • Identificateurs de véhicules et numéros de série, y compris le numéro de plaque d’immatriculation
  • Identificateurs d’appareils et numéros de série
  • Localisateurs universels de ressources (URL)
  • Adresses IP (Internet protocol)
  • Identificateurs biométriques, y compris les empreintes digitales et vocales
  • Images photographiques intégrales et toutes images comparables
  • Tout autre numéro, caractéristique ou code d’identification unique qui pourrait identifier une personne

Selon la politique HIPAA de Carnegie Mellon, les RPS n’incluent pas les dossiers d’éducation ou de traitement couverts par la Loi sur les droits à l’éducation familiale et la protection des renseignements personnels ou les dossiers d’emploi détenus par l’Université en tant qu’employeur.

Informations Techniques contrôlées ( » CTI »)
Informations techniques contrôlées signifie « informations techniques à application militaire ou spatiale qui sont soumises à des contrôles d’accès, d’utilisation, de reproduction, de modification, de performance, d’affichage, de diffusion, de divulgation ou de diffusion  » selon DFARS 252.204-7012.
Pour Usage Officiel Uniquement (« FOUO »)
Les documents et données étiquetés ou marqués Pour un Usage officiel uniquement sont un pré-curseur d’Informations Non Classifiées Contrôlées (CUI) telles que définies par les Archives Nationales (NARA)
Données personnelles de l’Union Européenne (UE)

Le Règlement Général sur la Protection des Données (RGPD) de l’UE définit les données personnelles comme toute information permettant d’identifier une personne physique, directement ou indirectement, par référence à un identifiant comprenant

  • Nom
  • Un numéro d’identification
  • Données de localisation
  • Un identifiant en ligne
  • Un ou plusieurs facteurs spécifiques à l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique

Toutes les données personnelles collectées auprès de personnes physiques dans des pays de l’Espace économique européen (EEE) sont soumises au RGPD. Pour toute question, envoyez un e-mail à [email protected] .

Historique des Révisions

Version Publiée Auteur Description
0.1 07/02/2008 Doug Markiewicz Brouillon original
0.2 09/25/2008 Doug Markiewicz a remplacé la section de catégorisation par des collections de données et a ajouté des sections sur la reclassification et le calcul des classifications.
0.3 10/20/2008 Doug Markiewicz A réécrit la section sur le calcul des classifications en raison de défauts dans le système d’origine. Objectif mis À jour, S’applique À et Définitions.
0.4 11/04/2008 Doug Markiewicz A supprimé l’équation, a apporté une mise à jour mineure à la définition des données publiques et a mis à jour des informations supplémentaires. Tri de l’annexe A afin que les termes apparaissent par ordre alphabétique et que les informations financières couvertes soient ajoutées en tant que terme.
0.5 02/20/2009 Doug Markiewicz A ajouté une puce manquante au dernier identifiant répertorié dans la définition G de l’annexe A. La définition elle-même n’a pas été modifiée.
0.6 02/26/2009 Doug Markiewicz Diverses mises à jour basées sur les commentaires. Parmi les changements majeurs, mentionnons l’ajout d’un  » Responsable des données  » aux définitions, l’ajout de références aux rôles de sécurité de l’information & Responsabilités et l’ajout de renseignements fiscaux fédéraux à l’annexe A.
0.7 03/18/2009 Doug Markiewicz A mis à jour la définition de PHI à l’annexe A pour faire référence à la Politique de sécurité de l’information HIPAA. Ajout du Vérificateur d’authentification à l’annexe A.
0.8 09/17/2009 Doug Markiewicz Mise à jour Appliquée à la cohérence avec les publications connexes. Suppression des dossiers de scolarité de l’annexe A conformément à la recommandation de l’avocat général. Mise à jour des Dossiers d’éducation personnellement identifiables à l’Annexe A pour faire référence à la Politique sur les droits à la vie privée des élèves.
0.9 01/22/2010 Doug Markiewicz A mis à jour l’Annexe A pour inclure les Matières contrôlées pour l’exportation.
1.0 09/15/2011 Doug Markiewicz Mise à jour de la définition des Informations de santé protégées pour s’aligner sur la nouvelle politique HIPAA. PROJET de désignation supprimé.
1.1 04/07/2015 Laura Raderman

A mis à jour l’Annexe A pour inclure des Informations techniques contrôlées.

1.2 03/20/2018 Laura Raderman

A mis à jour l’annexe A pour inclure FOUO et CUI.

1.3 05/23/2018 Mary Ann Blair

Mise à jour de l’Annexe A pour inclure les Données personnelles de l’Union Européenne

Statut: Publié
Publié: 07/02/2008
Dernière Révision: 05/23/2018
Dernière Mise à Jour: 05/23/2018

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Previous post Comment Les Amish Vivent Sans Assurance Mais Restent En Bonne Santé
Next post L’Autre Karmann Ghia de Volkswagen: le Type 34