információbiztonsági Iroda

cél

ennek az iránymutatásnak az a célja, hogy keretet hozzon létre az intézményi adatok osztályozására az egyetem érzékenységének, értékének és kritikusságának szintje alapján, az egyetem információbiztonsági Politikája szerint. Az adatok osztályozása elősegíti az adatok védelmét szolgáló alapvető biztonsági ellenőrzések meghatározását.

vonatkozik

ez a politika vonatkozik minden kar, a személyzet és a harmadik fél ügynökök az egyetem, valamint bármely más egyetemi partner, aki jogosult hozzáférni az intézményi adatok. Ez az iránymutatás különösen azokra vonatkozik, akik felelősek az intézményi adatok osztályozásáért és védelméért, az információbiztonsági szerepkörök és felelősségek meghatározása szerint.

fogalommeghatározások

a Bizalmas adatok egy általánosított kifejezés, amely jellemzően korlátozottnak minősített adatokat jelent az ebben az iránymutatásban meghatározott adatosztályozási séma szerint. Ezt a kifejezést gyakran felcserélhető módon használják az érzékeny adatokkal.

a Data Steward egy felső szintű alkalmazottja az egyetem, aki felügyeli az életciklus egy vagy több készlet intézményi adatok. További információkért lásd az információbiztonsági szerepköröket és felelősségeket.

az intézményi adatok az egyetem tulajdonában lévő vagy engedélyezett adatok.

nem nyilvános információnak minősül minden olyan információ, amely az ezen iránymutatásban meghatározott adatosztályozási rendszer szerint magánjellegű vagy korlátozott információnak minősül.

az érzékeny adatok egy általánosított kifejezés, amely jellemzően korlátozottnak minősített adatokat jelent, az ebben az iránymutatásban meghatározott adatosztályozási séma szerint. Ezt a kifejezést gyakran felcserélhető módon használják a bizalmas adatokkal.

adatok osztályozása

az adatok osztályozása az információbiztonság összefüggésében az adatok érzékenységi szintje és az egyetemre gyakorolt hatása alapján történik, ha az adatokat engedély nélkül nyilvánosságra hozzák, megváltoztatják vagy megsemmisítik. Az adatok osztályozása segít meghatározni, hogy milyen alapszintű biztonsági ellenőrzések alkalmasak az adatok védelmére. Minden intézményi adatot a három érzékenységi szint egyikébe kell besorolni, vagy osztályozások:

besorolás meghatározás
Korlátozott az adatokat korlátozottnak kell minősíteni, ha az adatok jogosulatlan közzététele, megváltoztatása vagy megsemmisítése jelentős kockázatot jelenthet az egyetem vagy leányvállalatai számára. A korlátozott adatok közé tartoznak például az állami vagy szövetségi adatvédelmi előírások által védett adatok, valamint a titoktartási megállapodások által védett adatok. A korlátozott adatokra a legmagasabb szintű biztonsági ellenőrzéseket kell alkalmazni.
privát az adatokat akkor kell privátnak minősíteni, ha az adatok jogosulatlan közzététele, megváltoztatása vagy megsemmisítése mérsékelt kockázatot jelenthet az egyetem vagy leányvállalatai számára. Alapértelmezés szerint minden olyan intézményi adatot, amely nem minősül kifejezetten korlátozott vagy nyilvános adatnak, Magánadatként kell kezelni. A Magánadatokra ésszerű szintű biztonsági ellenőrzéseket kell alkalmazni.
nyilvános az adatokat akkor kell nyilvánosnak minősíteni, ha az adatok jogosulatlan nyilvánosságra hozatala, megváltoztatása vagy megsemmisítése csekély vagy semmilyen kockázatot nem jelent az Egyetem és leányvállalatai számára. A nyilvános adatok közé tartoznak a sajtóközlemények, a tanfolyaminformációk és a kutatási kiadványok. Míg a nyilvános adatok titkosságának védelme érdekében kevés vagy semmilyen ellenőrzésre nincs szükség, bizonyos szintű ellenőrzésre van szükség a nyilvános adatok jogosulatlan módosításának vagy megsemmisítésének megakadályozása érdekében.

