Yo y algunos de mis compañeros de trabajo preguntábamos si estaba bien colocar documentos FOUO (emitidos por la NSA) en SharePoint. La principal justificación fue que su contraseña estaba protegida (lo cual es correcto).
Pero es un sitio alojado, por lo que no tenemos el control final sobre el servidor.
¿Pensamientos?
Pregunte a su oficial de seguridad, o a su contacto / oficial de seguridad en la NSA (el creador).
(Cuando se trata del manejo de material clasificado o FOUO, probablemente no debería seguir los consejos de seguridad de Internet de todos modos ...)
Aparentemente, FOUO a menudo significa que contiene información de identificación personal que no debe hacerse pública. Una parte cínica de mi parte dice que FOUO también parece usarse cuando la divulgación de la información al público podría ser embarazosa para algunos empleados del gobierno. De cualquier manera, FOUO significa que la información no es muy sensible. (Si la divulgación realmente representara un peligro para la seguridad nacional, sería clasificado como Secreto o superior, no marcado como FOUO. El propósito principal de FOUO es asegurarse de que el público no lea en los periódicos). Independientemente, infringir información confidencial o avergonzar a un poderoso empleado del gobierno puede ser un movimiento que limita su carrera. Por lo tanto, su principal preocupación debe ser la seguridad de su propio trabajo. Piense en esto desde la perspectiva de CYA: ¿qué debe hacer para asegurarse de que no se culpe a usted si se filtra la información?
La forma estándar de CYA es tomar la decisión de otra persona. Encuentre a alguien más que sea responsable de tomar estas decisiones, pregúnteles qué es lo que quieren que se haga, documente lo que le dijeron y luego haga lo que le digan, sea lo que sea. De esa manera, no se le puede culpar: solo estaba siguiendo instrucciones, es culpa de otra persona.
Puede argumentar que, dado que no puede acceder al punto de acceso compartido sin ingresar una contraseña, está protegido por contraseña.
La NSA solía marcar el boletín informativo para empleados FOUO y circularlo a las familias de los empleados. Control muy suelto de FOUO. Hay muy poco apoyo regulatorio para FOUO o CUI, y lo que hay difiere mucho entre las Agencias. Menos de un mes después de la elección, el Presidente rechazó los esfuerzos para reformar la CUI y nada ha sucedido desde entonces.
La respuesta de @ DW es efectivamente correcta. Consulte con el propietario de la información y el propietario del sistema. Determine cuáles son sus políticas, porque probablemente sean mucho más útiles y efectivas que Internet.
FOUO (solo para uso oficial) en los Estados Unidos tiene un significado y propósito muy específico. Aunque la designación se usa ampliamente en agencias federales y estatales, en un contexto de seguridad de la información, el marcado tiene la intención de evitar la divulgación de la información bajo la Ley de Libertad de Información (FOIA).
Hay nueve exenciones específicas y la primera exención (Exención 1) es para documentos clasificados, es decir, documentos que tienen una Clasificación de Seguridad Nacional emitida por una Autoridad de Clasificación Original. Para aquellas Autoridades de Clasificación Original que designan un documento u otra información como FOUO generalmente protege la información confidencial pero no clasificada.
Exención 2: "relacionada únicamente con las normas y prácticas internas de personal de una agencia". Pretendía evitar solicitudes excesivas sobre "asuntos en los que el público no podía razonablemente tener un interés". Ej: tipos de arena usados en pesos de papel.
Exención 3: Leyes que eximen específicamente un tipo o categoría de información de FOIA.
Excepción 4: "secretos comerciales e información comercial o financiera obtenida de una persona y privilegiada o confidencial". Por lo general, esta información proviene de una fuente comercial o individual que tiene valor para esa fuente. Ejemplo: una receta familiar secreta para Tiramisu que se registró mientras recolectaba evidencia contra un jefe de la mafia.
Exención 5: "memorandos o cartas interinstitucionales o intrainstitucionales que no estarían disponibles por ley a una parte que no sea una agencia en litigio con la agencia". Ej: No hay solicitudes de evaluaciones de desempeño para gerentes 'con bajo desempeño'.
Exención 6: "archivos personales y médicos y archivos similares cuya divulgación constituiría una invasión claramente injustificada de la privacidad personal". Ej: Los hábitos de mojar la cama de los informantes del FBI.
Exención 7: (A) podría esperarse razonablemente que interfiera con los procedimientos de ejecución (B) privaría a una persona del derecho a un juicio justo o una adjudicación imparcial (C) podría esperarse razonablemente que constituya una invasión injustificada de la privacidad personal (D) podría esperarse razonablemente que revele la identidad de una fuente confidencial Ej: ¿Qué tipo de hojas mojan los informantes del FBI?
Exención 8: "contenida en o relacionada con los informes de examen, operación o condición preparados por, en nombre de, o para el uso de una agencia responsable de la regulación o supervisión de instituciones financieras". Ejemplo: por qué Lehman Brothers era demasiado grande para fallar.
Exención 9: "información y datos geológicos y geofísicos, incluidos mapas, relativos a pozos petroleros". Ej: Por qué la NASA tiene tanta tierra en Florida.
Referencias:
Lea otras preguntas en las etiquetas government shared-hosting