Информационные технологии классификация: Классификация информационных технологий | Волкова

Содержание

Классификация информационных технологий | Волкова

1. Автоматизированные диалоговые процедуры анализа целей и функций систем управления: учеб. пособие / Под ред. В.Н. Волковой. – СПб.: Изд-во Политехн. ун-та, 2010. – 72 с.

2. Болотова Л.С. Системы искусственного интеллекта: Модели и технологии, основанные на знаниях: учебник / Л.С. Болотова. – М.: Финансы и статистика, 2012. – 664 с.

3. Волкова В.Н. Теория информационных процессов и систем / В.Н. Волкова. – М.: Изд-во Юрайт, 2014. – 502 с.

4. Волкова В.Н. Методы организации сложных экспертиз: учеб. пособие / В.Н. Волкова, А.А. Денисов. – СПб.: Изд-во Политехн. ун-та, 2010. – 128 с.

5. Григорьев Л.Ю. Организационное проектирование на основе онтологий: методология и система ОРГ-Мастер / Л.Ю. Григорьев, Д.В. Кудрявцев // Научно-технические ведомости СПбГПУ. Серия «Информатика. Телекоммуникации. Управление». № 1. 2012. – С. 21–28.

6. Денисов А.А. Современные проблемы системного анализа: Информационные основы / А.А. Денисов. –СПб.: Изд-во Политехнического университета, 2005. – 296 с.

7. Клеменков П.А. Большие данные: современные подходы к хранению / П.А. Клеменков, С.Д. Кузнецов // Труды Института системного программирования РАН. – 2012. – Т. 23. – C. 141–156.

8. Компьютерная имитация экономических процессов / Под ред. А.А. Емельянова. – М.: Маркет ДС, 2010.– 464 с.

9. Паклин Н.Б. Бизнес-аналитика: от данных к знаниям / Н.Б. Паклин, В.И. Орешков. – СПб.: Питер, 2009. – 624 с.

10. Прикладная информатика: справочник / Под ред. В.Н. Волковой и В.Н. Юрьева. – М.: Финансы и статистика; ИНФРА-М, 2008. – 768 с.

11. Пятецкий-Шапир Г. Data Mining и перегрузка информацией // Вступительная статья к книге: Анализ данных и процессов / А.А. Барсегян, М.С. Куприянов, И.И. Холод, М.Д. Тесс, С.И. Елизаров. 3-е изд. перераб. и доп. – СПб.: БХВ-Петербург, 2009. – 512 с.

12. Руденский О.В. Инновационная цивилизация XXI века: конвергенция и синергия NBIC-технологий. Тенденции и прогнозы 2015–2030 / О.В. Руденский, О.П. Рыбак // Информационно-аналитический бюллетень. – № 3. – 2010. Отпечатано в ЦИСН. ISBN 1819-2858. ISSN 1819-2858. transhumanism-russia.ru›content/view/621/47.

13. Темников Ф.Е. Теоретические основы информационной техники / Ф.Е. Темников, В.А. Афонин, В.И. Дмитриев. – М.: Энергия, 1971. – 224 с. Изд. 2-е. – М.: Энергия, 1979. – 512 с.

14. Федотов А.В. Прогнозирование с использованием имитационных динамических моделей / А.В. Федотов, В.О. Лебедев. – Л.: ЛПИ, 1980. – 52 с.

15. Шрайбер Т.Дж. Моделирование на GPSS / Т.Дж. Шрайбер. – М.: Машиностроение, 1980. – 592 с Schriber, T. J. Simulation using GPSS. New York, 1974, Wiley.

16. http//www.answers.com/topic/emerging-technologies#ixzz3SP9WEAVx.

17. answers.com›topic/emerging-technologies.

18. transhumanism-russia.ru›content/view/621/47.

Классификация информационных технологий

Классификация информационных технологий.

Для того, чтобы правильно понять, оценить, грамотно разработать и использовать информационные технологии в различных сферах жизни общества необходима их предварительная классификация.
Все информационные технологии в зависимости от этапов обработки информации можно разделить на:
– предметные – последовательность технологических этапов модификации первичной информации в результатную;
– обеспечивающие – технологии обработки информации, которые могут использоваться как инструментарий в любых предметных областях для решения различных задач. Различаются в зависимости от класса задач, на которые ориентированы;

– функциональные – модификация обеспечивающих технологий, при которой реализуется одна из предметных.
В зависимости от практического приложения методов и средств обработки данных выделяют:
Глобальные ИТ – включают модели, методы и средства, формализующие и позволяющие использовать информационные ресурсы общества.
Базовые ИТ – предназначены для определенной области применения (производство, обучение и т.д.).
Конкретные ИТ – реализуют обработку данных при решение функциональных задач пользователей (планирование, анализ и т.д.).
В зависимости от поставленных целей возможно использование и других критериев классификации. Например, по типу применяемых ЭВМ, программных средств, средств передачи данных.
По типу носителя информации.
а) бумажная (входные и выходные документы)
б) безбумажная (сетевая технология, электронные деньги, документы)
По степени типизации операций.
а) Пооперационная – за каждой операцией закрепляется рабочее место с техническим средством. Это присуще пакетной технологии обработки информации, выполняемой на больших ЭВМ.
б) Попредметная – подразумевает выполнение всех операций на одном рабочем месте (АРМ).
По типу пользовательского интерфейса.
Командный — предполагает выдачу на экран приглашения для ввода команды.
WIMP – (Window-окно, Image-изображение, Menu-меню, Pointer-указатель).
SILK – (Speech-речь, Image-изображение, Language-язык, Knowledge-знание). В данном интерфейсе при воспроизведении речевой команды происходит переход от одних поисковых изображений к другим, согласно семантическим связям.
По типу операционной системы.
Операционные системы подразделяются на однопрограммные, многопрограммные и многопользовательские.
Однопрограммные – MS–DOS и др. Они поддерживают пакетный и диалоговый режимы обработки информации.
Многопрограммные – UNIX, DOS 7.0, OS/2, WINDOWS; позволяют совмещать диалоговую и пакетную технологии обработки информации.
Многопользовательские – (сетевые операционные системы) – INTERNET, NOVELL, ORACLE, NETWARE и др. осуществляют удаленную обработку в сетях, а также диалоговую и пакетную технологии на рабочем месте.
Рассмотрим вариант классификации, учитывающий возможность выделения типовых задач обработки информации, а также эффективность разработки, воспроизводства и применения технологий.
В составе основных операций по обработке информации, таких как создание, накопление, преобразование, передача, поиск, распределение, вывод и других, можно указать ряд автономных типовых функций обработки информации. К ним, в частности, относятся:
— математические вычисления; аналитические и символьные преобразования; математическое моделирование; алгоритмизация; программирование; обработка текстовой информации; обработка табличной информации; деловая графика; машинная графика; обработка изображений; передача и распределение информации и др.
Информационные технологии можно классифицировать следующим образом:
— функционально-ориентированные технологии;
— предметно-ориентированные технологии;
— проблемно-ориентированные технологии.
Функционально-ориентированные информационные технологии предназначены для реализации одной из типовых относительно автономных задач обработки информации. Такие технологии могут обладать довольно высокой степенью универсальности и быть доступными для разработки и воспроизводства при минимальном участии будущего потребителя.
Предметно-ориентированные информационные технологии предназначены для решения конкретной специфической задачи в конкретной области. Они максимальным образом удовлетворяют частным требованиям данного применения и могут обладать наименьшей степенью универсальности. Как правило, их появление невозможно без участия будущего пользователя.
Однако часто удается обобщить требования со стороны ряда конкретных приложений и выделить некоторые прикладные проблемы. Отсюда возникает понятие проблемно-ориентированной технологии, которая занимает в определенной степени промежуточное положение между функционально-ориентированной и предметно-ориентированной технологией. Потенциальные пользователи такой технологии могут принять участие в ее разработке только на начальной стадии обобщения и типизации конкретных задач или конечной стадии — при разработке некоторых специализированных дополнений. Это позволяет основную часть технологии создавать автономно от пользователя и применять унифицированные технические решения.
В соответствии с выбранной классификацией к функционально-ориентированным технологиям относятся:
— математические вычисления; аналитические и символьные преобразования; математическое моделирование; алгоритмизация; программирование; обработка текстовой информации; обработка табличной информации; передача и распределение информации и др.
Предметно-ориентированные технологии базируются на использовании:
— информационно-поисковых систем; баз данных и баз знаний; экспертных систем; систем автоматизации научных исследований; систем автоматизированного проектирования; обучающих систем; настольно-издательских систем; систем для перевода с одного языка на другой; телеконференций и др.
Примерами проблемно-ориентированных информационных технологий могут служить технологии для:
— медицинских систем; общего и специального профессионального обучения; страховых, финансовых и банковских систем; средств массовой информации; средств социальной реабилитации; игровых и развлекательных систем; применений в быту. 
По типу информации

Рис. Классификация ИТ по типу информации
Вопросы для самоконтроля.
1. Классификация ИТ в зависимости от этапов обработки данных.

