Information Security Office

cel

celem niniejszych wytycznych jest ustanowienie ram klasyfikacji danych instytucjonalnych w oparciu o ich poziom wrażliwości, wartości i krytyczności dla uczelni zgodnie z wymogami polityki bezpieczeństwa informacji uczelni. Klasyfikacja danych pomoże w określeniu podstawowych środków kontroli bezpieczeństwa w celu ochrony danych.

dotyczy

niniejsza Polityka dotyczy wszystkich wykładowców, pracowników i agentów zewnętrznych Uniwersytetu, a także wszelkich innych jednostek stowarzyszonych uczelni, które są upoważnione do dostępu do danych instytucjonalnych. Niniejsze wytyczne mają w szczególności zastosowanie do osób odpowiedzialnych za klasyfikowanie i ochronę danych instytucjonalnych, zgodnie z ich rolą i obowiązkami w zakresie bezpieczeństwa informacji.

definicje

dane poufne to uogólniony termin, który zazwyczaj reprezentuje dane sklasyfikowane jako zastrzeżone, zgodnie ze schematem klasyfikacji danych zdefiniowanym w niniejszych wytycznych. Termin ten jest często używany zamiennie z danymi wrażliwymi.

zarządca danych jest pracownikiem wyższego szczebla uniwersytetu, który nadzoruje cykl życia jednego lub więcej zestawów danych instytucjonalnych. Zobacz role i obowiązki w zakresie bezpieczeństwa informacji, aby uzyskać więcej informacji.

dane instytucjonalne są definiowane jako wszystkie dane będące własnością lub licencjonowane przez Uniwersytet.

informacje niepubliczne definiuje się jako wszelkie informacje, które są klasyfikowane jako informacje prywatne lub zastrzeżone zgodnie ze schematem klasyfikacji danych określonym w niniejszych wytycznych.

dane wrażliwe to uogólniony termin, który zazwyczaj reprezentuje dane sklasyfikowane jako ograniczone, zgodnie ze schematem klasyfikacji danych zdefiniowanym w niniejszych wytycznych. Termin ten jest często używany zamiennie z danymi poufnymi.

klasyfikacja danych

klasyfikacja danych, w kontekście bezpieczeństwa informacji, jest klasyfikacją danych na podstawie ich poziomu wrażliwości i wpływu na Uniwersytet, jeśli dane te zostaną ujawnione, zmienione lub zniszczone bez zezwolenia. Klasyfikacja danych pomaga określić, jakie podstawowe środki kontroli bezpieczeństwa są odpowiednie do ochrony tych danych. Wszystkie dane instytucjonalne należy podzielić na jeden z trzech poziomów wrażliwości, czyli klasyfikacje:

Klasyfikacja definicja
zastrzeżone dane powinny być klasyfikowane jako zastrzeżone, gdy nieuprawnione ujawnienie, zmiana lub zniszczenie tych danych może spowodować znaczny poziom ryzyka dla uniwersytetu lub jego podmiotów stowarzyszonych. Przykłady ograniczonych danych obejmują dane chronione przez stanowe lub federalne przepisy dotyczące prywatności oraz dane chronione przez umowy o Zachowaniu Poufności. Do ograniczonych danych należy stosować najwyższy poziom kontroli w zakresie ochrony.
prywatne dane powinny być klasyfikowane jako prywatne, gdy nieautoryzowane ujawnienie, zmiana lub zniszczenie tych danych może spowodować Umiarkowany poziom ryzyka dla uczelni lub jej podmiotów stowarzyszonych. Domyślnie wszystkie dane instytucjonalne, które nie są wyraźnie sklasyfikowane jako dane zastrzeżone lub publiczne, powinny być traktowane jako dane prywatne. W odniesieniu do danych prywatnych należy stosować rozsądny poziom kontroli bezpieczeństwa.
publiczne dane powinny być klasyfikowane jako publiczne, gdy nieautoryzowane ujawnienie, zmiana lub zniszczenie tych danych spowodowałoby niewielkie lub żadne ryzyko dla uniwersytetu i jego podmiotów stowarzyszonych. Przykładami Danych Publicznych są komunikaty prasowe, informacje o kursach i publikacje naukowe. Chociaż w celu ochrony poufności Danych Publicznych wymagane są niewielkie kontrole lub ich brak, wymagany jest pewien poziom kontroli, aby zapobiec nieautoryzowanej modyfikacji lub zniszczeniu Danych Publicznych.

