Cybersecurity Maturity Model Certification (CMMC) und CUI

Was ist das? Was ist CUI? Wie können Sie die Vorschriften einhalten?

Demo anfordern Demo ansehen

Cybersecurity Maturity Model Certification (CMMC) und CUI

Was ist das Cybersecurity Maturity Model Certification Program?

Das CMMC legt Bewertungsmechanismen fest, um zu überprüfen, ob die Auftragnehmer der Verteidigungsindustrie die Sicherheitsanforderungen des US-Verteidigungsministeriums (DoD) zum Schutz sensibler Informationen einhalten.

Jeder direkte Lieferant des Verteidigungsministeriums, der mit Informationen aus Bundesverträgen (FCI) oder kontrollierten, nicht klassifizierten Informationen (CUI) umgeht, muss eine der drei CMMC-Stufen erreichen, wie in seinem Vertrag festgelegt, um für verteidigungsbezogene Arbeiten zugelassen zu werden.

Was ist FCI oder CUI?

FCI – bezeichnet Informationen, die nicht zur Veröffentlichung bestimmt sind und von der Regierung im Rahmen eines Vertrags zur Entwicklung oder Lieferung eines Produkts oder einer Dienstleistung für die Regierung bereitgestellt oder für diese erstellt werden. Beispiele hierfür sind Vertragsdetails oder -bestimmungen, Leistungsdaten des Auftragnehmers, Berichte oder im Rahmen von Bundesverträgen erstellte Ergebnisse, Projektmanagement- oder Finanzinformationen, die für den Vertrag relevant sind.

CUI – CUI-geschützte Informationen sind zwar nicht klassifiziert, unterliegen aber einer Kontrolle, um die Veröffentlichung nicht klassifizierter Informationen zu verhindern, die, wenn sie öffentlich mit Verteidigungsmissionen in Verbindung gebracht oder mit anderen Informationsquellen zusammengeführt werden, häufig verwertbare Informationen für Gegner preisgeben oder gegen gesetzliche Bestimmungen verstoßen.

CUI erfordert Kennzeichnungen, die die Empfänger darauf hinweisen, dass möglicherweise eine besondere Handhabung erforderlich ist, um Gesetze, Verordnungen oder regierungsweite Richtlinien einzuhalten.

Die 3 Ebenen von CMMC 2.0

CMMC 2.0 hat drei Stufen. Welche Anforderungen Sie erfüllen müssen, wird in Ihrem Vertrag mit der Bundesregierung festgelegt. Das Niveau, auf dem Sie bewertet werden, entspricht der Art der Informationen, die Ihre Organisation verarbeiten wird:

Stufe 1 – Grundlagen – Nur FCI (Selbstbewertung)

Diese Stufe ist für Organisationen gedacht, die ausschließlich FCI verarbeiten, und basiert auf den 17 Kontrollen gemäß FAR 52.204-21 „Grundlegender Schutz von geschützten Auftragnehmerinformationen“, der sich auf den Schutz von FCI konzentriert. Unternehmen und Organisationen dieser Stufe müssen jährlich eine Selbsteinschätzung durchführen, um nachzuweisen, dass sie die Anforderungen erfüllen und um ihre Zertifizierung zu erhalten.

Stufe 2 - Fortgeschritten - CUI (Bewertung durch Dritte)

Die Anforderungen der Stufe 2 stimmen vollständig mit den Anforderungen von NIST SP 800-171 überein. Im Hinblick auf die Zertifizierung lassen sich Organisationen dieser Ebene in zwei Gruppen unterteilen:

CUI mit priorisierten Beschaffungen: Organisationen, die über CUI mit priorisierten Beschaffungen verfügen, d. h. Informationen, die als kritisch für die nationale Sicherheit gelten, müssen sich alle 3 Jahre einer externen Zertifizierung unterziehen.

CUI ohne priorisierte Beschaffungen: CUI ohne priorisierte Beschaffungen, also Informationen, die nicht kritisch für die nationale Sicherheit sind, können eine jährliche Selbstbewertung für ihre Zertifizierung durchführen, wobei sie das gleiche Verfahren wie Organisationen der Stufe 1 anwenden.

