Scopo
Lo scopo di questa linea guida è quello di stabilire un quadro per classificare i dati istituzionali in base al suo livello di sensibilità, valore e criticità per l’Università come richiesto dalla politica di sicurezza delle informazioni dell’Università. La classificazione dei dati aiuterà a determinare i controlli di sicurezza di base per la protezione dei dati.
Si applica a
Questa politica si applica a tutti i docenti, personale e agenti di terze parti dell’Università, nonché qualsiasi altro affiliato universitario che è autorizzato ad accedere ai Dati istituzionali. In particolare, questa Linea guida si applica a coloro che sono responsabili della classificazione e della protezione dei dati istituzionali, come definiti dai Ruoli e dalle responsabilità in materia di sicurezza delle informazioni.
Definizioni
I dati riservati sono un termine generalizzato che in genere rappresenta i dati classificati come Limitati, secondo lo schema di classificazione dei dati definito in questa Linea guida. Questo termine è spesso usato in modo intercambiabile con i dati sensibili.
Un Data Steward è un dipendente di livello senior dell’Università che supervisiona il ciclo di vita di una o più serie di dati istituzionali. Per ulteriori informazioni, vedere Ruoli e responsabilità per la sicurezza delle informazioni.
I dati istituzionali sono definiti come tutti i dati di proprietà o concessi in licenza dall’Università.
Per Informazione non pubblica si intende qualsiasi informazione classificata come Informazione privata o Limitata secondo lo schema di classificazione dei dati definito nel presente Indirizzo.
I dati sensibili sono un termine generalizzato che in genere rappresenta i dati classificati come Limitati, secondo lo schema di classificazione dei dati definito in questa Linea guida. Questo termine è spesso usato in modo intercambiabile con i dati riservati.
Classificazione dei dati
La classificazione dei dati, nel contesto della sicurezza delle informazioni, è la classificazione dei dati in base al suo livello di sensibilità e all’impatto per l’Università in caso di divulgazione, alterazione o distruzione dei dati senza autorizzazione. La classificazione dei dati aiuta a determinare quali controlli di sicurezza di base sono appropriati per la salvaguardia di tali dati. Tutti i dati istituzionali dovrebbero essere classificati in uno dei tre livelli di sensibilità, o classificazioni:
Classificazione | Definizione |
Limitato | Dati dovrebbero essere classificati come Limitate quando non autorizzati, divulgazione, alterazione o distruzione di dati che possano causare un significativo livello di rischio per l’Università o delle sue affiliate. Esempi di dati limitati includono dati protetti da normative sulla privacy statali o federali e dati protetti da accordi di riservatezza. Ai dati soggetti a restrizioni dovrebbe essere applicato il massimo livello di controlli di sicurezza. |
Privato | I dati dovrebbero essere classificati come privati quando la divulgazione, l’alterazione o la distruzione non autorizzate di tali dati potrebbero comportare un livello moderato di rischio per l’Università o le sue affiliate. Per impostazione predefinita, tutti i Dati istituzionali che non sono esplicitamente classificati come dati limitati o pubblici dovrebbero essere trattati come dati privati. Ai dati privati dovrebbe essere applicato un livello ragionevole di controlli di sicurezza. |
Pubblico | I dati dovrebbero essere classificati come pubblici quando la divulgazione, l’alterazione o la distruzione non autorizzate di tali dati comporterebbe un rischio minimo o nullo per l’Università e le sue affiliate. Esempi di dati pubblici includono comunicati stampa, informazioni sui corsi e pubblicazioni di ricerca. Mentre sono necessari pochi o nessun controllo per proteggere la riservatezza dei dati pubblici, è necessario un certo livello di controllo per impedire la modifica o la distruzione non autorizzate dei dati pubblici. |
La classificazione dei dati deve essere effettuata da un responsabile dei dati appropriato. I Data Steward sono dipendenti di livello senior dell’Università che supervisionano il ciclo di vita di una o più serie di dati istituzionali. Vedere Ruoli e responsabilità per la sicurezza delle informazioni per ulteriori informazioni sul ruolo di Data Steward e sulle responsabilità associate.
