COLECCIÓN DE RECURSOS

Estándar de clasificación de datos

Committee on Information Technology (COIT)

Aprobado el 27 de octubre de 2017

OBJETO Y ALCANCE

Este Estándar de Clasificación de Datos (Estándar) es un estándar de implementación de la próxima Política de Datos y la Política de Ciberseguridad de toda la Ciudad.

Las disposiciones de esta Norma se aplican a la Ciudad y el Condado de San Francisco (la Ciudad) y a los departamentos, agencias, oficinas, comisiones y otras unidades gubernamentales (departamentos) que la componen. Todos los empleados y otros usuarios de datos (definidos a continuación) son responsables de cumplir con esta Norma.

Esta Norma no altera los requisitos de acceso a la información pública. Las solicitudes de la Ley de Registros Públicos de California o la Ordenanza Sunshine de San Francisco y otras obligaciones legales pueden exigir la divulgación o liberación de datos de cualquier clasificación.

REQUISITOS

Los departamentos deben:

  1. Categorice y etiquete o marque los datos según los niveles de clasificación que se indican a continuación, como parte del proceso anual de inventario de datos establecido en la Política de Datos. Cuando un mismo sistema contenga diversas clases de datos, los departamentos deberán priorizar la clasificación del sistema (no de los conjuntos de datos individuales) según la clasificación más alta de los datos que contiene. Sin embargo, esto no debe obstaculizar el objetivo de seguridad de «disponibilidad», tal como se establece más adelante.
  2. Revisar la clasificación de los datos periódicamente, pero al menos una vez al año, como parte del proceso de inventario anual de datos establecido en la Política de Datos.
  3. Revisar y modificar la clasificación de datos según corresponda cuando los datos se desidentifiquen, combinen o agreguen.

Los departamentos deben seguir las siguientes pautas al utilizar esta Norma:

  1. Apéndice A, que proporciona un procedimiento paso a paso para clasificar datos de acuerdo con este esquema de clasificación de datos.
  2. Apéndice B, que proporciona ejemplos de datos en cada nivel de clasificación.

Una vez clasificados los datos, los Departamentos deberán consultar:

  1. La Política de Seguridad Cibernética de toda la Ciudad y sus estándares asociados para el marco y la metodología de evaluación de riesgos para seleccionar controles de seguridad apropiados para las clases de datos que recopilan y mantienen.
  2. La Política de Datos y sus estándares asociados para la gestión de datos y los principios de privacidad que se aplican a las clases de datos que recopilan y mantienen.

OBJETIVOS DE CLASIFICACIÓN DE DATOS

A continuación se detallan los objetivos para la clasificación de datos, tal como los define el marco de seguridad de la información FISMA (Ley Federal de Gestión de la Seguridad de la Información) del Gobierno Federal y el estándar FIPS (Estándar Federal de Procesamiento de la Información) que lo respalda.

Objetivo de seguridad: Confidencialidad

  • Definición de FISMA: “Preservar las restricciones autorizadas sobre el acceso y la divulgación de información, incluidos los medios para proteger la privacidad personal y la información confidencial...”
  • Definición de FIPS 199: Una pérdida de confidencialidad es la divulgación no autorizada de información.

Objetivo de seguridad: Integridad

  • Definición de FISMA: Evitar “la modificación o destrucción indebida de información, e incluye garantizar la no repudiación y autenticidad de la información...”
  • Definición de FIPS 199: Una pérdida de integridad es la modificación o destrucción no autorizada de la información.

Objetivo de seguridad: Disponibilidad

  • Definición de FISMA: “Garantizar el acceso y el uso oportunos y fiables de la información...”
  • Definición de FIPS 199: Una pérdida de disponibilidad es la interrupción; perturbación del acceso o uso de la información o de un sistema de información.

CLASIFICACIÓN DE DATOS

A continuación se describen cada clasificación de datos y su posible impacto; efecto adverso asociado.

Nivel 1 Público

  • Descripción: Datos disponibles para acceso o divulgación pública.
  • Impacto; efecto adverso potencial: Ninguno - Bajo

Uso interno de nivel 2

  • Descripción: Datos que constituyen información operativa habitual, pero que no se divulgan públicamente de forma proactiva. Su visualización y uso están destinados a los empleados; podrían estar disponibles para toda la ciudad o para empleados específicos de un Departamentos, división o Unidad de negocio. Ciertos datos podrían facilitarse a terceros que lo soliciten.
  • Impacto; efecto adverso potencial: Bajo

Sensible de nivel 3

  • Descripción: Datos destinados a ser divulgados solo a quienes necesiten conocerlos. Datos regulados por leyes o normativas de privacidad, o restringidos por un Agencias regulador, un contrato, una subvención u otros términos y condiciones de acuerdo.
  • Impacto; efecto adverso potencial: Bajo - Moderado

Nivel 4 de protección

  • Descripción: Datos que activan la obligación de notificar a las partes afectadas o a las autoridades públicas en caso de una violación de seguridad.
  • Impacto; efecto adverso potencial: moderado