klasyfikacja danych powinna być dokonywana przez odpowiedniego Administratora Danych. Administratorzy danych to pracownicy wyższego szczebla Uniwersytetu, którzy nadzorują cykl życia jednego lub więcej zestawów danych instytucjonalnych. Zobacz role i obowiązki w zakresie bezpieczeństwa informacji, aby uzyskać więcej informacji na temat roli administratora danych i powiązanych obowiązków.

zbiory danych

zarządcy danych mogą chcieć przypisać pojedynczą klasyfikację do zbioru danych, który jest wspólny dla celu lub funkcji. Przy klasyfikacji zbioru danych należy stosować najbardziej restrykcyjną klasyfikację któregokolwiek z poszczególnych elementów danych. Na przykład, jeśli zbiór danych składa się z imienia i nazwiska studenta, adresu i numeru ubezpieczenia społecznego, zbiór danych powinien zostać sklasyfikowany jako ograniczony, nawet jeśli imię i nazwisko studenta i jego adres można uznać za informacje publiczne.

przeklasyfikowanie

okresowo ważne jest, aby ponownie ocenić klasyfikację danych instytucjonalnych, aby zapewnić, że przypisana klasyfikacja jest nadal odpowiednia w oparciu o zmiany zobowiązań prawnych i umownych, a także zmiany w wykorzystaniu danych lub ich wartości dla uczelni. Ocena ta powinna być przeprowadzona przez odpowiedniego Administratora Danych. Zachęca się do corocznego przeprowadzania oceny; jednak zarządca danych powinien określić, jaka częstotliwość jest najbardziej odpowiednia w oparciu o dostępne zasoby. Jeśli Steward danych stwierdzi, że klasyfikacja określonego zbioru danych uległa zmianie, należy przeprowadzić analizę kontroli bezpieczeństwa w celu ustalenia, czy istniejące kontrole są zgodne z nową klasyfikacją. W przypadku wykrycia luk w istniejących środkach kontroli w zakresie ochrony należy je odpowiednio szybko skorygować, proporcjonalnie do poziomu ryzyka stwarzanego przez luki.

Obliczanie klasyfikacji

celem bezpieczeństwa informacji, zgodnie z polityką bezpieczeństwa informacji Uczelni, jest ochrona poufności, integralności i dostępności danych instytucjonalnych. Klasyfikacja danych odzwierciedla poziom wpływu na Uniwersytet w przypadku naruszenia poufności, integralności lub dostępności.

niestety nie ma doskonałego systemu ilościowego do obliczania klasyfikacji określonego elementu danych. W niektórych sytuacjach odpowiednia klasyfikacja może być bardziej oczywista, na przykład gdy prawo federalne wymaga od uczelni ochrony niektórych rodzajów danych (np. danych osobowych). Jeśli odpowiednia klasyfikacja nie jest z natury oczywista, należy rozważyć każdy cel bezpieczeństwa, korzystając z poniższej tabeli jako przewodnika. Jest to fragment publikacji Federal Information Processing Standards (FIPS) 199 opublikowanej przez National Institute of Standards and Technology, która omawia kategoryzację informacji i systemów informatycznych.

potencjalny wpływ
cel bezpieczeństwa niski średni wysoki
poufność
zachowanie dozwolonych ograniczeń w dostępie do informacji i ich ujawnianiu, w tym środków ochrony prywatności i Informacji Zastrzeżonych.
nieautoryzowane ujawnienie informacji może mieć ograniczony negatywny wpływ na operacje organizacyjne, aktywa organizacyjne lub osoby fizyczne. nieautoryzowane ujawnienie informacji może mieć poważny niekorzystny wpływ na operacje organizacyjne, aktywa organizacyjne lub osoby fizyczne. nieautoryzowane ujawnienie informacji może mieć poważny lub katastrofalny niekorzystny wpływ na operacje organizacyjne, aktywa organizacyjne lub osoby fizyczne.
integralność
Ochrona przed niewłaściwą modyfikacją lub zniszczeniem informacji i obejmuje zapewnienie nieujawniania i autentyczności informacji.
nieautoryzowana modyfikacja lub zniszczenie informacji może mieć ograniczony negatywny wpływ na operacje organizacyjne, aktywa organizacyjne lub osoby fizyczne. nieautoryzowana modyfikacja lub zniszczenie informacji może mieć poważny niekorzystny wpływ na operacje organizacyjne, aktywa organizacyjne lub osoby fizyczne. nieautoryzowana modyfikacja lub zniszczenie informacji może mieć poważny lub katastrofalny niekorzystny wpływ na operacje organizacyjne, aktywa organizacyjne lub osoby fizyczne.
dostępność
zapewnienie terminowego i niezawodnego dostępu do informacji i ich wykorzystywania.
można oczekiwać, że zakłócenie dostępu lub korzystania z informacji lub systemu informacyjnego będzie miało ograniczony negatywny wpływ na operacje organizacyjne, aktywa organizacyjne lub osoby fizyczne. można oczekiwać, że zakłócenie dostępu lub korzystania z informacji lub systemu informacyjnego może mieć poważny niekorzystny wpływ na operacje organizacyjne, aktywa organizacyjne lub osoby fizyczne. można oczekiwać, że zakłócenie dostępu lub korzystania z informacji lub systemu informacyjnego może mieć poważny lub katastrofalny niekorzystny wpływ na operacje organizacyjne, aktywa organizacyjne lub osoby fizyczne.