Raccolte di dati
I Data Steward potrebbero voler assegnare una singola classificazione a una raccolta di dati comune per scopo o funzione. Quando si classifica una raccolta di dati, è necessario utilizzare la classificazione più restrittiva di uno qualsiasi dei singoli elementi di dati. Ad esempio, se una raccolta di dati consiste in nome, indirizzo e numero di previdenza sociale di uno studente, la raccolta di dati dovrebbe essere classificata come Limitata anche se il nome e l’indirizzo dello studente possono essere considerati Informazioni pubbliche.
Riclassificazione
Su base periodica, è importante rivalutare la classificazione dei Dati istituzionali per garantire che la classificazione assegnata sia ancora appropriata sulla base di modifiche agli obblighi legali e contrattuali, nonché cambiamenti nell’uso dei dati o nel loro valore per l’Università. Questa valutazione dovrebbe essere condotta dal responsabile dei dati appropriato. Si incoraggia la conduzione di una valutazione su base annuale; tuttavia, il responsabile dei dati dovrebbe determinare la frequenza più appropriata in base alle risorse disponibili. Se un Data Steward determina che la classificazione di un determinato set di dati è cambiata, è necessario eseguire un’analisi dei controlli di sicurezza per determinare se i controlli esistenti sono coerenti con la nuova classificazione. Se si riscontrano lacune nei controlli di sicurezza esistenti, esse dovrebbero essere corrette in modo tempestivo, commisurato al livello di rischio rappresentato dalle lacune.
Calcolo Classificazione
L’obiettivo della sicurezza delle informazioni, come indicato nella politica di sicurezza delle informazioni dell’Università, è quello di proteggere la riservatezza, l’integrità e la disponibilità dei Dati istituzionali. La classificazione dei dati riflette il livello di impatto per l’Università se la riservatezza, l’integrità o la disponibilità è compromessa.
Sfortunatamente non esiste un sistema quantitativo perfetto per calcolare la classificazione di un particolare elemento di dati. In alcune situazioni, la classificazione appropriata può essere più ovvia, ad esempio quando le leggi federali richiedono all’Università di proteggere determinati tipi di dati (ad esempio informazioni di identificazione personale). Se la classificazione appropriata non è intrinsecamente ovvia, considerare ogni obiettivo di sicurezza utilizzando la seguente tabella come guida. Si tratta di un estratto dal Federal Information Processing Standards (FIPS) pubblicazione 199 pubblicato dal National Institute of Standards and Technology, che discute la categorizzazione delle informazioni e dei sistemi informativi.
POTENZIALE IMPATTO | |||
Obiettivo di Sicurezza | BASSO | DEBOLE | ALTA |
Riservatezza Preservare autorizzato restrizioni di accesso alle informazioni e la divulgazione, compresi i mezzi per proteggere la privacy personale e di informazioni riservate. |
La divulgazione non autorizzata di informazioni potrebbe avere un effetto negativo limitato sulle operazioni organizzative, sulle risorse organizzative o sugli individui. | La divulgazione non autorizzata di informazioni potrebbe avere un grave effetto negativo sulle operazioni organizzative, sulle risorse organizzative o sugli individui. | La divulgazione non autorizzata di informazioni potrebbe avere un effetto negativo grave o catastrofico sulle operazioni organizzative, sulle risorse organizzative o sugli individui. |
Integrità Protezione contro la modifica o la distruzione di informazioni improprie e include la garanzia di non ripudio e autenticità delle informazioni. |
La modifica o la distruzione non autorizzata delle informazioni potrebbe avere un effetto negativo limitato sulle operazioni organizzative, sulle risorse organizzative o sugli individui. | La modifica o la distruzione non autorizzata delle informazioni potrebbe avere un grave effetto negativo sulle operazioni organizzative, sulle risorse organizzative o sugli individui. | La modifica o la distruzione non autorizzata delle informazioni potrebbe avere un effetto negativo grave o catastrofico sulle operazioni organizzative, sulle risorse organizzative o sugli individui. |
Disponibilità Garantire l’accesso e l’uso tempestivi e affidabili delle informazioni. |
L’interruzione dell’accesso o dell’uso di informazioni o di un sistema informativo potrebbe avere un effetto negativo limitato sulle operazioni organizzative, sulle risorse organizzative o sugli individui. | L’interruzione dell’accesso o dell’uso di informazioni o di un sistema informativo potrebbe avere un grave effetto negativo sulle operazioni organizzative, sulle risorse organizzative o sugli individui. | L’interruzione dell’accesso o dell’uso di informazioni o di un sistema informativo potrebbe avere un effetto negativo grave o catastrofico sulle operazioni organizzative, sulle risorse organizzative o sugli individui. |
Poiché l’impatto potenziale totale per l’Università aumenta da basso a alto, la classificazione dei dati dovrebbe diventare più restrittiva passando da Pubblico a Ristretto. Se una classificazione appropriata non è ancora chiara dopo aver considerato questi punti, contattare l’ufficio per la sicurezza delle informazioni per assistenza.