Nivel 5 restringido

  • Descripción: Estos datos representan amenazas directas para la vida humana o la pérdida catastrófica de activos importantes e infraestructura crítica (por ejemplo, desencadenar largos períodos de interrupciones en procesos o servicios críticos para los residentes).* *Antes de clasificar los datos como Nivel 5 Restringido, debe hablar con los líderes de su Departamentos y el Director de Seguridad de la Información de la Ciudad. Solo en casos excepcionales se clasificarán datos en este nivel. Por ejemplo, en la orientación; asesoramiento federal NIST, la información de seguridad nacional, defensa nacional e inteligencia se clasifica como de "alto" impacto; efecto.
  • Impacto; efecto adverso potencial: Alto

FUNCIONES Y RESPONSABILIDADES

Los responsables de datos deben:

  • Tal como se establece en los Requisitos anteriores, determine la clasificación apropiada de los datos generados por el Departamentos de acuerdo con la Norma, en consulta con el Oficial de Ciberseguridad o Enlace del departamento, el Custodio de Datos, el Oficial de Privacidad, el asesor legal, la gestión de riesgos y/u otro personal según sea necesario;
  • Revisar y/o modificar la clasificación de los datos según lo establecido en los Requisitos anteriores.
  • Asegurar la comunicación de la clasificación de los datos cuando estos se divulguen o se proporcionen a otra entidad; y
  • Asegúrese de que se implementen los controles de privacidad y seguridad adecuados con respecto a la clasificación de los datos.

Los responsables o enlaces de ciberseguridad deben:

  • Asesorar sobre los niveles de riesgo aceptables y el nivel adecuado de controles de seguridad para los sistemas de información de conformidad con esta Norma y la Política de Ciberseguridad de la Ciudad.

Los responsables de privacidad deben:

  • Brindar el apoyo adecuado a los responsables de datos de su departamento para clasificar los datos y cumplir con la Política de Datos y sus normas de implementación.

Los responsables de los datos deben:

  • Brindar el apoyo adecuado a los responsables de datos y al oficial o enlace de ciberseguridad de su departamento para el desempeño de sus funciones y responsabilidades en virtud de esta norma.

El responsable de seguridad informática de la ciudad debe:

  • Brindar el apoyo adecuado a los departamentos en sus esfuerzos por clasificar los datos y cumplir con la Política de Ciberseguridad de la Ciudad y sus normas de implementación.

El responsable de datos de la ciudad debe:

  • Brindar el apoyo adecuado a los departamentos en sus esfuerzos por clasificar los datos y cumplir con la Política de Datos y sus normas de implementación.

Los usuarios de datos deben:

  • Obtenga permiso del responsable de datos o de la persona que este designe para recopilar, acceder o utilizar datos (esto incluye permisos preestablecidos según la asignación de trabajo);
  • Cumplir con los requisitos de manejo y seguridad especificados por el Oficial o Enlace de Ciberseguridad de su departamento o la persona que este designe; y
  • Deben estar familiarizados con las leyes federal, estatales y locales de confidencialidad o privacidad relacionadas con los datos que recopilan, a los que acceden, que utilizan o que mantienen en el desempeño de su trabajo.

AUTORIZACIÓN

La SECCIÓN 22D.2. del Código Administrativo de la Ciudad establece: “Cada Departamentos, junta, comisión y Agencias de la Ciudad (“Departamentos”) deberá:

  1. Realizar esfuerzos razonables para que todos los conjuntos de datos bajo el control del Departamento estén disponibles públicamente, siempre y cuando dicha divulgación sea coherente con las normas y estándares técnicos elaborados por el CDO y adoptados por COIT, así como con la legislación aplicable, incluidas las leyes relacionadas con la privacidad.
  2. Revisar los conjuntos de datos de los Departamentos para su posible inclusión en DataSF y asegurarse de que cumplen con las normas y los estándares técnicos adoptados por COIT.
  3. Designar un coordinador de datos…”.