az adatok osztályozását megfelelő Adatkezelőnek kell elvégeznie. Az adatkezelők az egyetem felső szintű alkalmazottai, akik felügyelik egy vagy több intézményi adatkészlet életciklusát. Lásd az információbiztonsági szerepköröket és felelősségeket az Adatkezelő szerepével és a kapcsolódó felelősségekkel kapcsolatos további információkért.

adatgyűjtések

Az Adatkezelők egyetlen osztályozást rendelhetnek az adatgyűjtéshez, amelynek célja vagy funkciója közös. Az adatgyűjtés osztályozásakor az egyes adatelemek közül a legszigorúbb osztályozást kell alkalmazni. Például, ha az adatgyűjtés a hallgató nevéből, címéből és társadalombiztosítási számából áll, az adatgyűjtést korlátozottnak kell minősíteni, annak ellenére, hogy a hallgató neve és címe nyilvános információnak tekinthető.

átsorolás

rendszeres időközönként fontos újraértékelni az intézményi adatok besorolását annak biztosítása érdekében, hogy a hozzárendelt besorolás továbbra is megfelelő legyen a jogi és szerződéses kötelezettségek változásai, valamint az adatok felhasználásának vagy az egyetem számára történő értékének változása alapján. Ezt az értékelést a megfelelő Adatkezelőnek kell elvégeznie. Javasoljuk, hogy évente végezzen értékelést; az Adatkezelőnek azonban a rendelkezésre álló források alapján meg kell határoznia, hogy melyik gyakoriság a legmegfelelőbb. Ha egy Adatkezelő megállapítja, hogy egy bizonyos adatkészlet besorolása megváltozott, a biztonsági ellenőrzések elemzését el kell végezni annak megállapítására, hogy a meglévő ellenőrzések összhangban vannak-e az új besorolással. Ha a meglévő biztonsági ellenőrzések során hiányosságokat találnak, azokat a hiányosságok által jelentett kockázati szintnek megfelelő időben ki kell javítani.

osztályozás kiszámítása

az információbiztonság célja, amint azt az egyetem információbiztonsági politikája kimondja, az intézményi adatok titkosságának, integritásának és rendelkezésre állásának védelme. Az adatok osztályozása tükrözi az egyetemre gyakorolt hatás szintjét, ha a titoktartás, az integritás vagy a rendelkezésre állás sérül.

sajnos nincs tökéletes kvantitatív rendszer egy adott adatelem osztályozásának kiszámításához. Bizonyos helyzetekben a megfelelő besorolás nyilvánvalóbb lehet, például amikor a szövetségi törvények előírják az egyetem számára, hogy bizonyos típusú adatokat (pl. Ha a megfelelő besorolás nem magától értetődő, vegye figyelembe az egyes biztonsági célokat az alábbi táblázat segítségével. Ez egy részlet a Federal Information Processing Standards (FIPS) 199.számú kiadványából, amelyet a National Institute of Standards And Technology adott ki, amely az információs és Információs Rendszerek kategorizálását tárgyalja.

potenciális hatás
biztonsági célkitűzés alacsony közepes magas
titoktartás
az információkhoz való hozzáférésre és nyilvánosságra hozatalra vonatkozó engedélyezett korlátozások megőrzése, beleértve a személyes adatok és a Védett Információk védelmét szolgáló eszközöket is.
az információk jogosulatlan nyilvánosságra hozatala várhatóan korlátozott káros hatással lesz a szervezeti műveletekre, a szervezeti eszközökre vagy az egyénekre. az információk jogosulatlan nyilvánosságra hozatala várhatóan súlyos káros hatással lesz a szervezeti műveletekre, a szervezeti eszközökre vagy az egyénekre. az információk jogosulatlan nyilvánosságra hozatala várhatóan súlyos vagy katasztrofális káros hatással lesz a szervezeti műveletekre, a szervezeti eszközökre vagy az egyénekre.
integritás
az információ helytelen módosítása vagy megsemmisítése elleni védelem, és magában foglalja az információ megtagadásának és hitelességének biztosítását.
az információk jogosulatlan módosítása vagy megsemmisítése várhatóan korlátozott káros hatással lesz a szervezeti műveletekre, a szervezeti eszközökre vagy az egyénekre. az információk jogosulatlan módosítása vagy megsemmisítése várhatóan súlyos káros hatással lesz a szervezeti műveletekre, a szervezeti eszközökre vagy az egyénekre. az információk jogosulatlan módosítása vagy megsemmisítése várhatóan súlyos vagy katasztrofális káros hatással lesz a szervezeti műveletekre, a szervezeti eszközökre vagy az egyénekre.
elérhetőség
az információkhoz való időben történő és megbízható hozzáférés és az információk felhasználása.
az információhoz vagy egy információs rendszerhez való hozzáférés vagy használat megszakadása várhatóan korlátozott káros hatással lesz a szervezeti műveletekre, a szervezeti eszközökre vagy az egyénekre. az információhoz vagy egy információs rendszerhez való hozzáférés vagy használat megzavarása várhatóan súlyos káros hatással lesz a szervezeti műveletekre, a szervezeti eszközökre vagy az egyénekre. az információhoz vagy egy információs rendszerhez való hozzáférés vagy használat megszakadása várhatóan súlyos vagy katasztrofális káros hatással lesz a szervezeti műveletekre, a szervezeti eszközökre vagy az egyénekre.

