Was bedeutet Controlled Unclassified Information (CUI)?
Controlled Unclassified Information (CUI, kontrollierte, nicht klassifizierte Informationen) ist eine Kategorie nicht klassifizierter Informationen, für die aufgrund von Gesetzen, Vorschriften oder Regierungsrichtlinien Schutz oder Verbreitungskontrollen vorgeschrieben sind.
Nach Angaben der National Archives and Records Administration (NARA) wurde die CUI-Initiative ins Leben gerufen, um den Austausch und den Schutz von Informationen zwischen den einzelnen Ministerien und Behörden sowie zwischen privaten Unternehmen, die mit Regierungsbehörden zusammenarbeiten, zu standardisieren.
Das Programm wurde entwickelt, um Regierungsdaten zu schützen, die nicht als geheim, vertraulich oder geheim eingestuft sind, aber dennoch Informationen darstellen, die nicht veröffentlicht werden sollten, während sie geteilt werden. Diese Informationen sollten stattdessen kontrolliert werden. Executive Order 13556 oder die CUI-Regeln definieren die Sicherheitsanforderungen für den Schutz von CUI in nicht-bundesstaatlichen Informationssystemen und Organisationen und standardisieren den Umgang mit Informationen, die nicht die Kriterien für eine Klassifizierung gemäß E.O. 13526, „Classified National Security Information“, oder dem Atomic Energy Act erfüllen.
Die Arbeit mit Informationen, die unter CUI fallen, erfordert angemessene Maßnahmen zur Zugangskontrolle, um sicherzustellen, dass nur die richtigen Personen Zugang zu Daten haben, die unter CUI-Kennzeichnungskategorien fallen.
Regierungsorganisationen, die Compliance-Anforderungen unterliegen, wie z. B. die International Traffic in Arms Regulations (ITAR) und die Defense Department Federal Acquisition Regulations (DFARS){1} 252.204.2071 Klauseln, haben dazu beigetragen, die Einführung von CUI-Richtlinien voranzutreiben.
Spezifische Anleitungen für CUI finden Sie in der National Institute of Standards and Technology (NIST) Special Publication 800-171: Protecting Controlled Unclassified Information in Non-federal Information Systems and Organizations.
Benötigen Sie Hilfe bei FISMA-Compliance?
Hier erfahren Sie, wie Sie die Anforderungen der Sicherheitskontrollen des Federal Information Security Management Act erfüllen können.
CUI- und regulatorische Compliance
Einer der Schritte zum Erreichen der Compliance ist die Integration einer Datenklassifizierungslösung. Mit einer robusten Technologie zur Datenklassifizierung werden die Daten gemäß der Data-Governance-Richtlinie und den Anforderungen von NIST SP 800-171 konsistent und genau gekennzeichnet. Das Vorhandensein dieser Kapazität ist der Beweis dafür, dass CUI mit den entsprechenden Metadaten und visuellen Markierungen von Informationen verwaltet werden, die im CUI-Register der NARA festgelegt sind.
Um die CUI-Vorschriften einzuhalten, müssen staatliche und nichtstaatliche Stellen, die mit Regierungsbehörden zusammenarbeiten, über einen strengen Sicherheitsplan verfügen, der 14 Bereiche der Sicherheitskontrolle abdeckt, darunter:
Diese Kontrollen arbeiten in Verbindung mit der Aufgabe, Material, das unter CUI fällt, in drei Kategorien zu klassifizieren, um den Nutzern bei der Entscheidung zu helfen, wie sie darauf zugreifen und damit umgehen sollten:
DFARS und NIST CUI-Compliance
Auftragnehmer und Unterauftragnehmer des US-Verteidigungsministeriums (DoD) müssen die vom DoD in der Defense Federal Acquisition Regulation Supplement (DFARS) Klausel 252.204-7012 veröffentlichten Schritte zum Schutz von CUI befolgen. Die DFARS-Klausel beschreibt die Umsetzung der in der NIST-Publikation 800-171, genannten Kontrollen und ist in allen Verträgen erforderlich, mit Ausnahme von Verträgen, die nur für den Kauf von kommerziellen Standardprodukten verwendet werden. Sie gilt auch für Unteraufträge, die erfasste Verteidigungsinformationen oder betriebsnotwendigen Support betreffen.
