Was sind kontrollierte, nicht klassifizierte Informationen (CUI) und was ist das CUI-Programm?
Die stetig wachsende Möglichkeit, Informationen auszutauschen, ist ein zweischneidiges Schwert. Einerseits wird die Kommunikation und das Arbeiten effizienter, andererseits bedeutet dies aber auch weniger Kontrolle über die geteilten Informationen und mehr Personen, die sich die Daten ansehen. Dieser Trend führte zusammen mit Ad-hoc- und behördenspezifischen Kennzeichnungen, Richtlinien und Verfahren dazu, dass die US-Regierung einen standardisierten Klassifizierungsrahmen entwickeln musste, der Controlled Unclassified Information (CUI) schützt, ohne die autorisierte Weitergabe dieser Informationen zu behindern. Das CUI-Programm der US-Bundesregierung, das im Jahr 2010 eingeführt wurde, standardisiert die Vorgehensweise aller US-Regierungsbehörden und militärischen Einrichtungen im Umgang mit nicht klassifizierten Informationen, die einer Sicherung bedürfen. Es präzisiert und begrenzt, welche Arten von Informationen geschützt werden sollen, bekräftigt bestehende Gesetze und Verordnungen und fördert den autorisierten Informationsaustausch.
Bevor wir uns jedoch mit den Details des CUI-Programms und den Maßnahmen befassen, die Organisationen ergreifen können, um sicherzustellen, dass CUI ordnungsgemäß geschützt ist, müssen wir zunächst verstehen, was CUI überhaupt ist. Die National Archives and Records Administration (NARA), die das CUI-Programm der US-Regierung überwacht, definiert CUI als „Informationen, die gemäß geltendem Recht, Vorschriften und regierungsweiten Richtlinien Schutz- oder Verbreitungskontrollen erfordern“. Vereinfacht ausgedrückt handelt es sich bei CUI um Daten, die im Auftrag der US-Bundesregierung erstellt oder in deren Besitz sind und die nicht als geheim eingestuft sind, deren Schutz aber entweder durch Gesetz, Verordnung oder Richtlinie vorgeschrieben oder zulässig ist. Dies kann unter anderem Folgendes umfassen:
- Persönlich identifizierbare Informationen (PII)
- Sensible personenbezogene Daten (SPII)
- Proprietäre Geschäftsinformationen (PBI), oder derzeit in den USA bekannt als
- Umweltschutzbehörde (EPA) als vertrauliches Geschäft
- Informationen (CBI)
- Nicht klassifizierte kontrollierte technische Informationen (UCTI)
- Sensibel, aber nicht klassifiziert (SBU)
- Nur für den Dienstgebrauch (FOUO)
- Sensibel für Strafverfolgungsbehörden (LES)
Bewältigen Sie die Komplexität von CUI-Umgebungen souverän
DCS-Demo für CUI ansehen
Für wen gilt das CUI-Programm?
Die Kennzeichnung von Informationen mit unlauterem Charakter (CUI-Kennzeichnung) muss nicht nur von Bundesbehörden, sondern auch von Auftragnehmern und Unterauftragnehmern, die mit Regierungsinformationen arbeiten, implementiert werden. Für alle Auftragnehmer und Unterauftragnehmer des US-Verteidigungsministeriums hat das Verteidigungsministerium (DoD) verbindliche Schritte veröffentlicht, um die Einhaltung der Anforderungen zum Schutz von CUI sicherzustellen. Gemäß DoD Defense Federal Acquisition Regulation Supplement (DFARS) 252.204-7012 müssen die in der National Institute of Standards and Technology Special Publication 800-171 (NIST SP 800-171), „Protecting Controlled Unclassified Information in Nonfederal Information Systems and Organizations“, genannten Kontrollmaßnahmen bis zum 31. Dezember 2017 umgesetzt sein.
Andere Behörden der Exekutive können auch von nicht-bundesstaatlichen Einrichtungen, einschließlich Auftragnehmern, die Einhaltung von NIST SP 800-171verlangen. bei der Weitergabe von CUI durch Verträge, Absichtserklärungen oder Beschaffungsregeln. NIST SP 800-171 bietet einen standardisierten Satz von Anforderungen für alle CUI-Sicherheitsbedürfnisse, zugeschnitten auf nicht-staatliche Systeme. Der Hauptunterschied zwischen dem CUI-Programm und NIST SP 800-171 besteht darin, dass das CUI-Programm einen standardisierten CUI-Rahmen nur für Militär und Regierung etabliert hat, während NIST SP 800-171 später implementiert wurde und speziell für Auftragnehmer und andere nicht-staatliche Einrichtungen gilt.
