Contenidos
Ejemplos de niveles de protección 1 – 4
La UC BFB IS-3 establece que la Información Institucional y los Recursos de TI deben ser protegidos de acuerdo con sus clasificaciones. Esta Norma es un marco para evaluar el impacto adverso que tendría en el Campus la pérdida de confidencialidad, integridad o disponibilidad de la Información Institucional y los Recursos de TI. Proporciona la base para establecer los requisitos de seguridad para cada clasificación de datos.
Los propietarios pueden elevar los niveles de protección para un caso de uso específico. Se requiere una excepción para bajar un Nivel de Protección publicado. Por favor, póngase en contacto con la Oficina de Seguridad de la Información si un elemento que aparece a continuación parece estar mal clasificado, o si no puede determinar un Nivel de Protección.
Información institucional y recursos informáticos relacionados que requieren la notificación a las partes afectadas en caso de violación de la confidencialidad. Esta categoría también incluye datos y sistemas que crean un amplio riesgo de “destino compartido”, en el que un compromiso causaría un compromiso mayor y extenso entre múltiples sistemas sensibles (incluso no relacionados).
Qué son los datos p2
La clasificación de los datos los etiqueta según su tipo, sensibilidad y valor para la organización en caso de alteración, robo o destrucción. Ayuda a una organización a entender el valor de sus datos, a determinar si los datos están en riesgo y a implementar controles para mitigar los riesgos. La clasificación de datos también ayuda a una organización a cumplir con los mandatos normativos específicos del sector, como SOX, HIPAA, PCI DSS y GDPR.
Dado que las etiquetas alto, medio y bajo son algo genéricas, una práctica recomendada es utilizar etiquetas para cada nivel de sensibilidad que tengan sentido para su organización. A continuación se muestran dos modelos ampliamente utilizados.
Antes de realizar la clasificación de los datos, debe realizar un descubrimiento de datos preciso y completo. Las herramientas automatizadas pueden ayudar a descubrir datos sensibles a gran escala. Consulte nuestro artículo sobre descubrimiento de datos para obtener más información.
Una política de clasificación de datos define quién es el responsable de la clasificación de datos, normalmente definiendo a los designados del área de programas (PAD) que son responsables de clasificar los datos para los diferentes programas o unidades organizativas.
Política de clasificación de datos
Dirija cualquier pregunta general sobre esta directriz al enlace de seguridad de la información de su unidad. Si tiene preguntas específicas, póngase en contacto con OneIT Information Security Compliance en [email protected].
Los datos confidenciales/sensibles incluyen, entre otros, los siguientes Datos de estudiantes que no están designados como información de directorio, datos de pasaporte, información financiera personal, ciertos datos de investigación (por ejemplo, de propiedad o protegidos de otra manera), información de identificación personal (PII) como nombre, fecha de nacimiento, dirección, identificación de empleado o estudiante, etc. cuando la información se mantiene en combinación y podría conducir al robo de identidad u otro uso indebido.
Los datos altamente restringidos incluyen, pero no se limitan a: Números de la Seguridad Social, números de tarjetas de pago, historiales médicos, información restringida protegida por acuerdos de no divulgación, datos de investigación restringidos.
Debido a su naturaleza restringida, los datos de nivel 3 requieren un tratamiento especial. Algunas unidades pueden manejar datos de nivel 3 como parte de sus procesos empresariales; sin embargo, esos datos no deben exportarse ni almacenarse fuera de su ubicación segura sin el permiso expreso del propietario de los datos o del sistema.
Definición del nivel de protección 1
Es probable que el acceso, uso, divulgación o pérdida no autorizados tengan un riesgo bajo o nulo para las personas, los grupos o la Universidad. Estos efectos adversos pueden incluir, aunque es poco probable, un daño limitado a la reputación, psicológico, social o financiero. La información de bajo riesgo puede incluir algunos datos no públicos. Algunos ejemplos son:
Para utilizar la Herramienta de Decisión de Clasificación de la Información, comience escribiendo el tipo de información que tiene en el cuadro de búsqueda (por ejemplo, “número de tarjeta de crédito” o “número de pasaporte”). La herramienta reducirá los resultados en función de sus criterios de búsqueda.
INFORMACIÓN RESTRINGIDADatos sujetos a las normas moderadas o altas de la Ley Federal de Gestión de la Seguridad de la Información (FISMA) Ley Federal de Gestión de la Seguridad de la Información de 2002, una ley federal de los Estados Unidos como Título III de la Ley de Gobierno Electrónico de 2002, que requiere que las agencias federales desarrollen, documenten e implementen sistemas y políticas de seguridad de la información que apoyen las operaciones de la agenciaL4
INFORMACIÓN RESTRINGIDANormas de administración de las exportaciones (EAR)Normas del Departamento de Comercio de los Estados Unidos que regulan la exportación de productos de “doble uso”. Estos productos incluyen bienes y tecnología relacionada, incluyendo datos técnicos y asistencia técnica, que están diseñados para fines comerciales pero que pueden tener aplicaciones militaresL4https://www.gpo.gov/fdsys/pkg/CFR-2011-title15-vol2/xml/CFR-2011-title15-vol2-subtitleB-chapVII-subchapC.xml