Objet
La présente Ligne directrice vise à établir un cadre de classification des données institutionnelles en fonction de leur niveau de sensibilité, de valeur et de criticité pour l’Université, conformément à la Politique de sécurité de l’Information de l’Université. La classification des données aidera à déterminer les contrôles de sécurité de base pour la protection des données.
S’applique à
Cette Politique s’applique à tous les professeurs, employés et agents tiers de l’Université ainsi qu’à tout autre affilié universitaire autorisé à accéder aux Données institutionnelles. En particulier, cette Ligne directrice s’applique à ceux qui sont responsables de la classification et de la protection des Données institutionnelles, telles que définies par les Rôles et responsabilités en matière de sécurité de l’information.
Définitions
Les données confidentielles sont un terme généralisé qui représente généralement des données classées comme restreintes, selon le schéma de classification des données défini dans la présente ligne directrice. Ce terme est souvent utilisé de manière interchangeable avec les données sensibles.
Un responsable des données est un employé de niveau supérieur de l’Université qui supervise le cycle de vie d’un ou plusieurs ensembles de données institutionnelles. Consultez les Rôles et responsabilités en matière de sécurité de l’information pour plus d’informations.
Les données institutionnelles sont définies comme toutes les données détenues ou autorisées par l’Université.
L’information non publique est définie comme toute information classée comme Information privée ou restreinte selon le schéma de classification des données défini dans la présente Ligne directrice.
Les données sensibles sont un terme généralisé qui représente généralement des données classées comme restreintes, selon le schéma de classification des données défini dans la présente ligne directrice. Ce terme est souvent utilisé de manière interchangeable avec des données confidentielles.
Classification des données
La classification des données, dans le contexte de la sécurité de l’information, est la classification des données en fonction de leur niveau de sensibilité et de l’impact pour l’Université si ces données étaient divulguées, modifiées ou détruites sans autorisation. La classification des données permet de déterminer quels contrôles de sécurité de base sont appropriés pour protéger ces données. Toutes les données institutionnelles doivent être classées dans l’un des trois niveaux de sensibilité, ou classifications:
Classification | Définition |
Les données restreintes | devraient être classées comme restreintes lorsque la divulgation, la modification ou la destruction non autorisées de ces données pourraient entraîner un niveau de risque important pour l’Université ou ses affiliés. Des exemples de données restreintes incluent les données protégées par les réglementations nationales ou fédérales en matière de confidentialité et les données protégées par des accords de confidentialité. Le plus haut niveau de contrôles de sécurité devrait être appliqué aux données restreintes. |
Les données privées | doivent être classées comme privées lorsque la divulgation, la modification ou la destruction non autorisées de ces données pourraient entraîner un niveau de risque modéré pour l’Université ou ses affiliés. Par défaut, toutes les Données institutionnelles qui ne sont pas explicitement classées comme des données restreintes ou publiques doivent être traitées comme des données privées. Un niveau raisonnable de contrôles de sécurité devrait être appliqué aux données privées. |
Public | Les données doivent être classées comme publiques lorsque la divulgation, la modification ou la destruction non autorisées de ces données entraînerait peu ou pas de risque pour l’Université et ses affiliés. Des exemples de données publiques comprennent des communiqués de presse, des informations sur les cours et des publications de recherche. Bien que peu ou pas de contrôles soient nécessaires pour protéger la confidentialité des données publiques, un certain niveau de contrôle est nécessaire pour empêcher toute modification ou destruction non autorisée des données publiques. |
La classification des données doit être effectuée par un gestionnaire de données approprié. Les responsables des données sont des employés de niveau supérieur de l’Université qui supervisent le cycle de vie d’un ou plusieurs ensembles de données institutionnelles. Voir Rôles et responsabilités en matière de sécurité de l’information pour plus d’informations sur le rôle de responsable des données et les responsabilités associées.
Collections de données
Les gestionnaires de données peuvent souhaiter attribuer une classification unique à une collection de données ayant un but ou une fonction communs. Lors de la classification d’une collection de données, la classification la plus restrictive de l’un des éléments de données individuels doit être utilisée. Par exemple, si une collecte de données comprend le nom, l’adresse et le numéro de sécurité sociale d’un étudiant, la collecte de données doit être classée comme restreinte même si le nom et l’adresse de l’étudiant peuvent être considérés comme des informations publiques.
