cel
celem niniejszych wytycznych jest ustanowienie ram klasyfikacji danych instytucjonalnych w oparciu o ich poziom wrażliwości, wartości i krytyczności dla uczelni zgodnie z wymogami polityki bezpieczeństwa informacji uczelni. Klasyfikacja danych pomoże w określeniu podstawowych środków kontroli bezpieczeństwa w celu ochrony danych.
dotyczy
niniejsza Polityka dotyczy wszystkich wykładowców, pracowników i agentów zewnętrznych Uniwersytetu, a także wszelkich innych jednostek stowarzyszonych uczelni, które są upoważnione do dostępu do danych instytucjonalnych. Niniejsze wytyczne mają w szczególności zastosowanie do osób odpowiedzialnych za klasyfikowanie i ochronę danych instytucjonalnych, zgodnie z ich rolą i obowiązkami w zakresie bezpieczeństwa informacji.
definicje
dane poufne to uogólniony termin, który zazwyczaj reprezentuje dane sklasyfikowane jako zastrzeżone, zgodnie ze schematem klasyfikacji danych zdefiniowanym w niniejszych wytycznych. Termin ten jest często używany zamiennie z danymi wrażliwymi.
zarządca danych jest pracownikiem wyższego szczebla uniwersytetu, który nadzoruje cykl życia jednego lub więcej zestawów danych instytucjonalnych. Zobacz role i obowiązki w zakresie bezpieczeństwa informacji, aby uzyskać więcej informacji.
dane instytucjonalne są definiowane jako wszystkie dane będące własnością lub licencjonowane przez Uniwersytet.
informacje niepubliczne definiuje się jako wszelkie informacje, które są klasyfikowane jako informacje prywatne lub zastrzeżone zgodnie ze schematem klasyfikacji danych określonym w niniejszych wytycznych.
dane wrażliwe to uogólniony termin, który zazwyczaj reprezentuje dane sklasyfikowane jako ograniczone, zgodnie ze schematem klasyfikacji danych zdefiniowanym w niniejszych wytycznych. Termin ten jest często używany zamiennie z danymi poufnymi.
klasyfikacja danych
klasyfikacja danych, w kontekście bezpieczeństwa informacji, jest klasyfikacją danych na podstawie ich poziomu wrażliwości i wpływu na Uniwersytet, jeśli dane te zostaną ujawnione, zmienione lub zniszczone bez zezwolenia. Klasyfikacja danych pomaga określić, jakie podstawowe środki kontroli bezpieczeństwa są odpowiednie do ochrony tych danych. Wszystkie dane instytucjonalne należy podzielić na jeden z trzech poziomów wrażliwości, czyli klasyfikacje:
Klasyfikacja | definicja |
zastrzeżone | dane powinny być klasyfikowane jako zastrzeżone, gdy nieuprawnione ujawnienie, zmiana lub zniszczenie tych danych może spowodować znaczny poziom ryzyka dla uniwersytetu lub jego podmiotów stowarzyszonych. Przykłady ograniczonych danych obejmują dane chronione przez stanowe lub federalne przepisy dotyczące prywatności oraz dane chronione przez umowy o Zachowaniu Poufności. Do ograniczonych danych należy stosować najwyższy poziom kontroli w zakresie ochrony. |
prywatne | dane powinny być klasyfikowane jako prywatne, gdy nieautoryzowane ujawnienie, zmiana lub zniszczenie tych danych może spowodować Umiarkowany poziom ryzyka dla uczelni lub jej podmiotów stowarzyszonych. Domyślnie wszystkie dane instytucjonalne, które nie są wyraźnie sklasyfikowane jako dane zastrzeżone lub publiczne, powinny być traktowane jako dane prywatne. W odniesieniu do danych prywatnych należy stosować rozsądny poziom kontroli bezpieczeństwa. |
publiczne | dane powinny być klasyfikowane jako publiczne, gdy nieautoryzowane ujawnienie, zmiana lub zniszczenie tych danych spowodowałoby niewielkie lub żadne ryzyko dla uniwersytetu i jego podmiotów stowarzyszonych. Przykładami Danych Publicznych są komunikaty prasowe, informacje o kursach i publikacje naukowe. Chociaż w celu ochrony poufności Danych Publicznych wymagane są niewielkie kontrole lub ich brak, wymagany jest pewien poziom kontroli, aby zapobiec nieautoryzowanej modyfikacji lub zniszczeniu Danych Publicznych. |
klasyfikacja danych powinna być dokonywana przez odpowiedniego Administratora Danych. Administratorzy danych to pracownicy wyższego szczebla Uniwersytetu, którzy nadzorują cykl życia jednego lub więcej zestawów danych instytucjonalnych. Zobacz role i obowiązki w zakresie bezpieczeństwa informacji, aby uzyskać więcej informacji na temat roli administratora danych i powiązanych obowiązków.