2. Классификация ИТ в зависимости от практического приложения методов и средств обработки данных.
3. Классификация ИТ по типу операционной системы.
4. Классификация ИТ по типу пользовательского интерфейса.
5. Классификация ИТ по степени типизации операций.
6. Классификация ИТ по типу носителя информации.
7. Классификация ИТ, учитывающая типовые задачи обработки информации, эффективность разработки, воспроизводства и применения технологий.
8. Классификация ИТ по типу информации.

Понятие, состав и классификация информационных технологий

Предметом информатизации различных сфер деятельности современного общества, в том числе юриспруденции, является информация – продукт динамического взаимодействия объективных данных и субъективных методов (естественных, аппаратных, программных и других). Это не просто обмен сведениями в форме их публикации (оглашения, вещания), а это ещё и современные средства связи, и средства вычислительной техники, и программные средства информационных технологий.

Согласно Федеральному закону от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации», информация – это сведения (сообщения, данные) независимо от формы их представления.

Термин «информационные технологии» появился в конце 70-х годов и его стали широко применять в связи с использованием современной электронной техники для обработки информации.

Под информационной технологией (с греч. techne — искусство, мастерство, умение) стали понимать комплекс методов, способов и средств, обеспечивающих хранение, обработку, передачу и отображение информации [17].

Согласно вышеуказанному закону, информационные технологии – это процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

Цель информационной технологии — производство информации для её анализа человеком и принятия на его основе решения по выполнению какого-либо действия.

Основными составляющими ИТ являются:

• сбор данных или первичной информации;

• обработка данных и получение результатной информации;

• передача результатной информации пользователю для принятия на её основе решений.

Информационные технологии является важной составляющей процесса использования информационных ресурсов общества. К настоящему времени ИТ прошли несколько эволюционных этапов, смена которых определяется главным образом развитием научно-технического процесса, появлением новых технических средств переработки информации.

В последнее время под ИТ чаще всего понимают компьютерные технологии. В частности, ИТ имеют дело с использованием компьютеров и программного обеспечения для хранения, преобразования, защиты, обработки, передачи и получения информации. Специалистов по компьютерной технике и программированию часто называют ИТ-специалистами.

Основным техническим средством технологии переработки информации является персональный компьютер (ПК), который существенно повлиял как на концепцию построения и использования технологических процессов, так и на качество результатной информации. Внедрение ПК и применение телекоммуникационных средств связи определили новый этап развития информационной технологии, на котором она получила название «новая информационная технология». В новые информационные технологии включены коммуникационные технологии, которые обеспечивают передачу информации разными средствами (телефон, телеграф, телекоммуникации, факс и др.). Таким образом, новая информационная технология — информационная технология с «дружественным» интерфейсом работы пользователя, использующая персональные компьютеры и телекоммуникационные средства.

Основные принципы новой (компьютерной) ИТ включают:

— интерактивный (диалоговый) режим работы с компьютером;

— хранение больших объёмов информации на машинных носителях;

— гибкость процесса изменения как данных, так и постановок задач;

— компьютерная обработка информации по заданным алгоритмам;

— взаимосвязь с другими программными продуктами;

— передача информации на любые расстояния в ограниченное время.

Информационные технологии можно классифицировать по следующим уровням:

• функционально-ориентированные технологии;

• предметно-ориентированные технологии;

• проблемно-ориентированные технологии.

Функционально-ориентированные ИТ предназначены для реализации одной из типовых функций обработки информации. Некоторые из этих технологий обладают довольно высокой степенью универсальности и, как правило, инвариантны к областям применения. К таким технологиям могут относиться ИТ обработки табличной и текстовой информации, измерения и передачи информации, машинной графики, математических вычислений.

Предметно-ориентированные ИТ предназначены для решения конкретной специфической задачи в конкретной области. Они должны максимальным образом удовлетворять частным требованиям данного применения и обычно обладают наименьшей степенью универсальности.

Иногда удаётся обобщить требования со стороны ряда конкретных приложений и выделить некоторые типовые прикладные проблемы. Отсюда возникает понятие проблемно-ориентированной ИТ. Здесь возможно применение унифицированных технических решений, инвариантных ко всем типовым функциям обработки информации и способных адаптироваться к конкретным приложениям в рамках выделенной проблемы. Проблемно-ориентированные ИТ являются основой для создания инструментальных систем-оболочек, концентрирующих накопленный опыт разработки высокоэффективных систем управления на различных уровнях функционирования систем.

Информационные технологии можно различать по виду обрабатываемой информации: данные; тексты; графические документы; знания; объекты реального мира. Классификация ИТ по этому признаку приведена на схеме 1.1. Выделение, предложенное на этом рисунке, условное, так как большинство технологий позволяет поддерживать и другие виды информации. Так, в текстовых процессорах предусмотрена возможность выполнения простых расчётов, а табличные процессоры могут обрабатывать не только цифровую, но и текстовую информацию, и даже графическую. Однако каждая из этих технологий в полном объёме сосредоточена на обработке информации определённого типа.

 

 
 

 



Вопрос 2. виды информационных технологий . этапы развития ит. классификация ит

Вопрос 1 Подходы к определению понятия информация определения понятия информация в российском законодательстве

Понятие информации — одно из фундаментальных в современной науке. Наряду с такими понятиями, как вещество, энергия, пространство и время, оно составляет основу современной научной картины мира. Однозначно определить, что же такое информация, так же невозможно, как невозможно это сделать для понятий «время», «энергия» и пр.

В науке существует три подхода к феномену информации.

Атрибутистпы полагают, что информация как семантическое свойство материи является неотъемлемым атрибутом всех систем объективной реальности, она существовала и существует вечно, является организующим началом в живой и неживой природе.

Функционалисты отрицают существование информации в неживой природе. По их мнению, информация через информационные процессы реализует функцию управления (самоуправления) в биологических, социальных и социотехнических (человеко-машинных) системах. Информация — это одна из функций жизни, основное отличие живого от неживого.

Антропоцентристы ограничивают сферу информации главным образом социальными системами и определяют информацию как содержание (смысл) сигнала, полученного системой из внешнего мира. Говорить о смысле сигнала, а, следовательно, об информации можно только по отношению к человеку и обществу

В ст.128 Гражданского Кодекса РФ информация включена в перечень видов объектов гражданских прав. Иными словами, информация выделена в самостоятельный вид объектов, однако никакие специфические качества, благодаря которым такое выделение производится, в Кодексе не приводятся. С другой стороны, при буквальном прочтении Кодекса (глава 6 которого содержит не только перечень видов объектов гражданских прав, но также их общую характеристику) к информации следует относить только служебную и коммерческую тайну. Очевидно, что такое понимание информации не только является предельно узким, но и не отвечает сложившейся практике применения понятия в гражданско-правовой сфере.

Легально закрепленное определение информации впервые появляется в Федеральном законе РФ Об информации, информатизации и защите информации от 20 февраля 1995 г., где под информацией понимаются сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. Отметим, что наряду с определением собственно информации Закон также содержит определение документированной информации, т.е. различает информацию как таковую, как нематериальный объект, и информацию, связанную с материальным носителем. 2

Вопрос 2. Виды информационных технологий . Этапы развития Ит. Классификация ИТ

Виды ИТ:

n Информационная технология обработки данных

n Информационная технология управления

n Автоматизация офиса

Информационная технология, в своем развитии, прошла несколько этапов.

Первый этап — ручной. В основе информационной технологии были ручка и бухгалтерская книга. Связь осуществлялась путем направления писем. Данный этап характеризовался низкой продуктивностью информационной обработки данных.

Второй этап — механический. Характеризуется тем, что для обработки информации стали применять пишущие машинки и телефон.

Третий этап — электрическая обработка информации. Для обработки информации использовались электрические пишущие машинки и копировальные машины.

Четвертый этап — компьютерная технология. Появление ЭВМ. Информационная технология, содержит как минимум три компоненты обработки информации: учет, анализ и принятие решений и происходит перенос центра тяжести развития автоматизированных систем управления на данные компоненты с максимальным применением человеко-машинных процедур.

Пятый этап — появление персональных компьютеров. Происходит переход от вычислительных центров к распределенному вычислительному потенциалу, происходит повышение однородности технологии обработки информации.

Шестой этап — этап новых информационных технологий, основу которых составляют:

1. развитые коммуникации;

2. дружественное программное обеспечение;

3. распределенная компьютерная техника.

Статьи к прочтению:

ИСТОРИЯ РАЗВИТИЯ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ


Похожие статьи:

Работа в сфере информационных технологий — отдел кадров UCF

Работа в области информационных технологий Семья

Подробная классификация должностей для соответствующих должностей в группе должностей представлена ​​ниже.