Reclassement
Sur une base périodique, il est important de réévaluer la classification des données institutionnelles pour s’assurer que la classification attribuée est toujours appropriée en fonction des modifications apportées aux obligations légales et contractuelles ainsi que des modifications de l’utilisation des données ou de leur valeur pour l’Université. Cette évaluation devrait être effectuée par le responsable des données approprié. Il est recommandé de procéder à une évaluation sur une base annuelle; cependant, le responsable des données devrait déterminer la fréquence la plus appropriée en fonction des ressources disponibles. Si un gestionnaire de données détermine que la classification d’un certain ensemble de données a changé, une analyse des contrôles de sécurité doit être effectuée pour déterminer si les contrôles existants sont compatibles avec la nouvelle classification. Si des lacunes sont constatées dans les contrôles de sécurité existants, elles devraient être corrigées en temps opportun, en fonction du niveau de risque présenté par les lacunes.
Calcul de la classification
L’objectif de la sécurité de l’information, tel qu’énoncé dans la Politique de sécurité de l’information de l’Université, est de protéger la confidentialité, l’intégrité et la disponibilité des Données institutionnelles. La classification des données reflète le niveau d’impact pour l’Université si la confidentialité, l’intégrité ou la disponibilité est compromise.
Malheureusement, il n’existe pas de système quantitatif parfait pour calculer la classification d’un élément de données particulier. Dans certaines situations, la classification appropriée peut être plus évidente, par exemple lorsque les lois fédérales exigent que l’Université protège certains types de données (par exemple, les informations personnelles identifiables). Si la classification appropriée n’est pas intrinsèquement évidente, considérez chaque objectif de sécurité en utilisant le tableau suivant comme guide. Il s’agit d’un extrait de la publication 199 des Normes fédérales de traitement de l’information (FIPS) publiée par le National Institute of Standards and Technology, qui traite de la catégorisation des systèmes d’information et d’information.
IMPACT POTENTIEL | |||
Objectif de sécurité | FAIBLE | MODÉRÉ | ÉLEVÉ |
Confidentialité Préserver les restrictions autorisées à l’accès et à la divulgation de l’information, y compris les moyens de protéger la vie privée et les informations exclusives. |
On pourrait s’attendre à ce que la divulgation non autorisée de renseignements ait un effet négatif limité sur les opérations organisationnelles, les actifs organisationnels ou les individus. | On peut s’attendre à ce que la divulgation non autorisée de renseignements ait un effet néfaste grave sur les opérations de l’organisation, les actifs de l’organisation ou les individus. | On peut s’attendre à ce que la divulgation non autorisée de renseignements ait un effet négatif grave ou catastrophique sur les opérations organisationnelles, les actifs organisationnels ou les individus. |
Intégrité Protéger contre la modification ou la destruction inappropriée des informations, et notamment assurer la non-répudiation et l’authenticité des informations. |
On peut s’attendre à ce que la modification ou la destruction non autorisée de l’information ait un effet négatif limité sur les opérations organisationnelles, les actifs organisationnels ou les individus. | On peut s’attendre à ce que la modification ou la destruction non autorisée de l’information ait un effet négatif grave sur les opérations organisationnelles, les actifs organisationnels ou les individus. | On peut s’attendre à ce que la modification ou la destruction non autorisée de l’information ait un effet négatif grave ou catastrophique sur les opérations organisationnelles, les actifs organisationnels ou les individus. |
Disponibilité Assurer un accès et une utilisation rapides et fiables de l’information. |
La perturbation de l’accès ou de l’utilisation de l’information ou d’un système d’information pourrait avoir un effet négatif limité sur les opérations organisationnelles, les actifs organisationnels ou les individus. | La perturbation de l’accès ou de l’utilisation de l’information ou d’un système d’information pourrait avoir un effet négatif grave sur les opérations organisationnelles, les actifs organisationnels ou les individus. | La perturbation de l’accès ou de l’utilisation de l’information ou d’un système d’information pourrait avoir un effet négatif grave ou catastrophique sur les opérations organisationnelles, les actifs organisationnels ou les individus. |
À mesure que l’impact potentiel total pour l’Université passe de Faible à élevé, la classification des données devrait devenir plus restrictive, passant du public au Restreint. Si une classification appropriée n’est toujours pas claire après avoir examiné ces points, contactez le Bureau de la sécurité de l’information pour obtenir de l’aide.