mivel az egyetemre gyakorolt teljes potenciális hatás alacsonyról magasra növekszik,az adatok osztályozásának korlátozóbbá kell válnia a Nyilvánosról a Korlátozottra. Ha ezeknek a pontoknak a mérlegelése után a megfelelő besorolás még mindig nem egyértelmű, forduljon segítségért az információbiztonsági Hivatalhoz.

A. függelék – a korlátozott információk előre meghatározott típusai

az információbiztonsági Hivatal és az Általános jogtanácsosi Hivatal az állami és szövetségi szabályozási követelmények alapján többféle Korlátozott adatot határozott meg. Ezek meghatározása a következő:

hitelesítés hitelesítő
a hitelesítés-hitelesítő olyan információ, amelyet az egyén bizalmasan kezel, és annak bizonyítására szolgál, hogy a személy az, akinek mondja magát. Bizonyos esetekben a hitelesítési Hitelesítőt meg lehet osztani egyének kis csoportja között. Hitelesítési hitelesítő is használható egy rendszer vagy szolgáltatás azonosságának igazolására. A példák közé tartozik, de nem korlátozódnak a következőkre:

  • jelszavak
  • megosztott titkok
  • titkosítási privát kulcsok
fedezett pénzügyi információk
Lásd az egyetem Gramm-Leach-Bliley információbiztonsági programját.
elektronikus védett egészségügyi információk (“EPHI”)
az EPHI minden olyan védett egészségügyi információ (“PHI”), amelyet elektronikus médiában tárolnak vagy továbbítanak. E meghatározás alkalmazásában az elektronikus média magában foglalja:

  • az elektronikus adathordozók közé tartoznak a számítógépes merevlemezek és bármilyen cserélhető és / vagy hordozható digitális adathordozó, például mágnesszalag vagy lemez, optikai lemez vagy digitális memóriakártya.
  • a már elektronikus adathordozókon tárolt információk cseréjére használt átviteli adathordozók. Az átviteli adathordozók közé tartozik például az Internet, az extranet (amely internetes technológiát használ arra, hogy egy vállalkozást csak az együttműködő felek számára hozzáférhető információkkal kapcsoljon össze), a bérelt vonalak, a betárcsázós vonalak, a magánhálózatok, valamint a cserélhető és/vagy hordozható elektronikus adathordozók fizikai mozgása. Bizonyos adattovábbítások, beleértve a papíralapú, faxon keresztüli, valamint a telefonon keresztüli hangátvitelt, nem minősülnek elektronikus adathordozón keresztüli továbbításnak, mivel a kicserélt információ az adattovábbítás előtt nem létezett elektronikus formában.
Export ellenőrzött anyagok

Export ellenőrzött anyagok: minden olyan információ vagy anyag, amelyre az Egyesült Államok exportellenőrzési szabályai vonatkoznak, beleértve, de nem kizárólagosan, az Egyesült Államok által közzétett Export Administration Regulations (Ear). A Kereskedelmi Minisztérium és az Egyesült Államok Külügyminisztériuma által kiadott nemzetközi fegyverkereskedelmi Szabályzat (ITAR). További információkért tekintse meg a kutatási integritás és megfelelőség hivatalának exportellenőrzési GYIK-jét.