Erfahren Sie, wie wir Sie bei der Erfüllung der Compliance-Anforderungen gemäß NIST SP 800-71 unterstützen können.
DATENBLATT ANSEHEN
CUI-Kennzeichnungen, Kategorien und Richtlinien
Das Herzstück des CUI-Programms wurde in der Executive Order (EO) 13556 formuliert, die ein „offenes und einheitliches Programm zur Verwaltung aller nicht klassifizierten Informationen…“ forderte. Ein Schlüsselelement ist, dass alle CUI mit geeigneten visuellen Markierungen versehen werden, die angeben, wie nachgelagerte Parteien mit den regulierten Daten umgehen sollen. Das System verwendet Markierungen, um die Inhaber auf das Vorhandensein von CUI aufmerksam zu machen und, wenn Teilmarkierungen verwendet werden, die genauen Informationen oder Teile zu identifizieren, die geschützt werden müssen. Darüber hinaus weisen diese Kennzeichnungen die Inhaber auch auf etwaige Kontrollmaßnahmen zur Verbreitung und Sicherung von CUI hin.
Wie CUI-Markierungen funktionieren
Das von NARA herausgegebene CUI-Markierungshandbuch beschreibt, wie CUI-Markierungen in Dokumenten und E-Mails visuell dargestellt werden sollten. Es gibt derzeit 125 Kategorien von CUI, und jede hat ihre eigene Kennzeichnung. Zusätzlich zu der schieren Anzahl an Kennzeichnungen, die Organisationen verstehen und verwenden müssen, hat NARA detaillierte Richtlinien zur Formatierung der Kennzeichnungen veröffentlicht. Die Bannerkennzeichnungen müssen CUI-Kennzeichnungen für jede im Dokument enthaltene Informationskategorie sowie Kennzeichnungen zur Festlegung von Verbreitungs- und Freigabeprotokollen enthalten. Die Kennzeichnungen müssen außerdem in einer bestimmten Reihenfolge erscheinen, und einige haben entsprechende Informationen, die als Fußzeile des Dokuments zusammen mit zusätzlichen juristischen Formulierungen, Kontaktinformationen und anderen Details aufgeführt werden müssen. Ähnliche Regeln gelten auch für E-Mails.
CUI-Kategorien und Unterkategorien
Während Kennzeichnungen anzeigen, welche Art von Informationen sich im Dokument oder in der E-Mail befinden, sind es die CUI-Kategorien, die festlegen, wie mit den Informationen umzugehen ist und Anweisungen zur Weitergabe geben. Es wird die Verwendung von drei CUI-Kategorien empfohlen, die in der Kopf- und Fußzeile der relevanten Dokumente deutlich sichtbar sein sollten:
CUI Basic
CUI angegeben
Begrenzte Verbreitung
Folgen bei Nichteinhaltung
Organisationen, die keine Maßnahmen ergreifen, um den CUI-Rahmen einzuhalten, riskieren, bestehende Verträge zu verlieren oder zukünftige Chancen zu verpassen. Auch ein unzureichender Schutz von CUI hat Konsequenzen – ein Datenleck, das einen Kunden gefährdet oder gegen eine Vorschrift verstößt, kann zu Reputationsschäden, Geldstrafen, zusätzlichen Strafen, Klagen und Geschäfts-/Gewinnverlusten führen. Während diese Kennzeichnungen und Richtlinien einheitliche, standardisierte Kontrollen für den Umgang mit CUI festlegen, ist der Prozess der Implementierung dieser CUI-Kennzeichnungen in den Daten der Behörde komplex, zeitaufwändig und manchmal unklar.
Hinzu kommt, dass bei so vielen Kategorien und so komplexen Richtlinien, die beachtet werden müssen, menschliches Versagen ein Problem darstellen kann. Es kann leicht passieren, dass ein Benutzer sensible Inhalte in einem Dokument übersieht und diese Informationen nicht korrekt kennzeichnet. Wird der Abschnitt „Verbreitung“ des Dokuments nicht korrekt gekennzeichnet, könnte das Dokument versehentlich an nicht autorisierte Dritte weitergegeben werden.