REFERENCIAS

DEFINICIONES

  • Responsable o enlace de ciberseguridad: El responsable o enlace de ciberseguridad designado por cada Departamentos según lo establecido en la Política de Ciberseguridad de la ciudad.
  • Datos: Información preparada, gestionada, utilizada o conservada por un Departamentos o empleado de la Ciudad o un usuario de datos relacionada con las actividades u operaciones de la Ciudad, incluyendo la información de identificación personal (IIP) definida a continuación. Los datos excluyen cualquier IIP incidental de empleado o usuarios de datos que no esté relacionada con (i) las actividades u operaciones de la Ciudad o (ii) su condición de empleado, voluntario, contratista, beneficiario de subvención, afiliado o agente de la Ciudad.
  • Coordinador de datos: Empleado municipal designado por un Departamentos como principal punto de contacto y coordinación para la gestión y clasificación de datos en su Departamentos.
  • Responsable de datos: Persona encargada del entorno técnico (por ejemplo, base de datos o sistema). En equipos pequeños, el responsable de datos y el administrador pueden ser la misma persona. En algunos entornos técnicos, el responsable de datos puede ser un contratista.
  • Responsable de datos: Persona encargada de la gestión diaria de bases de datos, conjuntos de datos o sistemas de información específicos. En general, un responsable de datos posee conocimientos empresariales sobre los datos y puede responder preguntas al respecto.
  • Usuarios de datos: Empleado, contratistas u otras personas vinculadas a la ciudad que tengan derecho a recopilar, acceder y/o utilizar los datos. Un conjunto de datos puede tener más de un grupo de usuarios.
  • Información de identificación personal (PII): Cualquier dato sobre un individuo mantenido por una Agencias, incluyendo (1) cualquier información que pueda usarse para distinguir o rastrear la identidad de un individuo, como nombre, número de seguro social, fecha y lugar de nacimiento, apellido de soltera de la madre o registros biométricos; y (2) cualquier otra información que esté vinculada o pueda vincularse a un individuo, como información médica, educativa, financiera y laboral.
  • Responsable de Privacidad: Empleado municipal designado por un Departamentos como principal punto de contacto y responsable en materia de privacidad. No todos los departamentos contarán con un Responsable de Privacidad.

APÉNDICE A

Paso 1: ¿Son estos datos de la ciudad?

Los datos son:

  • Información preparada, gestionada, utilizada o conservada por un Departamentos o empleado de la Ciudad o un usuario de datos, Y
  • Se relaciona con las actividades u operaciones de la Ciudad, incluyendo:
    • Información de identificación personal (IIP);
    • Datos procedentes de fuentes externas pero gestionados, utilizados o conservados por la Ciudad; y
    • Información de identificación personal relacionada con la condición de una persona como empleado, voluntario, contratista, beneficiario de una subvención, afiliado o agente de la Ciudad.

Los datos excluyen:

  • Cualquier información personal identificable incidental de empleado o usuarios de datos que no esté relacionada con (i) las actividades u operaciones de la Ciudad o (ii) su condición de empleado, voluntario, contratista, beneficiario de subvenciones, afiliado o agente de la Ciudad.

Paso 2: ¿Están disponibles los datos para su divulgación pública?

Precaución: Debe asegurarse de que estos datos no estén sujetos a ninguna ley que limite su divulgación pública. Si lo están, continúe con el Paso 2. Los datos disponibles para su divulgación pública se clasificarán como Nivel 1: Público. ¡Listo! ¡Ha terminado!

Paso 3: Identificar el nivel de impacto; efecto adverso potencial debido a la pérdida de confidencialidad, integridad o disponibilidad.

El siguiente conjunto de recursos le ayudará a identificar el nivel de impacto; efecto adverso potencial debido a la pérdida de confidencialidad, integridad o disponibilidad de los datos. Estos recursos abarcan 3 áreas:

  1. Una plantilla para documentar su toma de decisiones
  2. Comprender los niveles de posibles impactos adversos (bajo, medio, alto).
  3. Seleccione el/los nivel(es) que correspondan a sus datos para cada objetivo de seguridad (confidencialidad, integridad, disponibilidad).

Para obtener estos recursos, póngase en contacto con el personal de COIT.

APÉNDICE B

A continuación se muestran ejemplos de tipos de datos según su nivel de clasificación. Sus datos pueden diferir de los ejemplos que se presentan a continuación. Consulte el Procedimiento de clasificación de datos del Apéndice A para obtener ayuda adicional.

Nivel 1 Público

  • Datos abiertos
  • Sitios web públicos
  • Comunicados de prensa
  • Anuncios de empleo
  • Informes públicos
  • Listados de licitaciones/contratos/solicitudes de propuestas
  • Determinados datos e informes financieros
  • Información sobre inspección sanitaria o de edificios
  • Avisos sobre futuros proyectos de construcción

Uso interno de nivel 2

  • Directorio telefónico de empleado
  • Borradores de informes, memorandos y actas de reuniones.
  • Documentos internos del proyecto
  • Intranet
  • Datos de consumo de combustible/ Fleet Management
  • Datos de gestión del aprendizaje
  • Algunos datos financieros
  • Algunas grabaciones de audio y video

Sensible de nivel 3

  • Registros de personal (incluido el nombre del empleado + número DSW, evaluaciones de desempeño)
  • Información de identificación personal (IIP) que no activa los requisitos legales de notificación.
  • Ciertos datos de seguridad pública/antecedentes penales
  • Información de seguridad sensible (SSI)
  • Registros de acceso de seguridad física
  • Datos de investigación (por ejemplo, relacionados con citaciones, procedimientos legales)
  • Secretos comerciales/datos confidenciales/datos comercialmente sensibles
  • Datos de gestión y mitigación de riesgos internos
  • Información central sobre la gestión de propiedades

Nivel 4 de protección

  • Número de seguro social
  • Número de licencia de conducir
  • Número de identificación de California
  • Datos de la industria de tarjetas de pago (PCI) y otra información financiera del cliente.
  • Información de salud protegida (PHI)

Nivel 5 restringido

  • Determinada información de red/infraestructura