zbiory danych
zarządcy danych mogą chcieć przypisać pojedynczą klasyfikację do zbioru danych, który jest wspólny dla celu lub funkcji. Przy klasyfikacji zbioru danych należy stosować najbardziej restrykcyjną klasyfikację któregokolwiek z poszczególnych elementów danych. Na przykład, jeśli zbiór danych składa się z imienia i nazwiska studenta, adresu i numeru ubezpieczenia społecznego, zbiór danych powinien zostać sklasyfikowany jako ograniczony, nawet jeśli imię i nazwisko studenta i jego adres można uznać za informacje publiczne.
przeklasyfikowanie
okresowo ważne jest, aby ponownie ocenić klasyfikację danych instytucjonalnych, aby zapewnić, że przypisana klasyfikacja jest nadal odpowiednia w oparciu o zmiany zobowiązań prawnych i umownych, a także zmiany w wykorzystaniu danych lub ich wartości dla uczelni. Ocena ta powinna być przeprowadzona przez odpowiedniego Administratora Danych. Zachęca się do corocznego przeprowadzania oceny; jednak zarządca danych powinien określić, jaka częstotliwość jest najbardziej odpowiednia w oparciu o dostępne zasoby. Jeśli Steward danych stwierdzi, że klasyfikacja określonego zbioru danych uległa zmianie, należy przeprowadzić analizę kontroli bezpieczeństwa w celu ustalenia, czy istniejące kontrole są zgodne z nową klasyfikacją. W przypadku wykrycia luk w istniejących środkach kontroli w zakresie ochrony należy je odpowiednio szybko skorygować, proporcjonalnie do poziomu ryzyka stwarzanego przez luki.
Obliczanie klasyfikacji
celem bezpieczeństwa informacji, zgodnie z polityką bezpieczeństwa informacji Uczelni, jest ochrona poufności, integralności i dostępności danych instytucjonalnych. Klasyfikacja danych odzwierciedla poziom wpływu na Uniwersytet w przypadku naruszenia poufności, integralności lub dostępności.
niestety nie ma doskonałego systemu ilościowego do obliczania klasyfikacji określonego elementu danych. W niektórych sytuacjach odpowiednia klasyfikacja może być bardziej oczywista, na przykład gdy prawo federalne wymaga od uczelni ochrony niektórych rodzajów danych (np. danych osobowych). Jeśli odpowiednia klasyfikacja nie jest z natury oczywista, należy rozważyć każdy cel bezpieczeństwa, korzystając z poniższej tabeli jako przewodnika. Jest to fragment publikacji Federal Information Processing Standards (FIPS) 199 opublikowanej przez National Institute of Standards and Technology, która omawia kategoryzację informacji i systemów informatycznych.
potencjalny wpływ | |||
cel bezpieczeństwa | niski | średni | wysoki |
poufność zachowanie dozwolonych ograniczeń w dostępie do informacji i ich ujawnianiu, w tym środków ochrony prywatności i Informacji Zastrzeżonych. |
nieautoryzowane ujawnienie informacji może mieć ograniczony negatywny wpływ na operacje organizacyjne, aktywa organizacyjne lub osoby fizyczne. | nieautoryzowane ujawnienie informacji może mieć poważny niekorzystny wpływ na operacje organizacyjne, aktywa organizacyjne lub osoby fizyczne. | nieautoryzowane ujawnienie informacji może mieć poważny lub katastrofalny niekorzystny wpływ na operacje organizacyjne, aktywa organizacyjne lub osoby fizyczne. |
integralność Ochrona przed niewłaściwą modyfikacją lub zniszczeniem informacji i obejmuje zapewnienie nieujawniania i autentyczności informacji. |
nieautoryzowana modyfikacja lub zniszczenie informacji może mieć ograniczony negatywny wpływ na operacje organizacyjne, aktywa organizacyjne lub osoby fizyczne. | nieautoryzowana modyfikacja lub zniszczenie informacji może mieć poważny niekorzystny wpływ na operacje organizacyjne, aktywa organizacyjne lub osoby fizyczne. | nieautoryzowana modyfikacja lub zniszczenie informacji może mieć poważny lub katastrofalny niekorzystny wpływ na operacje organizacyjne, aktywa organizacyjne lub osoby fizyczne. |
dostępność zapewnienie terminowego i niezawodnego dostępu do informacji i ich wykorzystywania. |
można oczekiwać, że zakłócenie dostępu lub korzystania z informacji lub systemu informacyjnego będzie miało ograniczony negatywny wpływ na operacje organizacyjne, aktywa organizacyjne lub osoby fizyczne. | można oczekiwać, że zakłócenie dostępu lub korzystania z informacji lub systemu informacyjnego może mieć poważny niekorzystny wpływ na operacje organizacyjne, aktywa organizacyjne lub osoby fizyczne. | można oczekiwać, że zakłócenie dostępu lub korzystania z informacji lub systemu informacyjnego może mieć poważny lub katastrofalny niekorzystny wpływ na operacje organizacyjne, aktywa organizacyjne lub osoby fizyczne. |
ponieważ całkowity potencjalny wpływ na Uniwersytet wzrasta z Niskiego na wysoki, klasyfikacja danych powinna stać się bardziej restrykcyjna, przechodząc z publicznego na Ograniczony. Jeśli po rozważeniu tych punktów nadal nie jest jasne, jaka jest odpowiednia klasyfikacja, skontaktuj się z Biurem Bezpieczeństwa Informacji w celu uzyskania pomocy.