Stufe 3 – Experte – Kritische CUI (vom US-Verteidigungsministerium bewertet)

Zum Zeitpunkt der Veröffentlichung dieses Dokuments (September 2024) ist Level 3 offiziell noch als „TBD“ (noch nicht festgelegt) gelistet, da die Regelsetzung noch im Gange ist. Wir wissen jedoch, dass Level 3 die Anforderungen von NIST SP 800-171 und eine Teilmenge der Anforderungen von NIST SP 800-172 verwenden wird. Organisationen der Stufe 3 unterliegen alle 3 Jahre einer staatlich durchgeführten Zertifizierungsprüfung.

CMMC 2

CUI-Konformität und Fortra Data Classification Suite (DCS)

Die Ebenen 2 und 3 enthalten Regeln zur Identifizierung und Kontrolle von CUI (wie AC.L2.3.1.1). Es gibt Standards dafür, welche Kennzeichnungen vorhanden sein müssen, damit das Produkt ordnungsgemäß identifiziert und verwaltet werden kann.

Die Fortra Data Classification Suite verfügt über eine vorkonfigurierte CUI-Vorlage , mit der Unternehmen CUI innerhalb weniger Minuten in den wichtigsten Microsoft Office-Anwendungen einfügen und laden können. Dazu ist lediglich die Installation des DCS-Agenten und die Schulung der wichtigsten Personen, die mit CUI-Inhalten arbeiten, erforderlich.

Hier sind die wichtigsten Aspekte der CUI-Kennzeichnungsstandards:

1. Grundlegende Anforderungen an die Kennzeichnung von CUI

  • Kennzeichnung in Kopf- und Fußzeile: Jede Seite eines Dokuments, das CUI enthält, muss in der Kopf- und/oder Fußzeile mit dem Begriff „CONTROLLED“ oder „CUI“ gekennzeichnet werden, um auf das Vorhandensein von CUI hinzuweisen.
  • Abschnittskennzeichnung: Die Verwendung von Abschnittskennzeichnungen (z. B. Kennzeichnung bestimmter Absätze oder Abschnitte mit "(CUI)") ist zwar optional, wird aber empfohlen, um bestimmte Teile eines Dokuments zu kennzeichnen, die CUI enthalten.
  • Banner-Kennzeichnung: Eine deutliche Kennzeichnung am oberen Rand der ersten Seite oder des ersten Bildschirms mit dem Hinweis „Controlled Unclassified Information“ oder „CUI“ ist erforderlich.
  • Kennzeichnung bei Aufhebung der Kontrolle: Wenn sich der CUI-Status ändert, sollte dies im Dokument vermerkt werden, beispielsweise durch Hinzufügen des Vermerks „Aufgehoben“ mit dem Datum der Aufhebung.

2. Kategorisierung

  • CUI können in verschiedene Kategorien fallen (z. B. Datenschutz (PII), Finanzdaten, Strafverfolgungsdaten). Die Kennzeichnungsstandards erlauben die Aufnahme von Kategorieabkürzungen (z. B. „CUI//PRIV“), um die Art des CUI anzugeben.
  • CUI-Dokumente können gegebenenfalls spezifischere Schutz- oder Verbreitungsanweisungen enthalten (z. B. „CUI//NOFORN“, um die Verbreitung ins Ausland einzuschränken).

3. Handhabungshinweise

  • Die Dokumente können auch Anweisungen wie „CUI//SP-Exportkontrolle“ oder andere spezifische Schutzbestimmungen enthalten, um besondere Schutzanforderungen gemäß bestimmten Gesetzen oder Richtlinien anzugeben.

4. CUI-Dekontrolle

  • Wenn CUI nicht mehr als sensibel eingestuft wird und die Aufhebung der Kontrolle erforderlich ist, sollte das Datum der Aufhebung der Kontrolle klar angegeben werden. Die CUI-Kennzeichnungen können durchgestrichen oder mit einem Vermerk versehen werden, der darauf hinweist, dass die Informationen freigegeben wurden.