Annexe A – Types prédéfinis d’Informations restreintes
Le Bureau de la sécurité de l’information et le Bureau des avocats généraux ont défini plusieurs types de données restreintes en fonction des exigences réglementaires des États et du gouvernement fédéral. Ils sont définis comme suit:
Vérificateur d’Authentification | |
Un vérificateur d’authentification est une information qui est gardée confidentielle par une personne et utilisée pour prouver que la personne est ce qu’elle dit être. Dans certains cas, un vérificateur d’authentification peut être partagé entre un petit groupe d’individus. Un vérificateur d’authentification peut également être utilisé pour prouver l’identité d’un système ou d’un service. Les exemples incluent, mais ne sont pas limités à:
|
|
Informations Financières Couvertes | |
Voir le Programme de sécurité de l’information Gramm-Leach-Bliley de l’Université. | |
Informations de Santé Protégées par voie électronique ( » EPHI ») | |
EPHI est défini comme toute Information de santé protégée ( » RPS « ) stockée ou transmise par des supports électroniques. Aux fins de cette définition, les médias électroniques comprennent:
|
|
Matières Contrôlées À l’exportation | |
Les matériaux contrôlés à l’exportation sont définis comme toute information ou tout matériel soumis à la réglementation américaine sur le contrôle des exportations, y compris, mais sans s’y limiter, le Export Administration Regulations (EAR) publié par les États-Unis. Département du Commerce et Règlement sur le Trafic international des Armes (ITAR) publié par le Département d’État des États-Unis. Consultez la FAQ du Bureau de l’intégrité de la recherche et de la conformité sur le contrôle des exportations pour plus d’informations. |
|
Informations fiscales fédérales (« FTI ») | |
FTI est défini comme toute déclaration, information de retour ou information de déclaration de contribuable qui est confiée à l’Université par l’Internal Revenue Services. Voir la publication 1075 de l’Internal Revenue Service, pièce 2, pour plus d’informations. | |
Informations Sur la Carte de Paiement | |
Les informations de carte de paiement sont définies comme un numéro de carte de crédit (également appelé numéro de compte principal ou PAN) en combinaison avec un ou plusieurs des éléments de données suivants:
Paiement Les informations sur la carte sont également régies par la Politique et les directives PCI DSS de l’Université (connexion requise). |
|
Dossiers D’Éducation Personnellement Identifiables | |
Les dossiers d’éducation personnellement identifiables sont définis comme tout Dossier d’éducation contenant un ou plusieurs des identifiants personnels suivants:
Voir la Politique de Carnegie Mellon sur les droits à la vie privée des étudiants pour plus d’informations sur ce qui constitue un Dossier scolaire. |
|
Informations Personnelles Identifiables | |
Afin de répondre aux exigences de notification de violation de sécurité, les IPI sont définies comme le prénom ou la première initiale et le nom d’une personne en combinaison avec un ou plusieurs des éléments de données suivants:
|
|
Informations de santé protégées ( » PHI ») | |
Les RPS sont définies comme des » informations de santé identifiables individuellement » transmises par des médias électroniques, conservées dans des médias électroniques ou transmis ou maintenu sous toute autre forme ou support par un Composant couvert, tel que défini dans la Politique HIPAA de Carnegie Mellon. Le PHI est considéré comme identifiable individuellement s’il contient un ou plusieurs des identifiants suivants:
Selon la politique HIPAA de Carnegie Mellon, les RPS n’incluent pas les dossiers d’éducation ou de traitement couverts par la Loi sur les droits à l’éducation familiale et la protection des renseignements personnels ou les dossiers d’emploi détenus par l’Université en tant qu’employeur. |