Appendice A – Tipi predefiniti di informazioni limitate
L’Information Security Office e l’Office of General Counsel hanno definito diversi tipi di dati limitati in base ai requisiti normativi statali e federali. Sono definiti come segue:
Verificatore di autenticazione | |
Un verificatore di autenticazione è un pezzo di informazione che è tenuto in confidenza da un individuo e utilizzato per dimostrare che la persona è chi dicono di essere. In alcuni casi, un verificatore di autenticazione può essere condiviso tra un piccolo gruppo di individui. Un verificatore di autenticazione può anche essere utilizzato per dimostrare l’identità di un sistema o di un servizio. Gli esempi includono, ma non sono limitati a:
|
|
Coperto, Informazioni Finanziarie | |
Vedere l’Università del Gramm-Leach-Bliley Programma di Sicurezza. | |
Informazioni sanitarie protette elettroniche (“EPHI”) | |
EPHI è definito come qualsiasi informazione sanitaria protetta (“PHI”) che viene memorizzata o trasmessa da supporti elettronici. Ai fini di questa definizione, i media elettronici includono:
|
|
Esportazione di materiali controllati | |
Export Controlled Materials è definito come qualsiasi informazione o materiale soggetto alle normative sul controllo delle esportazioni degli Stati Uniti, incluse, a titolo esemplificativo ma non esaustivo, le Export Administration Regulations (EAR) pubblicate dagli Stati Uniti. Dipartimento del Commercio e International Traffic in Arms Regulations (ITAR) pubblicato dal Dipartimento di Stato degli Stati Uniti. Per ulteriori informazioni, consultare le FAQ sul controllo delle esportazioni dell’Ufficio per l’integrità e la conformità della ricerca. |
|
Informazioni fiscali federali (“FTI”) | |
FTI è definito come qualsiasi ritorno, informazioni di ritorno o informazioni di ritorno del contribuente che è affidato all’Università dagli Internal Revenue Services. Per ulteriori informazioni, consultare la pubblicazione Internal Revenue Service 1075 Exhibit 2. | |
Informazioni sulla carta di pagamento | |
Le informazioni sulla carta di pagamento sono definite come un numero di carta di credito (indicato anche come numero di conto primario o PAN) in combinazione con uno o più dei seguenti elementi di dati:
Le informazioni sulla carta di pagamento sono inoltre regolate dalla politica e dalle linee guida PCI DSS dell’Università (login richiesto). |
|
Record di istruzione personalmente identificabili | |
I record di istruzione identificabili personalmente sono definiti come tutti i record di istruzione che contengono uno o più dei seguenti identificatori personali:
Vedere Carnegie Mellon Politica degli Studenti, Diritti di Privacy per ulteriori informazioni su ciò che costituisce una Educazione Record. |
|
Informazioni di identificazione personale | |
Al fine di soddisfare i requisiti di notifica delle violazioni della sicurezza, le PII sono definite come nome o nome iniziale e cognome di una persona in combinazione con uno o più dei seguenti elementi di dati:
|
|
Informazioni Sanitarie protette (PHI”) | |
PHI è definito come “informazioni sanitarie personali” trasmessi dai media elettronici, mantenuta nella media elettronici o trasmesso o mantenuto in qualsiasi altra forma o mezzo da un Componente coperto, come definito nella Politica HIPAA di Carnegie Mellon. Il PHI è considerato identificabile individualmente se contiene uno o più dei seguenti identificatori:
Per Carnegie Mellon HIPAA Politica, il PHI non comprende i registri di formazione o di trattamento record coperti da la famiglia Educational Rights and Privacy Act o record di occupazione detenuti dall’Università nel suo ruolo di datore di lavoro. |