5. Kennzeichnung für Übertragung und Lagerung

  • Elektronische Dateien, die CUI enthalten, müssen entsprechend gekennzeichnet werden, und zwar mit sichtbaren Hinweisen in E-Mails, auf gemeinsam genutzten Laufwerken oder in Cloud-Speichern.
  • Bei der Übermittlung von CUI (Controlled Unified Information) müssen physische oder digitale Dateien gekennzeichnet werden, um sicherzustellen, dass die Empfänger über ihre Verantwortung für den Schutz der Informationen informiert sind. Diese Kennzeichnungsstandards tragen dazu bei, eine ordnungsgemäße Handhabung und Verbreitung sicherzustellen, das Risiko einer unbefugten Weitergabe zu verringern und gleichzeitig die Einheitlichkeit zwischen verschiedenen Regierungsstellen und Auftragnehmern zu fördern. Die Standards orientieren sich am CUI-Programm der National Archives and Records Administration (NARA).

Erfüllen Sie die CUI-Komponente Ihrer CMMC-Zertifizierung mit Fortra

Der Schlüssel zum erfolgreichen Management von CUI-Daten ist die elektronische Durchsetzung. Eine Durchsetzung der Vorschriften ist nur möglich, wenn in Ihren unstrukturierten Inhalten die entsprechenden Informationen vorhanden sind, damit Ihre elektronischen Schutzmechanismen diese lesen und Maßnahmen ergreifen können (z. B. ein System zur Verhinderung von Datenverlusten, ABAC oder ein Verschlüsselungssystem).

Die CUI-Standards haben sich geändert und werden sich auch weiterhin ändern. Daher benötigen Sie ein Tool, das flexibel genug ist, um diese Änderungen mit einem Mausklick zu erfüllen, anstatt darauf zu warten, dass die Anbieter Änderungen vornehmen, um den neuen Standards gerecht zu werden. Fortra DCS hat sich in der Verteidigungsindustrie als Schlüsselinstrument erwiesen, um unseren DIB-Kunden die nötige Flexibilität zu bieten und die erforderlichen Audits durchzuführen, damit Ihre Zertifizierung aktuell bleibt, während gleichzeitig der Aufwand für die Genehmigung Ihres individuellen Programms minimiert wird.

Erfahren Sie mehr über die Fortra Data Classification Suite und unseren schnellen Weg zur CUI-Konformität.

Erfahren Sie, wie wir es Ihnen leicht machen, CUI-Kennzeichnungen präzise und sicher anzubringen, um Ihnen bei der Einhaltung von Vorschriften und Anforderungen wie CMMC zu helfen und sensible Regierungsinformationen angemessen zu schützen.

Mehr erfahren

Ist Fortra FedRAMP-zertifiziert?

Nachdem das CMMC-Programm nun finalisiert wurde, wurde im Programm klargestellt, dass die zur CMMC-Zertifizierung erforderlichen Tools nicht FedRAMP-zertifiziert sein müssen.  Unser Produkt zur Datenklassifizierung läuft als Erweiterung Ihrer Office-Anwendungen und wird auf den Geräten und Endgeräten Ihrer Organisation ausgeführt. Wir müssen daher nicht FedRAMP-zertifiziert sein, um Sie bei der Einhaltung der CMMC-Vorschriften zu unterstützen. Unser Administrationstool kann lokal in einer Cloud-Umgebung gehostet werden, die möglicherweise FedRAMP-zertifiziert ist, oder On-Premises, je nach den Anforderungen Ihres Unternehmens.

Ressourcen

Erfahren Sie mehr über Fortra Data Classification

Erfahren Sie, wie die flexible Datenklassifizierung von Fortra die Einhaltung einer Vielzahl von Vorschriften und Anforderungen unterstützen kann.

Einhaltung gesetzlicher Bestimmungen

Wenn Sie bereit für eine Demo sind, lassen Sie uns darüber sprechen, wie wir Sie bei Ihren spezifischen Compliance-Anforderungen unterstützen können.

DEMO ANFORDERN