ponieważ całkowity potencjalny wpływ na Uniwersytet wzrasta z Niskiego na wysoki, klasyfikacja danych powinna stać się bardziej restrykcyjna, przechodząc z publicznego na Ograniczony. Jeśli po rozważeniu tych punktów nadal nie jest jasne, jaka jest odpowiednia klasyfikacja, skontaktuj się z Biurem Bezpieczeństwa Informacji w celu uzyskania pomocy.

Dodatek A-predefiniowane rodzaje Informacji Zastrzeżonych

Biuro Bezpieczeństwa Informacji i biuro Radcy Prawnego zdefiniowały kilka rodzajów danych zastrzeżonych w oparciu o stanowe i federalne wymogi regulacyjne. Są one zdefiniowane w następujący sposób:

Weryfikator uwierzytelniania
Weryfikator uwierzytelniania to informacja, która jest przechowywana w tajemnicy przez osobę i używana do udowodnienia, że dana osoba jest tym, za kogo się podaje. W niektórych przypadkach Weryfikator uwierzytelniania może być współdzielony między niewielką grupą osób. Weryfikator uwierzytelniania może być również wykorzystywany do udowodnienia tożsamości systemu lub usługi. Przykłady obejmują, ale nie są ograniczone do:

  • hasła
  • wspólne tajemnice
  • kryptograficzne klucze prywatne
objęte informacje finansowe
Zobacz program bezpieczeństwa informacji Gramm-Leach-Bliley.
elektroniczna chroniona informacja zdrowotna („EPHI”)
EPHI definiuje się jako wszelkie chronione informacje zdrowotne („PHI”), które są przechowywane lub przesyłane za pośrednictwem mediów elektronicznych. Do celów niniejszej definicji media elektroniczne obejmują:

  • elektroniczne nośniki pamięci obejmują komputerowe dyski twarde i wszelkie wymienne i/lub przenośne nośniki pamięci cyfrowej, takie jak taśma magnetyczna lub dysk, dysk optyczny lub cyfrowa karta pamięci.
  • media transmisyjne wykorzystywane do wymiany informacji już w elektronicznych nośnikach danych. Media transmisyjne obejmują na przykład Internet, ekstranet (wykorzystujący technologię internetową do połączenia przedsiębiorstwa z informacjami dostępnymi tylko dla stron współpracujących), łącza dzierżawione, łącza dial-up, sieci prywatne oraz fizyczny ruch wymiennych i/lub przenośnych elektronicznych nośników danych. Niektóre transmisje, w tym transmisje papierowe, telefaksowe i głosowe, telefoniczne, nie są uważane za Transmisje za pośrednictwem mediów elektronicznych, ponieważ wymieniane informacje nie istniały w formie elektronicznej przed transmisją.
eksport materiałów kontrolowanych

eksport materiałów kontrolowanych jest zdefiniowany jako wszelkie informacje lub materiały, które podlegają regulacjom kontroli eksportu Stanów Zjednoczonych, w tym, ale nie ograniczając się do, Export Administration Regulations (EAR) opublikowanym przez USA. Department of Commerce and the International Traffic in Arms Regulations (ITAR) published by the U. S. Department of State. Więcej informacji można znaleźć w FAQ Biura Badań integralności i zgodności na temat kontroli eksportu.