Помощник/помощник директора по эффективности ИТ и управлению услугами

Помощник директора по программированию приложений

Помощник директора, учебные технологии

Помощник директора по телекоммуникациям

Помощник директора по унифицированным коммуникациям

Помощник вице-президента, Бизнес-центр InfoTech

Помощник вице-президента InfoTech Financial Systems

Заместитель директора, ИТ-инфраструктура колледжа

Заместитель директора программы COM-приложений

Заместитель директора по инфраструктуре предприятия

Заместитель директора по финансовым системам и технологиям

Заместитель директора по ИТ-проектам и планированию

Заместитель директора по стратегии ИТ-услуг

Заместитель директора службы поддержки ИТ

Заместитель директора по сетевым службам

Заместитель директора по телекоммуникациям

Заместитель директора по унифицированным коммуникациям

Заместитель вице-президента и главный операционный директор UCF IT

Программатор приложений I, II, III, IV, V

Аналитик прикладных систем I, II, III, IV

Программист прикладных систем I, II

Специалист по аудиовизуальным средствам

Аналитик бизнес-данных I, II

Специалист по бизнес-аналитике и аналитике I, II, III, IV

Аналитик бизнес-систем I, II, III

Директор по информационной безопасности и помощник вице-президента

Аналитик операций клиент-сервера I, II

Инженер по облачным вычислениям I, II, III

Руководитель программы киберрисков и соответствия требованиям

Инженер баз данных I

Аналитик безопасности данных II

Специалист по хранилищам данных

Инженер-конструктор I, II, III

Техник цифрового производства

Директор по корпоративным приложениям

Директор по инфраструктуре предприятия

Директор по информационной безопасности

Директор по информационным технологиям

Директор по технологиям обучения

Директор по сетям и телекоммуникациям

Директор по ИТ-поддержке и управлению поставщиками

Директор, учебные ресурсы

Директор по исследовательским технологиям

Директор по веб-разработке и цифровой стратегии

Архитектор предприятия I, II, III, IV

Специалист ERP

Инженер по выездному обслуживанию I, II, III

Администратор финансовой базы данных

Специалист по информационной безопасности I, II, III

Аналитик информационных технологий I, II, III

Аудитор информационных технологий I II

Руководитель проекта информационных технологий I, II, III

Дизайнер учебного обучения

Специалист по технологиям обучения I, II, III

Менеджер по ИТ-аудиту

Менеджер по деловым отношениям с ИТ I, II

Специалист по поддержке ИТ-клиентов I, II, III, IV

Инженер-техник ЛВС I, II

Диспетчер офисных технологий

Менеджер, Программирование прикладных систем

Менеджер, бизнес-анализ

Менеджер, бизнес-аналитика и аналитика

Менеджер, компьютерные операции

Менеджер, службы баз данных

Менеджер по проектированию

Менеджер, корпоративная база данных

Менеджер, инфраструктура предприятия

Менеджер, Инженерно-техническое обслуживание на местах

Менеджер по информационной безопасности

Менеджер по информационным технологиям I, II, III

Менеджер, служба поддержки ИТ-клиентов

Менеджер по производству медиа

Менеджер, мультимедийные мероприятия

Менеджер, мультимедийные службы

Менеджер, Телекоммуникационный инжиниринг

Менеджер, веб-контент

Специалист по мультимедиа I, II, III

Сетевой архитектор II

Сетевой инженер I, II, III, IV

Аналитик сетевого планирования III

Аналитик сетевой безопасности I, II, III

Владелец продукта

Программист-аналитик I, II

Скрам-мастер

Поисковая оптимизация и аналитик данных

Старший директор по ИТ-стратегии и планированию

Программатор сервера

Разработчик программного обеспечения I

Инженер-программист I, II, III, IV

Системный администратор I, II, III

Системный архитектор

Инженер-системотехник I, II, III, IV

Системный программист I, II

Аналитик по телекоммуникациям I, II, III

Инженер по унифицированным коммуникациям I, II

Аналитик унифицированных ИТ-коммуникаций I, II, III

Аналитик голосовой связи II

Менеджер голосовой связи

Разработчик веб-приложений I, II

Диспетчер веб-приложений

Специалист по веб-контенту I, II

Веб-дизайнер I, II, III

Аналитик веб-проектов

 

Использование технологий для улучшения классификации и рассекречивания – трансформация классификации

Проблема

Достижения в электронной среде привели к заметному увеличению объема производимой секретной информации.Ошеломляющий объем и нехватка ресурсов делают невозможным возможный просмотр этих записей человеком для рассекречивания. Человеческая проверка в том виде, в каком она проводится сегодня, оценивается в двух штатных сотрудниках (FTE) на гигабайт. Только в одном разведывательном агентстве рост секретных записей составляет примерно 1 петабайт (1 миллион гигабайт, ~ 49 миллионов кубических футов бумаги) каждые 18 месяцев. Правительство не может выделять 2 миллиона ЭПЗ в год для проверки 1 петабайта, не говоря уже о более чем 20 миллионах ЭПЗ в год для проверки десятков петабайт секретных записей, создаваемых правительством.

Технологическое решение как для рассекречивания, так и для классификации

Технологию

можно использовать для решения задач массового рассекречивания более точным, экономичным и эффективным способом. Существующие технологии, такие как средства поиска информации, обработка естественного языка, программное обеспечение для оптического распознавания символов, прогнозная аналитика и облачные вычисления, могут служить основой для будущих инноваций, но Совет по рассекречиванию общественных интересов (PIDB) считает наиболее неотъемлемым и необходимым компонентом новая система будет надежной возможностью накопления контекста.

Накопление контекста — это средство, с помощью которого компьютеры предсказывают классификацию и рассекречивание. Человеческий вклад, либо в виде априорных правил, либо в виде индивидуальных решений, основанных на руководстве по классификации и рассекречиванию, управляет процессом. Система принимает решения рецензентов о классификации или рассекречивании (полностью или частично) фрагментов, категорий или ассоциаций информации, используя определения рецензентов в качестве основы для будущих автоматизированных решений. Чем больше совокупность знаний (т.(например, решения рецензентов, руководства по классификации и рассекречиванию, ранее опубликованные документы, материалы из открытых источников), загруженные в систему, тем более точные прогнозы будет генерировать компьютер.

На основе этих точек данных компьютер учится сортировать информацию по разрешённым и удержанным корзинам. В случаях противоречивого контекста система потребует человеческого участия со стороны рецензентов и экспертов в предметной области. Решения этих людей научат систему лучше сортировать информацию.По мере того, как система будет учиться на большем количестве данных, вносимых человеком, ее способность проверки рассекречивания будет развиваться. Для тех областей, в которых способности системы достаточно развиты, больше не будет необходимости в тщательном человеческом анализе. Со временем рецензенты смогут сосредоточиться исключительно на оценке тех фрагментов информации, которые система идентифицирует как представляющие уникальные проблемы. Решения рецензентов о причинах отказа или рассекречивания этой информации предоставят системе контекст для рассмотрения и сортировки всех других проявлений этой информации.По мере того, как будет создано больше таких прецедентов проверки, объем записей, подлежащих проверке системой, будет продолжать увеличиваться.

Поскольку инструмент накопления контекста принимает как рекомендации по рассекречиванию, так и рекомендации по классификации, любая система может одновременно служить инструментом автоматизированной классификации. Предоставление компьютерам возможности классифицировать информацию сводит к минимуму нагрузку на пользователя. Более того, автоматическая классификация снижает вероятность чрезмерной классификации, гарантируя, что определение классификации производится в строжайшем соответствии с текущей политикой и только в соответствующих обстоятельствах.Обоснование классификационных определений будет запечатлено в документах в цифровом виде, создавая метаданные, которые система впоследствии сможет использовать для обнаружения и рассекречивания этой информации по мере изменения директивных указаний.

Точность и согласованность, обеспечиваемые этой системой, повысят информационную безопасность и, следовательно, национальную безопасность.  

Подходы к накоплению контекста

Система накопления контекста может быть реализована двумя способами. Руководство по политике («правила») можно вводить с самого начала и использовать в качестве основы для первоначальных решений о классификации, или критерии принятия решений могут полностью основываться на приеме документов, статус классификации которых затем определяется отдельными рецензентами на основе существующей политики. руководство.Назначение правил в начале влечет за собой потенциально затяжную битву за стандарты классификации, но гарантирует, что компьютер начинает со стандартизированных критериев. Разработка правил, органически основанная на приеме документов, увеличивает вероятность плохой проверки из-за человеческой ошибки, но смягчает внутри- или межведомственные разногласия по поводу руководства по классификации и обеспечивает более быстрое внедрение.