Szövetségi Adóinformáció (“FTI”)
az FTI minden olyan visszatérés, visszatérési információ vagy adófizetői visszatérési információ, amelyet az Internal Revenue Services az egyetemre bízott. Lásd Internal Revenue Service Kiadvány 1075 kiállítás 2 További információ.
fizetési kártya adatai

a Fizetőkártya-információ a hitelkártya-szám (más néven elsődleges számlaszám vagy PAN), az alábbi adatelemek közül egy vagy több kombinációjával:

  • Kártyabirtokos neve
  • szolgáltatási kód
  • lejárati dátum
  • CVC2, CVV2 vagy CID érték
  • PIN vagy PIN blokk
  • a hitelkártya mágnescsíkjának tartalma

a fizetési kártya adatait az egyetem PCI DSS irányelvei és irányelvei is szabályozzák (bejelentkezés szükséges).

személyazonosításra alkalmas oktatási nyilvántartások
a személyazonosításra alkalmas oktatási nyilvántartások olyan oktatási nyilvántartások, amelyek a következő Személyes azonosítók közül egyet vagy többet tartalmaznak:

  • a tanuló neve
  • a tanuló szüleinek vagy más családtagjainak neve
  • társadalombiztosítási szám
  • hallgatói szám
  • azon személyes jellemzők listája, amelyek a tanuló személyazonosságát könnyen nyomon követhetővé teszik
  • minden egyéb olyan információ vagy azonosító, amely lehetővé teszi a tanuló személyazonosságának a hallgató személyazonossága könnyen nyomon követhető

lásd Carnegie Mellon hallgatói Adatvédelmi jogokkal kapcsolatos politikáját az oktatási nyilvántartásról.

személyazonosításra alkalmas adatok
a biztonság megsértéséről szóló értesítési követelmények teljesítése céljából a PII a személy keresztneve vagy utóneve, valamint az alábbi adatelemek közül egy vagy több kombinációjával:

  • társadalombiztosítási szám
  • államilag kiadott vezetői engedély száma
  • államilag kiadott személyi igazolvány száma
  • pénzügyi számlaszám olyan biztonsági kóddal, hozzáférési kóddal vagy jelszóval kombinálva, amely lehetővé teszi a számlához való hozzáférést
  • orvosi és/vagy egészségbiztosítási információk
védett egészségügyi információk (“PHI”)
a PHI meghatározása:” egyénileg azonosítható egészségügyi információ”, amelyet elektronikus média továbbít, elektronikus médiában tart fenn, vagy a Carnegie Mellon HIPAA-irányelvében meghatározott, fedett komponens által bármilyen más formában vagy adathordozón továbbított vagy fenntartott. A PHI akkor tekinthető egyedileg azonosíthatónak, ha a következő azonosítók közül egyet vagy többet tartalmaz:

  • név
  • cím (az államnál kisebb földrajzi alkörzet, beleértve az utcát, a várost, a megyét, a körzetszámot vagy az irányítószámot)
  • az egyénhez kapcsolódó dátumok (az év kivételével) minden eleme, beleértve a születési dátumot, a felvételi dátumot, a mentesítés dátumát, a halál dátumát és a pontos életkorot, ha 89 évesnél idősebb)
  • telefonszámok
  • faxszámok
  • elektronikus levelezési címek
  • társadalombiztosítási számok
  • orvosi nyilvántartási számok
  • egészségügyi terv kedvezményezetti számok
  • számlaszámok
  • tanúsítvány/engedély számok
  • Járműazonosítók és sorozatszámok, beleértve a rendszámot
  • eszközazonosítók és sorozatszámok
  • univerzális erőforrás-lokátorok (URL-ek)
  • internetprotokoll – (IP -) címek
  • biometrikus azonosítók, beleértve az ujj-és hangnyomatokat is
  • teljes arcképű fényképképek és hasonló képek
  • bármely más egyedi azonosító szám, jellemző vagy kód, amely azonosíthatja az egyént

a Carnegie Mellon HIPAA-politikájának megfelelően a Phi nem tartalmazza az alábbiak által lefedett oktatási vagy kezelési nyilvántartásokat a Family Educational Rights and Privacy Act vagy az egyetem által munkáltatóként betöltött foglalkoztatási nyilvántartások.