Wie Data Classification die Sicherheit von CUI gewährleistet
Die vorkonfigurierte Datenklassifizierung, die speziell für die Verarbeitung von CUI entwickelt wurde, optimiert den Prozess sowohl für E-Mails als auch für Dokumente und erleichtert es den Benutzern, das CUI-Framework genau und konsistent zu implementieren. Beim Speichern eines Dokuments oder beim Versenden einer E-Mail wird der Inhalt auf sensible Daten überprüft und die entsprechenden CUI-Kennzeichnungen werden automatisch angewendet. Zusätzlich zu den vom CUI-Framework geforderten visuellen Kennzeichnungen werden Bezeichnungen als Metadaten in die Dateieigenschaften eingebettet. Diese Metadaten steuern die Aktionen nachgelagerter Sicherheits- und Datenmanagementlösungen im Unternehmen, wie z. B. Data Loss Prevention (DLP) und Secure Collaboration, und ermöglichen so, dass auf CUI nur gemäß den Regeln zugegriffen oder diese verwendet werden können, die ihrer Klassifizierung entsprechen. Um sicherzustellen, dass CUI ordnungsgemäß behandelt wird, müssen Organisationen in der Lage sein, ungesetzliche, unbefugte oder unangemessene CUI-Aktivitäten zu verfolgen. Mithilfe von Überwachungs- und Berichtstools können Sie nachverfolgen, wie in Ihrer Organisation auf CUI zugegriffen, diese verwendet und klassifiziert werden. Dies hilft nicht nur bei der Einhaltung der CUI-Vorschriften, sondern kann auch aufzeigen, wo Schulungen für die Anwender erforderlich sind und das Bewusstsein für CUI verbessert werden kann.
Da sich das CUI-Framework ständig weiterentwickelt, liefern Überwachungs- und Berichtsinstrumente die notwendigen Informationen, um den Ansatz entsprechend den Änderungen anzupassen. Letztendlich liegt es in der Verantwortung des CUI-Inhabers, die CUI-Kennzeichnungen zu beachten und einen angemessenen Schutz zu gewährleisten. Durch die Implementierung einer Softwarelösung, die CUI-Markierungen automatisch anwendet, wird sichergestellt, dass CUI innerhalb des genehmigten Bereichs bleibt und nur von der entsprechenden Zielgruppe eingesehen wird. Gleichzeitig werden die Benutzer in die Lage versetzt, Informationen vertrauensvoll zu nutzen und auszutauschen, was zu einer verbesserten Zusammenarbeit und höherer Produktivität führt. In der heutigen digitalen Welt des Informationsaustauschs ist eine vorkonfigurierte Lösung zur Identifizierung, Erkennung und Reaktion auf CUI in alltäglichen Geschäftsprozessen, Dokumenten und E-Mails für jede Organisation, die in ihrer Branche mit CUI in Berührung kommen könnte, von entscheidender Bedeutung.
Warum sollte man sich für Fortra DCS für die CUI-Konfiguration entscheiden?
Organisationen können sich für die Einhaltung der Vorschriften positionieren, indem sie Maßnahmen ergreifen, um die Prinzipien der Datenklassifizierung zu beherrschen und die Prozesse, Werkzeuge und Schulungen zu implementieren, die eine konsistente und genaue Kennzeichnung ermöglichen, wie sie in ihrer Daten-Governance-Richtlinie definiert und von NIST SP 800-171 gefordert wird. Mithilfe dieser Funktion können Organisationen leicht nachweisen, dass sie über die notwendigen Kapazitäten verfügen, um CUI mit entsprechenden Metadaten und visuellen Kennzeichnungen gemäß der Definition im NARA-Register zu erkennen und zu verwalten. Durch die Anwendung dieses Rahmenwerks werden Organisationen nicht nur ihre Fähigkeit unter Beweis stellen, regulierte Daten zu schützen, sondern auch ihre Wettbewerbsfähigkeit bei neuen Aufträgen zur Speicherung, Verarbeitung oder Übermittlung von CUI verbessern. Die führenden Datenklassifizierungsprodukte von Fortra unterstützen die Einhaltung der NIST-Vorschriften durch:
Sicherstellung einer angemessenen Kontrolle vertraulicher oder sensibler Informationen
Klassifizierung oder Kennzeichnung von Daten mit visuellen (und Metadaten-)Labels zur Hervorhebung besonderer Handhabungsanforderungen
Benutzer werden benachrichtigt, wenn personenbezogene Daten das Unternehmen verlassen, um sie zu warnen oder daran zu hindern, Nachrichten mit sensiblen Informationen zu senden.
Die Nutzer über die Sensibilität der Daten aufklären und gleichzeitig die Einhaltung der Unternehmensrichtlinien sicherstellen.
Fortra-Konfiguration für CUI
Erfahren Sie, wie wir es Ihrer Behörde leicht machen, CUI-Kennzeichnungen präzise und sicher anzubringen, die allen Vorschriften entsprechen, um sensible Regierungsinformationen angemessen zu schützen.