Преимущества

Использование этих технологий и, в частности, инструментов накопления контекста:

  • Повышение согласованности и точности решений о классификации и рассекречивании.
  • Сведите к минимуму случаи чрезмерной классификации, автоматизировав рутинную классификацию и последовательно приводя решения по классификации в соответствие с установленными рекомендациями.
  • Содействовать немедленному внесению изменений в руководство по классификации и рассекречиванию.
  • Уменьшите административную нагрузку на рецензентов рассекречивания, позволив им сосредоточиться исключительно на обосновании рассекречивания или классификации.
  • Проведите аудит индивидуального вклада человека, чтобы измерить производительность рецензента и определить области для улучшения.
  • Определите для проверенных пользователей, какая именно информация является и не является секретной или доступной из открытых источников.
  • Усиление стандартов классификации в режиме реального времени, поскольку документы создаются в секретной среде.
  • Заменить проверки на уровне документов, проверки «прошел/не прошел» проверками на уровне редактирования, что значительно увеличивает объем и качество рассекреченных материалов.

  Технологии и Национальный центр рассекречивания (NDC)

В рамках NDC может быть создана исследовательская лаборатория для запуска и оценки пилотных проектов, использующих эти технологии.Коллекции цифровых записей исторически значимых записей могут быть использованы для полевых испытаний новой системы (на основе любого из двух описанных выше подходов). NDC обеспечивает идеальную межведомственную среду, в которой можно обмениваться рекомендациями по классификации и использовать опыт профильных экспертов. Успешные проекты могут способствовать будущему межведомственному сотрудничеству и инновациям в этой области.

Необходимые практики: классификация данных и шифрование

И.НАЗНАЧЕНИЕ И ОБЛАСТЬ ПРИМЕНЕНИЯ

A. Целью настоящего правила классификации и шифрования данных является описание требований для управления электронными данными и информационными активами Университета. Утверждено ИТ-надзором 2017

II. ОПРЕДЕЛЕНИЯ

А.Электронный ресурс — любой ресурс, используемый для электронной связи, в том числе но не ограничиваясь Интернетом, электронной почтой и социальными сетями.
B. Информационный актив — данные или знания, хранящиеся в любом электронном виде и распознаваемые как имеющие ценность для того, чтобы позволить Университету выполнять свои бизнес-функции.
C. Информационная система – приложение или группа серверов, используемых для электронной хранение, обработка или передача любых данных Университета или Информационного актива
D.ИТ-специалисты — ИТ-специалисты разрабатывают, администрируют, управляют и контролируют ИТ- Ресурсы, информационные системы и электронные ресурсы, поддерживающие деятельность Университета. ИТ-инфраструктуры, несут ответственность за безопасность ИТ-ресурсов, информации Системы и электронные ресурсы, которыми они управляют, и гарантируют, что деятельность, связанная с безопасностью, должным образом документированы и заполнены последовательно и поддающимся проверке образом.
E. ИТ-ресурс — сервер, рабочая станция, мобильное устройство, медицинское устройство, сеть устройство, веб-камера или другое устройство для наблюдения, или другое устройство/ресурс, который: а) принадлежащие Университету или используемые для ведения деятельности Университета независимо от формы собственности; б) подключен к сети Университета; и/или c) который создает, получает доступ, поддерживает, или передавать Информационные активы и использовать для электронного хранения, обработки или передача любых данных или информации.
F. Мобильное устройство. Портативное портативное электронное вычислительное устройство, выполняющее аналогичны функциям рабочей станции (например, iPhone, Android-телефон, Windows-телефон, Blackberry, Планшет Android, iPad, планшет Windows и т. д.).
G. Сервер – аппаратное и программное обеспечение и/или рабочая станция, используемые для предоставления информации и/или услуги нескольким Пользователям.
H. Рабочая станция – Электронно-вычислительное устройство, терминал или любое другое устройство, выполняет роль ЭВМ общего назначения, оснащенной микропроцессором и спроектированной для запуска коммерческого программного обеспечения (например, приложения для обработки текстов или интернет-браузера) для отдельного пользователя (т.грамм. ноутбук, настольный компьютер, ПК, Mac и т. д.).

III. ПРАВИЛО

А. Классификация данных

1. Электронные данные университета должны быть классифицированы в соответствии с Классификацией данных. модели, описанной в этом правиле, и должна постоянно оцениваться для определения соответствующую классификацию.Модель классификации данных будет использоваться для определения соответствующая классификация данных для данных, созданных, поддерживаемых, обрабатываемых или передаваемых использование ИТ-ресурсов, информационных систем и электронных ресурсов в университете. В соответствии с этой Моделью данные будут классифицироваться в соответствии с внешними нормативными, внутренними нормативные и другие договорные требования.Эта модель классификации данных в никоим образом не заменяет какие-либо классификации штата или федерального правительства.
2. Эти классификации данных применяются к электронным данным, которыми владеет или владеет Университет. хранение, где бы оно ни хранилось. Это может включать данные, хранящиеся в центрах обработки данных, данные, к которым обращаются или хранятся удаленно в ИТ-ресурсах, и данные университета, которые хранятся с третьими сторонами по контракту, включая деловых партнеров, поставщиков облачных услуг, поставщики, подрядчики и временный персонал.Эта методология классификации данных в никоим образом не заменяет собой классификацию правительства штата или федерального правительства или другие договорные классификации.
3. Когда конкретный набор дат классифицируется как подходящий в сочетании двух или более классификаций данных, эти данные должны управляться в соответствии с наиболее ограничительная/безопасная применимая классификация данных.

B. Модель классификации данных

. .
  Данные с ограниченным доступом (высокий уровень чувствительности) Конфиденциальные данные
  • (умеренный уровень чувствительности)
Публичные данные (низкий уровень чувствительности
Юридическое требование   Защита данных требуется в соответствии с федеральными законами или законами штата, нормативными актами или договорными обязательствами, и на нее могут распространяться требования уведомления об утечке данных Защита данных требуется Data Steward или другим соглашением о конфиденциальности, таким как FERPA и т. д. Защита данных осуществляется по усмотрению Data Steward
Доступ Только уполномоченные лица с утвержденным доступом, подписанными соглашениями о конфиденциальности и компании должны знать Только уполномоченные лица с утвержденным доступом и бизнес должны знать Филиалы Университета долины Юты и широкая общественность в рамках закона
Типы данных
  •  Информация, позволяющая установить личность (PII)
  • Защищенная медицинская информация (PHI)
  • Индустрия платежных карт (PCI)
  • Финансовая информация
  • Информация о доноре
  • Информация, охраняемая законом
  • интеллектуальная собственность
  • обозначен как закрытая информация об академической деятельности (DNPAAI)
  • Информация о сотрудниках
  • Информация для учащихся
  • Текущие судебные материалы
  • Контракты
  • Детальная документация по зданию и инженерным сетям
  • История университета долины Юты
  • Деловые контактные данные
  • Каталог университетов
  • Карты

 

С.Запрещенные типы данных (все записи, системы и устройства хранения, содержащие этот тип данных должен быть одобрен Data Stewards и зарегистрирован в службе информационной безопасности. Офис)

1. Личная информация (PII)

а. PII защищена федеральными и государственными законами и правилами, включая федеральные правила. в ведении У.S. Департамент внутренней безопасности (DHS), и определяется DHS как «любая информация, позволяющая установить личность человека напрямую». или косвенно выведенных, которые в случае потери, компрометации или раскрытия без разрешения может привести к существенному ущербу, смущению, неудобству или несправедливости по отношению к физическое лицо». ЛИ должны быть защищены до выдачи в соответствии с постановлением правительства штата Юта. Закон об управлении доступом к записям (GRAMA) или другие раскрытия информации, требуемые по закону.

б. PII включает, но не ограничивается следующим:

  1. Любой из следующих автономных элементов:
    1. Полный номер социального страхования (SSN)
    2. Водительское удостоверение или государственный идентификационный номер
    3. Номер паспорта
    4. Номер визы
    5. Регистрационный номер иностранца
    6. Отпечатки пальцев или другие биометрические идентификаторы
    7. Пароли
  2. Полное имя в сочетании с любым из следующего:
    1. Девичья фамилия матери
    2. Дата рождения
    3. Последние 4 цифры SSN
    4. Гражданство или иммиграционный статус
    5. Этническая или религиозная принадлежность

2.Защищенная медицинская информация (PHI)

а. PHI защищена федеральным законом о переносимости и подотчетности медицинского страхования. закона (HIPAA) и включает в себя всю индивидуально идентифицируемую информацию, относящуюся к здоровье или уход за здоровьем человека и, в частности, включает, но не ограничивается к следующему:

  1. Любое поле PII в сочетании со следующими медицинскими модификаторами:
    1. Диагноз или код МКБ
    2. Лечение или код CPT
    3. Имя или номер провайдера
    4. Номер DEA
    5. Имя врача
    6. Дата лечения
    7. Заметки пациента
    8. Психиатрические заметки
    9. Фотографии пациентов
    10. Рентгенологические изображения

3.Данные индустрии платежных карт (PCI)

а. Данные PCI — это данные, на которые распространяются Стандарты безопасности данных индустрии платежных карт (PCI-DSS), разработан Советом по стандартам безопасности PCI и придерживается Университета, и включает, но не ограничивается следующим:

  1. Данные держателя карты:
    1. Номер основного счета (PAN)
    2. Имя держателя карты
    3. Сервисный код
    4. Срок годности
  2. Конфиденциальные данные аутентификации:
    1. Полные данные магнитной полосы
    2. CAV2/CVC2/CVV2/CID
    3. PIN-код/PIN-блок

4.Финансовая информация

а. Финансовая информация регулируется Советом по стандартам финансового учета (FASB). и включает финансовые данные об Университете долины Юты и/или других сторонах, которые участвовать в финансовых операциях с Университетом, которые используются при выставлении счетов, оценка кредитоспособности, кредитные операции и другие подобные действия, которые должны быть защищены до раскрытия в соответствии с GRAMA или другим раскрытием информации, требуемым по закону.финансовый Информация включает, но не ограничивается:

  1. Идентификационный номер налогоплательщика
  2. Кредитные рейтинги
  3. Номера счетов
  4. Остатки на счетах

5.Информация о доноре

а. Информация о донорах — это информация о пожертвованиях финансовых активов, цели по завещанию дарителя и включает, но не ограничивается:

  1. ФИО донора
  2. Контактная информация донора
  3. Подаренные ценные бумаги
  4. Дарение недвижимости
  5. Организация плановых пожертвований

Д.Конфиденциальные типы данных

1. Интеллектуальная собственность

а. Интеллектуальная собственность — это электронные данные, которые поддерживают Изобретения, как определено в Политика УВУ [136].

2. Обозначенная непубличная информация об академической деятельности (DNPAAI)

а.Обозначенная непубличная информация об академической деятельности (DNPAAI) — это информация, касающаяся академическая деятельность отдельного члена университетского сообщества (в том числе преподавательский состав, внефакультетский преподавательский состав, персонал или студент), которые физическое лицо имеет, посредством утвержденных процедур, специально обозначенную информацию, которая не предназначены для доведения до всеобщего сведения.Такая информация может быть сообщена администраторам университетов для целей оценки индивидуальной работы, и совместно с ограниченным кругом других лиц в целях содействия академической деятельности, но в соответствии с требованиями и ограничениями Политики [####] является рассматривается как конфиденциальная информация, не предназначенная для общего доступа общественный.

я. Типы информации, которые физическое лицо может обозначить таким образом в соответствии с Условия Политики [####] и соответствующие Правила могут включать, например:

я. Академические исследования или преподавательская деятельность с использованием исследований на живых животных предметы или другие спорные вопросы,
ii.Академические исследования или преподавательская деятельность, связанная с контролем опасных материалов, или технология, представляющая высокий риск причинения вреда людям или имуществу
iii. Академическая деятельность, предполагающая членство в организации, которая, в случае доведения до всеобщего сведения может привести к риску причинения телесных повреждений или иного вреда человек.

ii.Как более подробно описано в Политике [####] и связанных с ней Правилах, физическое лицо желая обозначить указанную информацию как непубличную, делает это посредством соответствующие университетские процедуры, применяемые для периодической отчетности академических информация о деятельности. Например, преподаватель, отправляющий информацию в Администрация университета через систему отчетов о деятельности преподавателей (FAR) назначает для каждого представленного набора информации, должен ли он быть сделан доступным для общего публично как часть Профиля факультета, опубликованного Университетом в отношении этого лица, или предназначен для того, чтобы быть недоступным

1.{Примечание по проекту: это будет объяснено в сопутствующей Политике [####], которая будет разработана на более позднем этапе этого проекта, что даже для информации, которой человек обозначены как непубличные, способность и обязанность Университета ограничивать публичные доступ к этой информации ограничен федеральными законами и законами штатов, которые разрешают определенные типы информации, которую необходимо получить по запросу, например, правительство штата Юта. Закон об управлении доступом к записям}.

3. Информация о сотрудниках

а. Информация о сотрудниках находится в ведении отдела кадров и защищена законом штата или федеральным законом. законы и постановления, в том числе постановления Министерства труда США, и данные, непосредственно связанные с работником или претендентом на работу, которые должны быть защищены до выпуска в соответствии с доступом к правительственным записям Закон об управлении (GRAMA).Информация о сотрудниках включает, но не ограничивается следующим:

  1. Содержимое заявлений о приеме на работу, за исключением Лично идентифицируемых с ограниченным доступом Информация (ПД)
  2. Личные дела
  3. Оценка производительности
  4. Информация о преимуществах
  5. Зарплата

4.Информация для студентов

а. Информация о студентах защищена федеральным Законом о правах семьи на образование и конфиденциальность. Act (FERPA) и включает в себя записи, файлы, документы и другие материалы, содержащие информация, непосредственно относящаяся к учащемуся, как часть записи об образовании учащегося или Протокол лечения, который ведется Университетом долины Юты или стороной, действующей для университета.Информация о студентах включает, но не ограничивается следующим:

  1. Классы
  2. Списки классов
  3. Расписания студенческих курсов
  4. Дисциплинарные записи
  5. Финансовые документы учащихся
  6. Платежные ведомости для студентов-сотрудников (например,грамм. учеба, ассистенты, помощники-резиденты)

5. Текущие судебные материалы

а. Текущие судебные материалы представляют собой хранящуюся в электронном виде информацию, относящуюся к к текущему судебному удержанию, осуществленному Управлением главного юрисконсульта университета. Они включают, но ограничиваются:

  1. Документы Word, Excel, PowerPoint
  2. PDF-документы
  3. Электронная почта
  4. Элементы календаря
  5. Электронная голосовая почта
  6. USB-накопители

6.Контракты

а. Электронные копии договоров, стороной которых является Университет, создающих обязательства подлежат исполнению по закону.

7. Детальная документация по зданию и коммуникациям, включая изображения {пояснение информации о здании еще предстоит разработать}

Э.Шифрование данных

1. Все решения по шифрованию данных должны быть официально задокументированы и должны рассматриваться в контексте данных в состоянии покоя и данных в движении. IT-специалисты должны работать в сотрудничестве с Управлением информационной безопасности для определения требований к шифрованию, поскольку эти требования могут меняться в зависимости от технологического оснащения Университета, возникающая угроза и/или в ответ на нормативные требования.
2. Требования к хранимым данным

а. Для данных университета, хранящихся за пределами университета:

я. Ограниченные данные: требуется шифрование таким образом, чтобы поддерживать бремя доказательство в соответствии с применимыми государственными или федеральными инструкциями по безопасной гавани.
ii. Конфиденциальные данные: шифрование настоятельно рекомендуется и должно с требованиями Data Steward.
III. Публичные данные: шифрование приветствуется и должно соответствовать данным. Требования стюарда.

б. Для данных университета, хранящихся в университете:

я. Ограниченные данные на всех мобильных устройствах и ноутбуках должны быть зашифрованы таким образом, который поддерживает бремя доказывания в соответствии с применимыми законами штата или федеральными законами руководство по гавани.
ii. Ограниченные данные на серверах и информационных системах будут зашифрованы в соответствии с указаниями. путем анализа рисков таким образом, чтобы поддерживать бремя доказывания в соответствии с применимое государственное или федеральное руководство по безопасной гавани.
III. Конфиденциальные данные: шифрование настоятельно рекомендуется и должно с требованиями Data Steward.
iv. Публичные данные: шифрование приветствуется и должно соответствовать данным. Требования стюарда.

3. Требования к данным в движении:

а. Для данных Университета, передаваемых за пределы сети Университета:

я. Ограниченные данные: требуется шифрование таким образом, чтобы поддерживать бремя доказательство в соответствии с применимым руководством штата или федеральным правительством по безопасной гавани
ii.Конфиденциальные данные: шифрование настоятельно рекомендуется и должно с требованиями Data Steward.
III. Общедоступные данные: шифрование является необязательным и должно соответствовать Требования стюарда.

б. Для данных Университета, передаваемых в сети Университета:

я.Ограниченные данные: требуется шифрование таким образом, чтобы поддерживать бремя доказательство в соответствии с применимыми государственными или федеральными инструкциями по безопасной гавани.
ii. Конфиденциальные данные: шифрование настоятельно рекомендуется и должно с требованиями Data Steward.
III. Публичные данные: шифрование приветствуется и должно соответствовать данным. Требования стюарда.

Ф.Сохранение данных программы информационной безопасности

1. Документация программы информационной безопасности

а. Главный специалист по информационной безопасности несет ответственность за ведение всех документация по программе защиты информации. Эта документация должна быть доступна для всех сотрудников Университета и пользователей.
б. Начальник отдела информационной безопасности несет ответственность за обеспечение того, чтобы действие, действие или обозначение, требуемое документацией по программе информационной безопасности ведется в бумажном и/или электронном виде. Вся такая документация должна храниться как конкретно требуется.

2.Срок хранения документации по программе информационной безопасности

а. Вся документация по программе информационной безопасности и все версии информации документация по программе безопасности должна храниться в течение шести (6) лет с даты его реализации.
б. Никакая документация программы информационной безопасности не должна быть уничтожена до консультации с Управлением главного юрисконсульта, Директором по контролю за соблюдением нормативных требований и Главным информационным Сотрудник службы безопасности.