|
Controllato Informazioni Tecniche (“CTI”) | |
Controllato Informazioni Tecniche significa “informazioni tecniche militari o applicazione dello spazio che è soggetto a controlli sull’accesso, l’uso, la riproduzione, la modifica, la riproduzione, la visualizzazione, il rilascio, la divulgazione o la distribuzione” per DFARS 252.204-7012. | |
Solo Per Uso Ufficiale (“FOUO”) | |
Documenti e dati etichettati o contrassegnati Solo Per Uso Ufficiale sono un pre-cursore di Controllate Informazioni non classificate (CUI) come definito dalla National Archives (NARA) | |
Dati personali dall’Unione Europea (UE) | |
Generale Dell’UE Regolamento sulla Protezione dei Dati (GDPR) definisce dati personali qualsiasi informazione che possa identificare una persona fisica, direttamente o indirettamente, mediante riferimento a un identificatore compreso
i dati personali raccolti da privati in spazio Economico Europeo (SEE) paesi è soggetto a GDPR. Per domande, inviare e-mail a [email protected]. |
Cronologia Delle Revisioni
Versione | Pubblicato | Autore | Descrizione |
0.1 | 07/02/2008 | Doug Markiewicz | bozza Originale |
0.2 | 09/25/2008 | Doug Markiewicz | Sostituito Categorizzazione sezione con Raccolte di Dati e aggiunta di sezioni di Riclassificazione e di Calcolo delle Classifiche. |
0.3 | 10/20/2008 | Doug Markiewicz | Ha riscritto la sezione sul calcolo delle classificazioni a causa di difetti nel sistema originale. Scopo aggiornato, si applica a e definizioni. |
0.4 | 11/04/2008 | Doug Markiewicz | Ha rimosso l’equazione, ha apportato un aggiornamento minore alla definizione dei dati pubblici e ha aggiornato ulteriori informazioni. Ordinato Appendice A in modo che i termini appaiono in ordine alfabetico e ha aggiunto coperto informazioni finanziarie come un termine. |
0.5 | 02/20/2009 | Doug Markiewicz | Ha aggiunto un punto mancante all’ultimo identificatore elencato nell’appendice A Definizione G. La definizione stessa non è stata modificata. |
0.6 | 02/26/2009 | Doug Markiewicz | Vari aggiornamenti basati sul feedback. Le principali modifiche includono l’aggiunta di “Data Steward” alle definizioni, l’aggiunta di riferimenti ai ruoli di sicurezza delle informazioni & Responsabilità e l’aggiunta di informazioni fiscali federali all’appendice A. |
0.7 | 03/18/2009 | Doug Markiewicz | Definizione aggiornata di PHI nell’appendice A per fare riferimento alla politica di sicurezza delle informazioni HIPAA. Aggiunto Authentication Verifier all’appendice A. |
0.8 | 09/17/2009 | Doug Markiewicz | Aggiornato Applicato per coerenza con le pubblicazioni correlate. Rimosso Record di istruzione da appendice A per la raccomandazione di General Counsel. Aggiornato Record di istruzione personalmente identificabili in Appendice A per fare riferimento alla politica sui diritti di privacy degli studenti. |
0.9 | 01/22/2010 | Doug Markiewicz | Ha aggiornato l’appendice A per includere i materiali controllati dall’esportazione. |
1.0 | 09/15/2011 | Doug Markiewicz | Definizione aggiornata di informazioni sanitarie protette per allinearsi con la nuova politica HIPAA. Rimosso PROGETTO di designazione. |
1.1 | 04/07/2015 | Laura Raderman |
Aggiornato Appendice A per includere informazioni tecniche controllate. |
1.2 | 03/20/2018 | Laura Raderman |
Aggiornato Appendice A per includere FOUO e CUI. |
1.3 | 05/23/2018 | Mary Ann Blair |
Aggiornamento Appendice A inserire i Dati Personali dall’Unione Europea |
Status: | Pubblicato |
Pubblicata: | 07/02/2008 |
Ultima Revisione: | 05/23/2018 |
Ultimo Aggiornamento: | 05/23/2018 |