Federalne informacje podatkowe („FTI”)
FTI jest zdefiniowana jako wszelkie informacje zwrotne, informacje zwrotne lub informacje zwrotne podatnika, które są powierzone uczelni przez Internal Revenue Services. Więcej informacji można znaleźć w publikacji Internal Revenue Service 1075 Exhibit 2.
informacje o karcie płatniczej

informacje o karcie płatniczej są definiowane jako numer karty kredytowej (zwany także głównym numerem konta lub PAN) w połączeniu z jednym lub kilkoma z następujących elementów danych:

  • nazwa posiadacza karty
  • kod serwisowy
  • data ważności
  • wartość CVC2, CVV2 lub CID
  • PIN lub blok PIN
  • zawartość paska magnetycznego karty kredytowej

informacje o karcie płatniczej są również regulowane przez politykę i wytyczne PCI DSS uczelni (wymagane logowanie).

dane edukacyjne umożliwiające identyfikację osoby
dane edukacyjne umożliwiające identyfikację osoby są definiowane jako wszelkie dane edukacyjne, które zawierają jeden lub więcej z następujących identyfikatorów osobistych:

  • imię i nazwisko ucznia
  • imię i nazwisko rodzica lub innego członka rodziny ucznia
  • numer ubezpieczenia społecznego
  • numer ucznia
  • lista cech osobowych, które ułatwiłyby śledzenie tożsamości ucznia
  • wszelkie inne informacje lub identyfikator, które sprawiłyby, że tożsamość ucznia łatwo identyfikowalna

zobacz politykę Carnegie Mellon w sprawie praw do prywatności ucznia, aby uzyskać więcej informacji na temat tego, co stanowi zapis edukacyjny.

dane osobowe
w celu spełnienia wymogów dotyczących powiadamiania o naruszeniu bezpieczeństwa IIP definiuje się jako imię osoby lub imię i nazwisko w połączeniu z jednym lub kilkoma z następujących elementów danych:

  • numer ubezpieczenia społecznego
  • numer prawa jazdy wydanego przez państwo
  • numer dowodu osobistego wydanego przez państwo
  • numer rachunku finansowego w połączeniu z kodem bezpieczeństwa, kodem dostępu lub hasłem, które umożliwiłyby dostęp do konta
  • informacje medyczne i / lub ubezpieczenia zdrowotnego
chronione informacje zdrowotne („PHI”)
PHI definiuje się jako „indywidualnie identyfikowalne informacje zdrowotne” przekazywane za pośrednictwem mediów elektronicznych, przechowywane w mediach elektronicznych lub przesyłane lub utrzymywane w jakiejkolwiek innej formie lub nośniku przez komponent objęty ochroną, zgodnie z definicją zawartą w Polityce HIPAA Carnegie Mellon. PHI uznaje się za identyfikowalne indywidualnie, jeśli zawiera jeden lub więcej z następujących identyfikatorów:

  • imię i nazwisko
  • adres (Wszystkie poddziały geograficzne mniejsze niż stan, w tym adres ulicy, miasto, Hrabstwo, posterunek lub kod pocztowy)
  • wszystkie elementy dat (z wyjątkiem roku) związane z osobą, w tym data urodzenia, data przyjęcia, Data wypisu, Data śmierci i dokładny wiek, jeśli ukończono 89)
  • numery telefonów
  • Faks numery
  • adresy poczty elektronicznej
  • numery ubezpieczenia społecznego
  • numery dokumentacji medycznej
  • numery beneficjentów planu zdrowotnego
  • numery kont
  • certyfikat/licencja numery
  • identyfikatory pojazdów i numery seryjne, w tym Numer Tablicy Rejestracyjnej
  • identyfikatory urządzeń i numery seryjne
  • uniwersalne Lokalizatory zasobów (adresy URL)
  • adresy protokołu internetowego (IP)
  • identyfikatory biometryczne, w tym odciski palców i głosowe
  • pełne obrazy fotograficzne i wszelkie porównywalne obrazy
  • każdy inny niepowtarzalny numer identyfikacyjny, cecha lub kod, które mogłyby zidentyfikować osobę

zgodnie z Polityką HIPAA Carnegie Mellon, Phi nie obejmuje dokumentacji edukacyjnej ani Dokumentacji leczenia objętej Ustawa o prawach edukacyjnych i prywatności rodziny lub dokumentacja zatrudnienia posiadana przez uczelnię w jej roli pracodawcy.