IV. РЕФЕРЕНЦИИ

А. 45 C.F.R. 164: Закон о переносимости и подотчетности медицинского страхования (HIPAA): безопасность и неприкосновенность частной жизни
B. Закон о правах семьи на образование и неприкосновенность частной жизни от 1974 г. («FERPA», 20 U.S.C. § 1232g)
C. Федеральный закон об управлении информационной безопасностью от 2002 г. («FISMA», 44 U.S.C. § 3541)
D.ISO 27002:2013, Информационные технологии. Методы обеспечения безопасности. Свод правил для средств управления информационной безопасностью
E. Серия NIST 800, Федеральные стандарты информационной безопасности
F. Политика 457: Соответствие PCI/DSS
G. Политика 445: Управление данными и доступ к ним
H. Политика 371: Корректирующие действия и увольнение штатных сотрудников
I. Политика 541: Кодекс прав и обязанностей студентов
J. Политика 635: Права и профессиональные обязанности преподавателей
K.Паб. 111-5, Раздел A, Раздел XIII, Подзаголовок D: Медицинские информационные технологии для Закон об экономическом и клиническом здравоохранении (Закон HITECH)
L. Omnibus HIPAA Rule: 45 CFR Parts 160 and 164 — Modifications to HIPAA Privacy, Правила безопасности, правоприменения и уведомления о нарушениях в соответствии с законом HITECH и Закон о недискриминации генетической информации; Другие изменения правил HIPAA; Окончательное правило

Классификация данных – информационные технологии и инновации

Классификация данных

Информация, которая по закону является конфиденциальной, должна быть защищена от несанкционированного доступа или изменения.Данные, необходимые для критически важных функций, должны быть защищены от потери, загрязнения или уничтожения.

Классификация данных — это процесс группировки элементов данных по уровню риска. WCSU определил четыре уровня классификации данных (DCL) от 0 до 3. К каждому уровню классификации будут применяться соответствующие меры безопасности. Для каждого уровня требуются все более ограничительные методы управления данными и безопасности: для DCL 0 требуется ограниченная защита, а для DCL3 (ранее именуемый данными класса A) требуется максимальная защита.

+

Уровень классификации данных (DCL)

Описание

Примеры

3

DCL3

( Protected Confidential)

Уровень 3 — это защищенные конфиденциальные данные, которые включают личные данные и финансовые данные, которые в случае ненадлежащего раскрытия могут быть использованы для кражи личных данных или причинения финансового ущерба физическому лицу или WCSU.
Безопасность на этом уровне очень высока (максимально возможная).
Идентичность данных с помощью:
  • номера социального обеспечения
  • Банковского счета или дебетовой карты
  • номера кредитной карты и держателя карты информация
  • Student Loan данные

2

DCL2

(Restricted)

Уровень 2 — это ограниченные данные, которые доступны для раскрытия, но только при строго контролируемых обстоятельствах.
Как правило, такая информация должна быть ограничена из соображений собственности, этики или конфиденциальности.
Примером таких ограничений является руководство FERPA, регулирующее публикацию и раскрытие информации об учащихся.
Уровень безопасности на этом уровне высокий.
Личные данные с:
  • Дата рождения
  • Девичья фамилия матери
  • Академические записи (например, оценки, результаты тестов, пройденные курсы и т. д.)

1
DCL1
(внутренний)

Уровень 1 — это внутренние данные, которые не были утверждены для общего финансового распространения за пределами WCSU, но их раскрытие не было бы удобным для финансового положения за пределами WCSU, потеря или серьезный ущерб доверию.
Безопасность на этом уровне находится под контролем, но в норме.
  • Внутренние записки
  • Протоколы заседаний
  • Внутренний проект сообщает

0
DCL0
(Public)

Уровень 0 является общедоступные данные, которые были явно разрешено к распространению среди населения. Раскрытие общедоступных данных не требует разрешения и может свободно распространяться без потенциального вреда для WCSU.
Безопасность на этом уровне минимальна.
  • Реклама Общественный Справочник Информация
  • Пресс-релизы
  • Объявления о поиске работы
  • Кампус Карты
  • WestConn данные (Windows Account)

ISO — 35 — Информационные технологии

35.020 Информационные технологии (ИТ) в целом
Включая общие аспекты ИТ-оборудования
35.030 ИТ-безопасность
Включая шифрование
35.040 Кодирование информации
Включая кодирование аудио, изображений, мультимедийной и гипермедийной информации, штриховое кодирование и т. д.
Методы обеспечения безопасности ИТ, см. 35.030
35.060 Языки, используемые в информационных технологиях
35.080 Программное обеспечение
Включая разработку программного обеспечения, документацию и использование
Интернет-приложения, см. 35.240,95
35.100 Взаимодействие открытых систем (OSI)
35.110 Сеть
Включая локальные вычислительные сети (LAN), городские вычислительные сети (MAN), глобальные вычислительные сети (WAN) и т. д.
Частная сеть с интеграцией служб (PISN), см. 33.040.35
Цифровая сеть с интеграцией служб (ISDN), см. 33.080
35.140 Компьютерная графика
35.160 Микропроцессорные системы
Включая ПК, калькуляторы и т. д.
Интегральные схемы, см. 31.200
35.180 ИТ-терминал и другое периферийное оборудование
Включая модемы
35.200 Интерфейсное и соединительное оборудование
35.210 Облачные вычисления
35.220 Устройства хранения данных
35.240 Приложения информационных технологий
35.260 Офисные машины
Включая пишущие машинки, оборудование для диктовки, адресные машины, машины для вскрытия писем, машины для складывания писем, почтовые франкировальные машины, их ленты и другие принадлежности и т. д.
Телефоны, см. 33.050.10
Телекс и телефакс, см. 33.050.30
Копировальные машины, см. 37.100.10
Оборудование для обертывания и упаковки, см. 55.200
Канцелярские товары на бумажной основе, см. 85.080
Офисная мебель, см. 97.140
Канцелярские товары на небумажной основе, см. 97.180

Стандарт классификации данных | Служба информационной безопасности

Примечание:
Это новая версия стандарта классификации данных. Заархивированную версию можно найти здесь: Стандарт классификации данных — в архиве


Стандарт классификации данных Калифорнийского университета в Беркли выпускается в соответствии с полномочиями, предоставленными директору по информационным технологиям Калифорнийского университета в Беркли бюллетенем UC Business and Finance Bulletin IS-3 Electronic Information Security (UC BFB IS-3).

Дата выпуска: 7 ноября 2019 г. Первоначально выпущено 16 июля 2012 г. (административная редакция: 22 апреля 2013 г.)
Дата вступления в силу: 7 ноября 2020 г. для Уровней защиты; 1 июля 2022 г. для уровней доступности.

Ответственный руководитель: помощник вице-канцлера по информационным технологиям и директор по информационным технологиям
Ответственный офис: отдел информационной безопасности
Контактное лицо: менеджер политики информационной безопасности, [email protected]образование

I. Обзор

Стандарт классификации данных Калифорнийского университета в Беркли — это реализация Калифорнийским университетом в Беркли общесистемного стандарта классификации данных Калифорнийского университета.

UC BFB IS-3 устанавливает, что Институциональная информация и ИТ-ресурсы должны быть защищены в соответствии с их классификациями. Этот Стандарт представляет собой основу для оценки неблагоприятного воздействия потери конфиденциальности, целостности или доступности Институциональной информации и ИТ-ресурсов на кампус.Он обеспечивает основу для установления требований безопасности для каждой классификации данных.

Краткие определения и примеры приведены ниже. Полные определения и дополнительные примеры доступны в общесистемном стандарте и руководствах UC. Дополнительные рекомендации для Калифорнийского университета в Беркли доступны в Руководстве по классификации данных кампуса.

II. Объем

Стандарт классификации данных Беркли охватывает Учрежденческую информацию Калифорнийского университета в Беркли и ИТ-ресурсы .Настоящий Стандарт не распространяется на Индивидуальные данные , которые определяются как личная информация физического лица, которая не считается Институциональная информация

Примечание. Классификация данных не меняет требований к доступу к общедоступной информации. Запросы в соответствии с Законом штата Калифорния о государственных записях или Федеральным законом о свободе информации и другие юридические обязательства могут требовать раскрытия или раскрытия информации из любой категории.