|
Informations Techniques contrôlées ( » CTI ») | |
Informations techniques contrôlées signifie « informations techniques à application militaire ou spatiale qui sont soumises à des contrôles d’accès, d’utilisation, de reproduction, de modification, de performance, d’affichage, de diffusion, de divulgation ou de diffusion » selon DFARS 252.204-7012. | |
Pour Usage Officiel Uniquement (« FOUO ») | |
Les documents et données étiquetés ou marqués Pour un Usage officiel uniquement sont un pré-curseur d’Informations Non Classifiées Contrôlées (CUI) telles que définies par les Archives Nationales (NARA) | |
Données personnelles de l’Union Européenne (UE) | |
Le Règlement Général sur la Protection des Données (RGPD) de l’UE définit les données personnelles comme toute information permettant d’identifier une personne physique, directement ou indirectement, par référence à un identifiant comprenant
Toutes les données personnelles collectées auprès de personnes physiques dans des pays de l’Espace économique européen (EEE) sont soumises au RGPD. Pour toute question, envoyez un e-mail à [email protected] . |
Historique des Révisions
Version | Publiée | Auteur | Description |
0.1 | 07/02/2008 | Doug Markiewicz | Brouillon original |
0.2 | 09/25/2008 | Doug Markiewicz | a remplacé la section de catégorisation par des collections de données et a ajouté des sections sur la reclassification et le calcul des classifications. |
0.3 | 10/20/2008 | Doug Markiewicz | A réécrit la section sur le calcul des classifications en raison de défauts dans le système d’origine. Objectif mis À jour, S’applique À et Définitions. |
0.4 | 11/04/2008 | Doug Markiewicz | A supprimé l’équation, a apporté une mise à jour mineure à la définition des données publiques et a mis à jour des informations supplémentaires. Tri de l’annexe A afin que les termes apparaissent par ordre alphabétique et que les informations financières couvertes soient ajoutées en tant que terme. |
0.5 | 02/20/2009 | Doug Markiewicz | A ajouté une puce manquante au dernier identifiant répertorié dans la définition G de l’annexe A. La définition elle-même n’a pas été modifiée. |
0.6 | 02/26/2009 | Doug Markiewicz | Diverses mises à jour basées sur les commentaires. Parmi les changements majeurs, mentionnons l’ajout d’un » Responsable des données » aux définitions, l’ajout de références aux rôles de sécurité de l’information & Responsabilités et l’ajout de renseignements fiscaux fédéraux à l’annexe A. |
0.7 | 03/18/2009 | Doug Markiewicz | A mis à jour la définition de PHI à l’annexe A pour faire référence à la Politique de sécurité de l’information HIPAA. Ajout du Vérificateur d’authentification à l’annexe A. |
0.8 | 09/17/2009 | Doug Markiewicz | Mise à jour Appliquée à la cohérence avec les publications connexes. Suppression des dossiers de scolarité de l’annexe A conformément à la recommandation de l’avocat général. Mise à jour des Dossiers d’éducation personnellement identifiables à l’Annexe A pour faire référence à la Politique sur les droits à la vie privée des élèves. |
0.9 | 01/22/2010 | Doug Markiewicz | A mis à jour l’Annexe A pour inclure les Matières contrôlées pour l’exportation. |
1.0 | 09/15/2011 | Doug Markiewicz | Mise à jour de la définition des Informations de santé protégées pour s’aligner sur la nouvelle politique HIPAA. PROJET de désignation supprimé. |
1.1 | 04/07/2015 | Laura Raderman |
A mis à jour l’Annexe A pour inclure des Informations techniques contrôlées. |
1.2 | 03/20/2018 | Laura Raderman |
A mis à jour l’annexe A pour inclure FOUO et CUI. |
1.3 | 05/23/2018 | Mary Ann Blair |
Mise à jour de l’Annexe A pour inclure les Données personnelles de l’Union Européenne |
Statut: | Publié |
Publié: | 07/02/2008 |
Dernière Révision: | 05/23/2018 |
Dernière Mise à Jour: | 05/23/2018 |