ellenőrzött Műszaki információk (“CTI”)
ellenőrzött Műszaki információ: “katonai vagy űralkalmazással rendelkező Műszaki információ, amely a hozzáférés, használat, sokszorosítás, módosítás, teljesítmény, megjelenítés, kiadás, nyilvánosságra hozatal vagy terjesztés ellenőrzése alatt áll” a DFARS 252.204-7012 szerint.
csak hivatalos használatra (“FOUO”)
a csak hivatalos használatra címkézett vagy megjelölt dokumentumok és adatok a Nemzeti Levéltár (NARA) által meghatározott ellenőrzött, osztályozatlan információk (CUI) előre kurzorai)
személyes adatok az Európai Unióból (EU)

az EU általános adatvédelmi rendelete (GDPR) a személyes adatokat olyan információként határozza meg, amely egy természetes személyt közvetlenül vagy közvetve azonosíthat egy

    azonosítóval

  • név
  • azonosító szám
  • helymeghatározó adatok
  • online azonosító
  • az adott természetes személy fizikai, fiziológiai, genetikai, mentális, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező

az Európai Gazdasági Térség (EGT) országaiban élő személyektől gyűjtött Személyes adatok a GDPR hatálya alá tartoznak. Ha kérdése van, küldjön e-mailt a [email protected].

felülvizsgálati előzmények

változat megjelent szerző leírás
0.1 07/02/2008 Doug Markiewicz eredeti tervezet
0.2 09/25/2008 Doug Markiewicz a kategorizálási részt az Adatgyűjtésekkel helyettesítette, és az Átsorolással és a besorolások kiszámításával kapcsolatos szakaszokat egészítette ki.
0.3 10/20/2008 Doug Markiewicz átírta a besorolások kiszámításáról szóló részt az eredeti rendszer hibái miatt. Aktualizált cél, alkalmazandó és meghatározások.
0.4 11/04/2008 Doug Markiewicz eltávolította az egyenletet, kisebb mértékben frissítette a nyilvános adatok meghatározását és frissítette a kiegészítő információkat. Az A. függeléket úgy rendeztük, hogy a kifejezések betűrendben jelenjenek meg, és a lefedett pénzügyi információkat kifejezésként adjuk hozzá.
0.5 02/20/2009 Doug Markiewicz hozzáadott egy hiányzó golyót az A. Függelékben felsorolt Utolsó azonosítóhoz meghatározás G. magát a meghatározást nem módosították.
0.6 02/26/2009 Doug Markiewicz különböző frissítések visszajelzések alapján. A főbb változások közé tartozik az ‘Data Steward’ hozzáadása a definíciókhoz, hivatkozások hozzáadása az információbiztonsági szerepkörökhöz & felelősségek és a szövetségi adóinformációk hozzáadása az A. függelékhez.
0.7 03/18/2009 Doug Markiewicz frissített meghatározása PHI függelékében hivatkozni a HIPAA információbiztonsági politika. Hozzáadott hitelesítési hitelesítő az A. függelékhez.
0.8 09/17/2009 Doug Markiewicz Frissítve alkalmazott összhang a kapcsolódó kiadványok. Eltávolította az oktatási nyilvántartásokat az A. függelékből a főtanácsadó ajánlása szerint. Frissített személyazonosításra alkalmas oktatási nyilvántartások az A. függelékben, hogy hivatkozzanak a hallgatók Adatvédelmi jogaira vonatkozó irányelvekre.
0.9 01/22/2010 Doug Markiewicz frissített A. függelék, amely tartalmazza az export ellenőrzött anyagokat.
1.0 09/15/2011 Doug Markiewicz a védett egészségügyi információk frissített meghatározása az új HIPAA-irányelvhez igazodva. Eltávolított tervezet megnevezése.
1.1 04/07/2015 Laura Raderman

frissített A. függelék, amely tartalmazza az ellenőrzött műszaki információkat.

1.2 03/20/2018 Laura Raderman

frissített A. függelék, amely tartalmazza a FOUO-t és a CUI-t.

1.3 05/23/2018 Mary Ann Blair

frissített A. függelék az Európai Unióból származó személyes adatok felvétele érdekében

állapot: megjelent
megjelent: 07/02/2008
utolsó értékelés: 05/23/2018
Utolsó frissítés: 05/23/2018

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.

Previous post Hogyan Élnek Az Amishok Biztosítás Nélkül, De Egészségesek Maradnak
Next post A Volkswagen másik Karmann Ghia: a típus 34