III. Определения

Определения ключевых терминов (с заглавной буквы и курсивом), используемых в настоящем стандарте, включены в Глоссарий политики информационной безопасности Калифорнийского университета в Беркли

IV.Уровни классификации данных

Влияние на бизнес

Соображения по оценке потенциального неблагоприятного воздействия на Калифорнийский университет в Беркли из-за потери конфиденциальности, целостности или доступности данных или ресурсов включают:

  • Потеря критических кампусов операций
  • Негативное финансовое воздействие (потеря денег, упущенные возможности, ценность данных)
  • Ущерб репутации Учреждения
  • Риск причинения вреда отдельным лицам (например, в случае утечки личной информации)
  • Возможность для регулирующих или юридических действий
  • Требование к корректирующим действиям или ремонту
  • Нарушение миссии, политики или принципов Калифорнийского университета или Калифорнийского университета в Беркли

Таблица классификации уровней защиты

Владельцы могут повышать уровни защиты для определенного варианта использования.Чтобы понизить опубликованный уровень защиты, требуется исключение. Обратитесь в отдел информационной безопасности, если какой-либо элемент ниже классифицируется неправильно или если вы не можете определить уровень защиты.

Классификация данных Неблагоприятное влияние на бизнес Определение Примеры (неполный список) 
Может быть обновлено в связи с изменениями общесистемной политики UC
и решений о рисках на уровне кампуса UC Berkeley.

Защита 
Уровень P4

(ранее UCB PL2 и PL3)

Высокий

Институциональная информация  и связанные с ней ИТ-ресурсы  , которые требуют уведомления затронутых сторон в случае нарушения конфиденциальности. В эту категорию также входят данные и системы, которые создают значительный «общий риск»  

Несанкционированное раскрытие или изменение данных или ресурсов P4 может привести к значительным штрафам или санкциям, действиям регулирующих органов, гражданским или уголовным правонарушениям. Существует также неотъемлемый значительный риск для репутации и непрерывности бизнеса UC, а также причинение вреда или ухудшение здоровья студентам, пациентам, субъектам исследования, сотрудникам или гостям/участникам программы UC.

  • Данные или системы, которые создают обширный «общий риск»  риск между несколькими конфиденциальными системами, например.g. корпоративные хранилища учетных данных, такие как база данных учетных данных CalNet; Служба доменных имен (DNS). Это может включать в себя как общеуниверситетские системы, так и системы на уровне подразделений.
  • Элементы данных с Законодательным требованием об уведомлении затронутых сторон в случае нарушения конфиденциальности, например:
  • Общего регламента по защите данных (GDPR) специальные категории (статья 9 «конфиденциальные») идентификаторов.
  • Пароли, PIN-коды и парольные фразы или другие секреты аутентификации, которые можно использовать для доступа к информации P4 или для управления P4  ИТ-ресурсы 
  • Федеральная контролируемая несекретная информация (CUI)
  • Личная информация о студенческих ссудах, финансовой помощи студентам, финансируемой из федерального бюджета, и любой другой финансовой помощи, требующей погашения

  • Официальные финансовые, бухгалтерские и платежные системы учета и системы авторитетных источников; также системы, которые обрабатывают и обрабатывают финансовые транзакции, а также коды счетов, номера счетов, PIN-коды и т. д.необходимо для совершения транзакций
  • Индивидуально идентифицируемые данные исследования человека, содержащие элементы данных P4 или которые Институциональный контрольный совет (IRB) или Управление конфиденциальности кампуса определяют как высокий риск/P4

  • Геномные данные человека, подпадающие под действие GDPR или HIPAA (независимо от статуса деидентификации)
  • Данные или технологии, контролируемые экспортом, с высоким риском (DoE 10 CFR Part 810, EAR/ITAR с высоким риском). Обратитесь в Управление экспортного контроля для вынесения решения.
  • Промышленные системы управления, влияющие на жизнь и безопасность

Защита
Уровень P3

(ранее UCB PL1 )

Умеренная

Институциональная информация и ИТ-ресурсы , несанкционированное использование, доступ, раскрытие, приобретение, изменение, потеря или удаление которых может привести к умеренным штрафам, санкциям или гражданским искам.Этот уровень классификации также включает элементы с более низким уровнем риска, которые в сочетании представляют повышенный риск.

Несанкционированное раскрытие или изменение данных или ресурсов P3 может привести к судебному иску, нанести ущерб конфиденциальности группы, привести к умеренным финансовым потерям или нанести ущерб репутации.

  • Информация, позволяющая установить личность, еще не классифицированная как P4. Включает личную информацию, как определено в Общем регламенте по защите данных (GDPR)
  • .
  • Личные дела учащихся, защищенные FERPA (включая студенческий билет), не содержащие информацию P4.Не включает P2  Общедоступная справочная информация
  • Записи с камер наблюдения
  • Записи о входе в здание
  • Индивидуально идентифицируемые данные о местоположении, которые отслеживают перемещение человека или местоположение на уровне здания/комнаты
  • Данные, относящиеся к исследовательским проектам на животных
  • Конфиденциальная информация адвоката-клиента
  • Индивидуально идентифицируемые данные исследования человека, не содержащие элементы данных P4 и которые IRB или Отделом конфиденциальности кампуса не определили как представляющие высокий риск.Сюда входят геномные данные человека, которые могут быть повторно идентифицированы с использованием общедоступных данных.
  • Данные или технологии, контролируемые экспортом, с низким уровнем риска (EAR/ITAR). Обратитесь в Управление экспортного контроля для вынесения решения.
  • Информация по ИТ-безопасности, запросы на исключения и планы безопасности системы
  • Сотрудники и преподаватели  Личные записи  , не содержащие информацию P4. Не включает P2  Общедоступная справочная информация
  • Медицинские устройства, поддерживающие диагностику (не содержащие информацию P4)
  • Промышленные системы управления, влияющие на операции

Защита
Уровень P2

(ранее UCB PL0 и PL1)

Низкий

Институциональная информация  и ИТ-ресурсы  , которые могут не быть явно защищены законами или другими договорными положениями, но обычно не предназначены для публичного использования или доступа, и к ним следует обращаться только в случае необходимости.

Несанкционированное раскрытие или изменение данных P2 может привести к незначительному ущербу или небольшому финансовому убытку, а также оказать незначительное влияние на конфиденциальность отдельного лица или группы.

  • Информация, предназначенная для разглашения только в случае необходимости, включая личную информацию, не классифицированную иначе как P1, P3 или P4
  • Данные, отличные от P3/P4, защищены или ограничены контрактом, грантом или другими условиями соглашения
  • Деидентифицированная информация о человеке или пациенте (с незначительным риском повторной идентификации и без элементов данных, инициирующих уведомление)
  • Обычная электронная почта и деловые записи, не содержащие информации P3 или P4
  • Экзамены (вопросы и ответы)
  • Информация календаря, не содержащая информации P3 или P4
  • Заметки о собрании, не содержащие информации P3 или P4
  • Непубличное исследование с использованием общедоступных данных
  • Идентификатор сотрудника UCPath
  • Общедоступная справочная информация  для преподавателей, сотрудников и студентов, которые не запрашивали блок FERPA
  • Лицензионное программное обеспечение/лицензионные ключи программного обеспечения
  • Платные подписные электронные ресурсы библиотеки

Защита 
Уровень P1

(ранее UCB PL0)

Минимальный

Информация, предназначенная для общего доступа, но целостность которой важна.Для P1 несанкционированная модификация является основной проблемой защиты. Достаточно применения минимальных требований безопасности.

  • Общедоступные информационные веб-сайты
  • Список курсов и обязательные условия
  • Календари публичных мероприятий
  • Часы работы
  • Правила парковки
  • Пресс-релизы
  • Опубликованное исследование

Таблица классификации уровней доступности

Владельцы могут повышать или понижать уровень доступности в зависимости от варианта использования.Исключение не требуется для изменений уровня доступности. Обратитесь в отдел информационной безопасности, если какой-либо элемент ниже классифицируется неправильно или если вы не можете определить уровень доступности.

Классификация данных Неблагоприятное влияние на бизнес Определение Примеры (неполный список) 
Может быть обновлено в связи с изменениями общесистемной политики UC
и решений о рисках на уровне кампуса UC Berkeley.
Наличие 
Уровень A4

Высокий

Определение: потеря Availability окажет значительное влияние на деятельность Campus , Campus Unit и/или основных служб. Это также может привести к серьезным финансовым потерям. ИТ-ресурсы , доступность которых требуется в соответствии с законодательными, нормативными и/или юридическими обязательствами, подпадают под этот уровень риска. Критическая ИТ-инфраструктура также попадает в эту категорию.

  • Системы аутентификации центрального кампуса
  • Система управления обучением учащихся
  • Системы резервного копирования данных для ресурсов формата A4
  • Консоли управления центральной системой
  • Базовые сетевые службы, т.е. DNS, пограничная/основная маршрутизация и брандмауэры
  • Корпоративная электронная почта 
  • Официальные финансовые, бухгалтерские и платежные системы учета и системы авторитетных источников; также системы, которые обрабатывают и обрабатывают финансовые транзакции, а также коды счетов, номера счетов, PIN-коды и т. д., необходимые для совершения транзакций
  • Системы доступа в здание
  • Система медицинской документации
  • ИТ-инфраструктура и промышленные системы управления, влияющие на жизнь и безопасность (например, система определения местоположения службы экстренной помощи 911)
  • Система закупок кампуса
  • Система учета рабочего времени кампуса

Доступность
Уровень A3

Умеренная

Определение: Потеря доступности приведет к умеренным финансовым потерям и/или снижению качества обслуживания клиентов.