Dodatek A-predefiniowane rodzaje Informacji Zastrzeżonych
Biuro Bezpieczeństwa Informacji i biuro Radcy Prawnego zdefiniowały kilka rodzajów danych zastrzeżonych w oparciu o stanowe i federalne wymogi regulacyjne. Są one zdefiniowane w następujący sposób:
Weryfikator uwierzytelniania | |
Weryfikator uwierzytelniania to informacja, która jest przechowywana w tajemnicy przez osobę i używana do udowodnienia, że dana osoba jest tym, za kogo się podaje. W niektórych przypadkach Weryfikator uwierzytelniania może być współdzielony między niewielką grupą osób. Weryfikator uwierzytelniania może być również wykorzystywany do udowodnienia tożsamości systemu lub usługi. Przykłady obejmują, ale nie są ograniczone do:
|
|
objęte informacje finansowe | |
Zobacz program bezpieczeństwa informacji Gramm-Leach-Bliley. | |
elektroniczna chroniona informacja zdrowotna („EPHI”) | |
EPHI definiuje się jako wszelkie chronione informacje zdrowotne („PHI”), które są przechowywane lub przesyłane za pośrednictwem mediów elektronicznych. Do celów niniejszej definicji media elektroniczne obejmują:
|
|
eksport materiałów kontrolowanych | |
eksport materiałów kontrolowanych jest zdefiniowany jako wszelkie informacje lub materiały, które podlegają regulacjom kontroli eksportu Stanów Zjednoczonych, w tym, ale nie ograniczając się do, Export Administration Regulations (EAR) opublikowanym przez USA. Department of Commerce and the International Traffic in Arms Regulations (ITAR) published by the U. S. Department of State. Więcej informacji można znaleźć w FAQ Biura Badań integralności i zgodności na temat kontroli eksportu. |
|
Federalne informacje podatkowe („FTI”) | |
FTI jest zdefiniowana jako wszelkie informacje zwrotne, informacje zwrotne lub informacje zwrotne podatnika, które są powierzone uczelni przez Internal Revenue Services. Więcej informacji można znaleźć w publikacji Internal Revenue Service 1075 Exhibit 2. | |
informacje o karcie płatniczej | |
informacje o karcie płatniczej są definiowane jako numer karty kredytowej (zwany także głównym numerem konta lub PAN) w połączeniu z jednym lub kilkoma z następujących elementów danych:
informacje o karcie płatniczej są również regulowane przez politykę i wytyczne PCI DSS uczelni (wymagane logowanie). |
|
dane edukacyjne umożliwiające identyfikację osoby | |
dane edukacyjne umożliwiające identyfikację osoby są definiowane jako wszelkie dane edukacyjne, które zawierają jeden lub więcej z następujących identyfikatorów osobistych:
zobacz politykę Carnegie Mellon w sprawie praw do prywatności ucznia, aby uzyskać więcej informacji na temat tego, co stanowi zapis edukacyjny. |
|
dane osobowe | |
w celu spełnienia wymogów dotyczących powiadamiania o naruszeniu bezpieczeństwa IIP definiuje się jako imię osoby lub imię i nazwisko w połączeniu z jednym lub kilkoma z następujących elementów danych:
|
|
chronione informacje zdrowotne („PHI”) | |
PHI definiuje się jako „indywidualnie identyfikowalne informacje zdrowotne” przekazywane za pośrednictwem mediów elektronicznych, przechowywane w mediach elektronicznych lub przesyłane lub utrzymywane w jakiejkolwiek innej formie lub nośniku przez komponent objęty ochroną, zgodnie z definicją zawartą w Polityce HIPAA Carnegie Mellon. PHI uznaje się za identyfikowalne indywidualnie, jeśli zawiera jeden lub więcej z następujących identyfikatorów:
zgodnie z Polityką HIPAA Carnegie Mellon, Phi nie obejmuje dokumentacji edukacyjnej ani Dokumentacji leczenia objętej Ustawa o prawach edukacyjnych i prywatności rodziny lub dokumentacja zatrudnienia posiadana przez uczelnię w jej roli pracodawcy. |
|
kontrolowane Informacje Techniczne („CTI”) | |
kontrolowane Informacje Techniczne oznaczają „informacje techniczne z zastosowaniem wojskowym lub kosmicznym, które podlegają kontroli dostępu, użytkowania, powielania, modyfikacji, wydajności, wyświetlania, uwalniania, ujawniania lub rozpowszechniania” zgodnie z DFARS 252.204-7012. | |
wyłącznie do użytku Urzędowego („FOUO”) | |
dokumenty i dane oznaczone lub oznaczone wyłącznie do użytku Urzędowego są wstępnie kursorem kontrolowanych informacji niesklasyfikowanych (CUI) zdefiniowanych przez Narodowe Archiwa (NARA) | |
dane osobowe z Unii Europejskiej (UE) | |
Ogólne Rozporządzenie UE o ochronie danych (RODO) definiuje dane osobowe jako wszelkie informacje, które mogą zidentyfikować osobę fizyczną, bezpośrednio lub pośrednio, poprzez odniesienie do identyfikatora, w tym
wszelkie dane osobowe gromadzone od osób fizycznych w krajach Europejskiego Obszaru Gospodarczego (EOG) podlegają RODO. W przypadku pytań, wyślij e-mail do [email protected]. |
Historia zmian
Wersja | opublikowana | Autor | opis |
0.1 | 07/02/2008 | Doug Markiewicz | |
0.2 | 09/25/2008 | Doug Markiewicz | zastąpił sekcję kategoryzacji zbiorami danych i dodał sekcje dotyczące reklasyfikacji i obliczania klasyfikacji. |
0.3 | 10/20/2008 | Doug Markiewicz | przepisał rozdział dotyczący obliczania klasyfikacji ze względu na wady w oryginalnym systemie. Zaktualizowany cel, zastosowanie i definicje. |
0.4 | 11/04/2008 | Doug Markiewicz | usunął równanie, dokonał drobnej aktualizacji definicji Danych Publicznych i zaktualizował dodatkowe informacje. Posortowany Dodatek A tak, aby terminy były wyświetlane w kolejności alfabetycznej i dodawane jako termin objęte informacje finansowe. |
0.5 | 02/20/2009 | Doug Markiewicz | dodał brakujący punkt do ostatniego identyfikatora wymienionego w Załączniku A definicja G. sama definicja nie została zmodyfikowana. |
0.6 | 02/26/2009 | Doug Markiewicz | różne aktualizacje na podstawie opinii. Główne zmiany obejmują dodanie „Data Steward” do definicji, dodanie odniesień do ról bezpieczeństwa informacji & obowiązków i dodanie federalnych informacji podatkowych do załącznika A. |
0.7 | 03/18/2009 | Doug Markiewicz | Zaktualizowano definicję PHI w Załączniku A w celu odniesienia się do polityki bezpieczeństwa informacji HIPAA. Dodano Weryfikator uwierzytelniania do dodatku A. |
0.8 | 09/17/2009 | Doug Markiewicz | Usunięto dokumentację edukacyjną z załącznika A zgodnie z zaleceniem Radcy Prawnego. Zaktualizowano dane edukacyjne umożliwiające identyfikację osoby w Załączniku A, aby odnieść się do polityki dotyczącej praw uczniów do Prywatności. |
0.9 | 01/22/2010 | Doug Markiewicz | zaktualizował Załącznik A, aby uwzględnić materiały kontrolowane przez eksport. |
1.0 | 09/15/2011 | Doug Markiewicz | Zaktualizowano definicję chronionych informacji zdrowotnych w celu dostosowania do nowej polityki HIPAA. Usunięto oznaczenie projektu. |
1.1 | 04/07/2015 | Laura Raderman |
zaktualizowała Załącznik A, aby uwzględnić kontrolowane Informacje Techniczne. |
1.2 | 03/20/2018 | Laura Raderman |
zaktualizowała Dodatek A, aby uwzględnić FOUO i CUI. |
1.3 | 05/23/2018 | Mary Ann Blair |
Status: | opublikowany |
opublikowano: | 07/02/2008 |
Ostatnio przeglądane: | 05/23/2018 |
Ostatnia aktualizacja: | 05/23/2018 |