kontrolowane Informacje Techniczne („CTI”)
kontrolowane Informacje Techniczne oznaczają „informacje techniczne z zastosowaniem wojskowym lub kosmicznym, które podlegają kontroli dostępu, użytkowania, powielania, modyfikacji, wydajności, wyświetlania, uwalniania, ujawniania lub rozpowszechniania” zgodnie z DFARS 252.204-7012.
wyłącznie do użytku Urzędowego („FOUO”)
dokumenty i dane oznaczone lub oznaczone wyłącznie do użytku Urzędowego są wstępnie kursorem kontrolowanych informacji niesklasyfikowanych (CUI) zdefiniowanych przez Narodowe Archiwa (NARA)
dane osobowe z Unii Europejskiej (UE)

Ogólne Rozporządzenie UE o ochronie danych (RODO) definiuje dane osobowe jako wszelkie informacje, które mogą zidentyfikować osobę fizyczną, bezpośrednio lub pośrednio, poprzez odniesienie do identyfikatora, w tym

  • Nazwa
  • numer identyfikacyjny
  • dane o lokalizacji
  • identyfikator internetowy
  • jeden lub więcej czynników specyficznych dla fizycznej, fizjologicznej, genetycznej, psychicznej, ekonomicznej, kulturowej lub społecznej tożsamości tej osoby fizycznej

wszelkie dane osobowe gromadzone od osób fizycznych w krajach Europejskiego Obszaru Gospodarczego (EOG) podlegają RODO. W przypadku pytań, wyślij e-mail do [email protected].

Historia zmian

Wersja opublikowana Autor opis
0.1 07/02/2008 Doug Markiewicz
0.2 09/25/2008 Doug Markiewicz zastąpił sekcję kategoryzacji zbiorami danych i dodał sekcje dotyczące reklasyfikacji i obliczania klasyfikacji.
0.3 10/20/2008 Doug Markiewicz przepisał rozdział dotyczący obliczania klasyfikacji ze względu na wady w oryginalnym systemie. Zaktualizowany cel, zastosowanie i definicje.
0.4 11/04/2008 Doug Markiewicz usunął równanie, dokonał drobnej aktualizacji definicji Danych Publicznych i zaktualizował dodatkowe informacje. Posortowany Dodatek A tak, aby terminy były wyświetlane w kolejności alfabetycznej i dodawane jako termin objęte informacje finansowe.
0.5 02/20/2009 Doug Markiewicz dodał brakujący punkt do ostatniego identyfikatora wymienionego w Załączniku A definicja G. sama definicja nie została zmodyfikowana.
0.6 02/26/2009 Doug Markiewicz różne aktualizacje na podstawie opinii. Główne zmiany obejmują dodanie „Data Steward” do definicji, dodanie odniesień do ról bezpieczeństwa informacji & obowiązków i dodanie federalnych informacji podatkowych do załącznika A.
0.7 03/18/2009 Doug Markiewicz Zaktualizowano definicję PHI w Załączniku A w celu odniesienia się do polityki bezpieczeństwa informacji HIPAA. Dodano Weryfikator uwierzytelniania do dodatku A.
0.8 09/17/2009 Doug Markiewicz Usunięto dokumentację edukacyjną z załącznika A zgodnie z zaleceniem Radcy Prawnego. Zaktualizowano dane edukacyjne umożliwiające identyfikację osoby w Załączniku A, aby odnieść się do polityki dotyczącej praw uczniów do Prywatności.
0.9 01/22/2010 Doug Markiewicz zaktualizował Załącznik A, aby uwzględnić materiały kontrolowane przez eksport.
1.0 09/15/2011 Doug Markiewicz Zaktualizowano definicję chronionych informacji zdrowotnych w celu dostosowania do nowej polityki HIPAA. Usunięto oznaczenie projektu.
1.1 04/07/2015 Laura Raderman

zaktualizowała Załącznik A, aby uwzględnić kontrolowane Informacje Techniczne.

1.2 03/20/2018 Laura Raderman

zaktualizowała Dodatek A, aby uwzględnić FOUO i CUI.

1.3 05/23/2018 Mary Ann Blair

Status: opublikowany
opublikowano: 07/02/2008
Ostatnio przeglądane: 05/23/2018
Ostatnia aktualizacja: 05/23/2018

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.

Previous post Jak Amisze Żyją Nieubezpieczeni, Ale Pozostają Zdrowi
Next post Inny Karmann Ghia Volkswagena: Typ 34