  • Системы продажи билетов на мероприятия
  • Системы торговых точек (POS)
  • Системы отслеживания проблем
  • Журналы безопасности
  • Системы управления зданием
  • Файловые серверы, поддерживающие бизнес-операции
  • Оперативная база знаний
  • Система управления клиническими испытаниями
  • Медицинские устройства, поддерживающие диагностику
  • Промышленные системы управления, влияющие на операции
  • Службы совместной работы, такие как ведение календаря, совместное использование файлов, репозитории кода
Доступность
Уровень A2

Низкий

Определение: Потеря доступности может привести к незначительным потерям или неэффективности.

  • Веб-сайты ведомств
  • Система управления студенческой жизнью
  • Система управления обучением персонала
  • Информационная база знаний
Наличие 
Уровень A1

Минимальный

Определение: Потеря доступности влечет за собой минимальные последствия или финансовые потери.

  • Индивидуальные рабочие станции, ноутбуки и другие мобильные устройства
  • Общий каталог
  • Копировальные машины или принтеры

В.Дополнительная информация

Законодательное требование об уведомлении

См. определение в Глоссарии политики информационной безопасности Калифорнийского университета в Беркли

Следующие требования по регистрации и утверждению применяются к информации с установленным законом требованием об уведомлении («информация, инициирующая уведомление»):

VI. Обязанности

Следующие роли имеют ключевые обязанности, связанные с этим стандартом. Подробная информация доступна в Политике ролей и обязанностей Калифорнийского университета в Беркли

.
  • Институциональная информация и Владельцы ИТ-ресурсов
  • Исследователи
  • Поставщики услуг
  • Головки блоков
  • Члены рабочей силы

VII.Связанные документы и политики


Журнал изменений

  • 11 октября 2019 г. : Черновик размещен на веб-сайте Управления информационной безопасности
  • 7 ноября 2019 г.: Обновления одобрены Комитетом по управлению информационными рисками
  • 27.11.2019: Добавлено уточнение по классификации паспортных данных
  • 12 декабря 2019 г.:  Добавлено разъяснение в отношении деидентифицированной информации о человеке или пациенте P2
  • янв.20 сентября 2020 г.: Добавлено разъяснение в отношении субъекта P4 и генетической информации человека; Добавлено уточнение по экспортным контролируемым данным или технологиям P4 и P3
  • 23 января 2020 г.: Обновление списка P4 «данные, инициирующие уведомления», чтобы отразить изменения в законе Калифорнии
  • 5 марта 2020 г.: Разъяснение по финансовой, бухгалтерской и платежной системам P4; P3 Индивидуально идентифицируемые данные о местоположении; и добавлены пароли P4, PIN-коды и парольные фразы
  • .
  • Март.23, 2020: Разъяснение по примерам формата A4; перемещена «Система учета рабочего времени в кампусе» с A3 на A4
  • 6 июля 2020 г.: Уточнен уровень защиты геномных данных человека P3 и P4
  • 7 октября 2020 г.:  Уточнено, что идентификатор сотрудника UCPath — P2, а не P3
  • .
  • 2 декабря 2020 г.:  Добавлена ​​информация о том, когда владельцы могут повышать и понижать опубликованные уровни классификации для конкретного варианта использования.
  • 29 января 2021 г. : дата вступления в силу обновлена ​​для уровней доступности.
  • 11 апреля 2021 г.:  Уточнено, что IRB или Управление конфиденциальности кампуса могут определить, относятся ли данные исследований с участием людей к «высокому риску».

Планирование жизненного цикла и классификация

Обзор

Продукты и программные приложения достигают конца своего жизненного цикла по ряду причин. Эти причины могут быть связаны с требованиями рынка, технологическими инновациями и разработками, приводящими к изменениям в продукте, или продукты просто совершенствуются с течением времени и заменяются или обновляются функционально более богатыми технологиями.

Шесть основных проблем безопасности поддерживают своевременную замену систем и приложений в течение жизненного цикла:

  1. Устаревшие аппаратные системы уязвимы для атак и взлома.
  2. Старые системы не имеют адекватных функций блокировки безопасности и пароля.
  3. Исправления безопасности и исправления уязвимостей часто недоступны для старых систем.
  4. Старые операционные системы часто не содержат необходимых инструментов для выявления и устранения компрометации системы.
  5. Риск компрометации системы из-за атак на мгновенные сообщения выше при использовании устаревшего оборудования.
  6. Общий риск безопасности для старых систем увеличивается из-за отсутствия доступной технической поддержки и защитных мер.

Безопасность является важным фактором планирования жизненного цикла. UBCIT разработал план завершения срока службы, классифицируя компьютерные системы и поддерживающие их бизнес-приложения, классифицируя их уровень важности как критически важный, базовую систему, существенный или важный.Этот подход поможет UBCIT лучше управлять реагированием на проблемы, связанные с работой компьютерных систем, безопасностью и бизнес-приложениями, которые имеют решающее значение для операций UBC, его репутации и выживания.

Университет информационных технологий Британской Колумбии (UBCIT) признает, что этапы окончания срока службы часто побуждают такие организации, как UBCIT, пересматривать то, как такие этапы окончания срока службы влияют на повседневную деятельность и безопасность UBC. Это означает, что UBCIT должен сохранять бдительность в отношении многофункциональных безопасных технологий, чтобы удовлетворить потребность в более высокой скорости передачи данных и надежности в своей сетевой инфраструктуре.

Использование определений

  • Жизненный цикл : Период времени, в течение которого оборудование информационных технологий и бизнес-приложения остаются полезными для UBCIT и его клиентов.
  • Классификация систем — это схема определения приоритетов и идентификации, которая позволяет UBCIT и его группам технической поддержки лучше понять важность ежедневных требований к производительности своих клиентов и дает уверенность в том, что UBCIT обеспечит надежную и надежную компьютерную сеть.
  • Частота обновления : Запланированная скорость замены оборудования информационных технологий, прикладного программного обеспечения и баз данных, определенных как критически важные, базовые или основные системы для репутации и выживания UBC.

Область применения

Оценка бизнеса разделена на две составляющие: оценку рисков и анализ воздействия на бизнес (BIA). Оценка рисков предназначена для измерения существующих уязвимостей в бизнес-среде, в то время как анализ воздействия на бизнес оценивает вероятные потери, которые могут возникнуть в результате системного сбоя или аварии.

Ключевые драйверы

  • Определите, насколько быстро основные бизнес-подразделения и/или прикладные процессы должны вернуться к полной работе после аварийной ситуации.
  • Определить влияние сценариев стихийных бедствий на бизнес на способность предоставлять продукты или поддерживать критически важные услуги.

Понимание взаимосвязи жизненного цикла

Для 99-процентной доступности для пользователей требуется, чтобы компоненты, указанные в приведенной выше таблице, следовали тем же 99-процентным циклам мониторинга жизненного цикла, чтобы обеспечить прочную основу для UBC IT.

Подход к планированию жизненного цикла

Нижеследующее будет использоваться ИТ-отделом UBC для классификации системы на основе важности для UBC. Система относится к программному приложению вместе со всей поддерживающей инфраструктурой, от которой оно зависит (например, компьютерное оборудование, системное программное обеспечение, приложения, сети, данные, утилиты и т. д.).

Классификация системы

1. «Критически важная»

Система является «критически важной» для того, чтобы UBC оставался в рабочем состоянии, демонстрируя большинство из следующих характеристик:

  • Критично для здоровья или безопасности студентов, или преподавателей
  • Будет угрожать текущей жизнеспособности UBC и/или его репутации, если служба будет скомпрометирована более чем на 1 час
  • Приведет к серьезным юридическим, нормативным или нормативным последствиям, если служба будет скомпрометирована более чем на 1 час

2.«Основная»

Система является «Основной» при предоставлении ИТ-услуг для UBC или для сохранения работоспособности UBC, демонстрируя большинство из следующих характеристик: служба скомпрометирована более чем на 4 часа

  • Высокая вероятность серьезных юридических, нормативно-правовых или нормативных последствий, если служба скомпрометирована более чем на 4 часа
  • Критический компонент в обеспечении академических, административных или медицинских операций одна область/система (от «важной» до «критически важной»)
  • 3.«Базовая»

    Система является «Безопасной» для UBC и обладает большинством из следующих характеристик:

    • Вероятность угрозы для текущей жизнеспособности UBC и/или ее репутации, если служба скомпрометирована более чем на 1 день
    • Вероятность серьезных юридических, нормативно-правовых или нормативных последствий, если служба скомпрометирована более чем на 1 день
    • Генерирует ежедневный финансовый доход = до или > 250 000 долларов США Отключение затрагивает более одной области

    4.

    Добавить комментарий

    Ваш адрес email не будет опубликован.