Für Konformität müssen Auftragnehmer und Unterauftragnehmer:
- abgedeckte Verteidigungsinformationen schützen
- Cyber-Vorfälle melden
- SSchadsoftware einsenden
- Schadensbewertungen unterstützen
NIST 800-53, 800-171 und CUI-Konformität gehen ebenfalls Hand in Hand mit CUI-Regeln und werden durch eine robuste Datenklassifizierungslösung und Richtlinien unterstützt, um die Konformität zu optimieren und konsistente Kennzeichnungspraktiken für relevante Daten zu gewährleisten. NIST SP 800-171 befasst sich speziell mit der Vertraulichkeit von CUI, um sicherzustellen, dass CUI nicht in unangemessener Weise weitergegeben werden.
Sicherstellen
Sicherstellen, dass vertrauliche und sensible Informationen kontrolliert werden
Klassifizieren
Klassifizieren oder Kennzeichnen von Daten mit visuellen und Metadaten-Etiketten, um besondere Anforderungen an die Handhabung zu berücksichtigen, zu identifizieren und hervorzuheben.
Warnen
Warnen der Nutzer, wenn ihre persönlichen Daten das Unternehmen verlassen, um den Versand potenziell sensibler Nachrichten zu verhindern
Schulen
Schulen der Nutzer hinsichtlich der Sensibilität von Daten, um für die Einhaltung der Unternehmensrichtlinien zu sorgen
Wer ist für den Schutz von CUI verantwortlich?
Die Richtlinien der CUI-Verordnung für die Benennung, den Umgang mit und die Kontrolle von CUI-Informationen gelten für Bundesministerien, Agenturen und Auftragnehmer, die möglicherweise Produkte entwickeln, die CUI enthalten, oder Systeme, die CUI verarbeiten, speichern oder handhaben.
Vor dem Erlass zur Einführung des CUI-Programms verwendeten verschiedene Regierungsbehörden eine Vielzahl von behördenspezifischen Richtlinien, Ad-hoc-Richtlinien und -Verfahren sowie uneinheitliche Kennzeichnungen, um die Kontrolle und den Schutz von als sensibel eingestuften Informationen zu gewährleisten.
Mit EO 13556 wurde ein einheitliches Programm eingeführt, bei dem nur die im CUI-Register aufgeführten Informationskategorien als CUI identifiziert und behandelt werden.
Daher überwacht die Regierung die Bestimmung des Schutzniveaus, unter das Informationen fallen. Diese Informationen über Kennzeichnungen, das CUI Marking Handbook, sind im CUI-Register aufgeführt. Darüber hinaus müssen alle CUI mit einer Kennzeichnung versehen sein, die angibt, wer die Informationen als CUI eingestuft hat.
Die Gesamtaufsicht über das CUI-Programm hat das Information Security Oversite Office. Es fungiert als Beauftragter der National Archives and Records Administration und überwacht die Umsetzung und Einhaltung des CUI-Programms durch die Behörden der Exekutive.
Ein CUI-Beirat mit Vertretern aus jeder Exekutivbehörde arbeitet ebenfalls in Fragen der CUI mit der EA zusammen.
Wie Fortra beim Schutz von CUI hilft
At the heart of the CUI program is Datenklassifizierung, um eine angemessene Kontrolle und einen einheitlichen Umgang mit sensiblen Informationen sowie die Durchsetzung der Kontrolle in allen Zweigen der Regierung und ihren Auftragnehmern sicherzustellen.
Durch die Klassifizierung oder Kennzeichnung von Daten mit visuellen und Metadaten-Etiketten zur Hervorhebung spezieller Handhabungsanforderungen, wie sie vom CUI-Programm vorgegeben werden, können Nutzer die CUI-Regeln leichter einhalten. Mit einer robusten Technologie zur Datenklassifizierung werden Nutzer alarmiert, wenn personenbezogene Daten das Unternehmen verlassen, oder sie erhalten eine Warnung, die sie daran hindert, Nachrichten zu versenden, die sensible Informationen gemäß der Definition des CUI-Registers enthalten.
Die Automatisierung und der optimierte Funktionsumfang von Datenklassifizierungslösungen wie die von Fortra Data Classification hilft sowohl dabei, die als sensibel eingestuften Informationen zu schützen als auch die Benutzer über die Sensibilität der Daten, mit denen sie umgehen, aufzuklären und gleichzeitig die festgelegten Richtlinien einzuhalten.
Demo anfordern
Wenn Sie mit CUI arbeiten oder in Zukunft arbeiten könnten, sprechen Sie noch heute mit einem Experten für Datenklassifizierung. Eine auf Ihre Bedürfnisse abgestimmte Demo kann Ihnen zeigen, wie einfach es ist, das CUI-Programm mit Datenklassifizierungstechnologie einzuhalten.