El cumplimiento CMMC requiere más que cifrado

Asegúrate de marcar correctamente el CUI con Fortra Data Classification

Fortra Data Classification Suite simplifica el cumplimiento del CMMC asegurando que el CUI esté correctamente identificado, marcado y protegido. Así es como ayuda:

 

Plantillas CUI preconstruidas

Aplica rápidamente las capacidades necesarias de marcado CUI en las herramientas de Microsoft Office con una configuración mínima.

Marcado automatizado de CUI

Asegurarse de que las marcas CUI sean legibles por sistemas DLP, ABAC y de cifrado, cumpliendo con los estándares NARA.

Flexibilidad y adaptabilidad a prueba de futuro

Actualizar instantáneamente las clasificaciones para alinearlas con los estándares CUI en evolución, sin retrasos por parte de los proveedores.

Despliegue sin interrupciones, sin necesidad de FedRAMP

Se ejecuta directamente dentro de las aplicaciones de Office y los endpoints con opciones de alojamiento flexibles.

Policy Manager

Nuestra plantilla CUI preconstruida garantiza la consistencia en la marcación de datos no estructurados mientras ofrece la personalización de esquemas necesaria para modificar o mejorar su despliegue.

Solicita una demo

 

4.5/5 star Gartner rating

Beneficios

Cumplimiento Simplificado de CMMC

Automatiza la identificación y marcado de CUI para simplificar el cumplimiento de los requisitos de Nivel 2 y 3.

Reducción de la carga administrativa

Minimiza el esfuerzo manual mediante clasificación y aplicación automatizadas, garantizando la productividad del usuario y el cumplimiento eficiente.

Integración fluida con flujos de trabajo existentes

Funciona directamente dentro de las herramientas y endpoints de Microsoft Office sin interrumpir las operaciones.

Adaptable a las regulaciones cambiantes

Se actualiza fácilmente para alinearse con los estándares CUI en evolución, asegurando el cumplimiento a largo plazo sin retrasos innecesarios.

Forta's Data Classification Suite CMMC Workflow

Mira la demo bajo demanda

Cumplimiento de CUI con Data Classification Suitede Fortra

 

MIRA LA DEMO

Preguntas frecuentes

El Programa CMMC establece mecanismos de evaluación para verificar el cumplimiento de los contratistas de defensa con los requisitos de protección de datos del Departamento de Defensa (DoD).

Cualquier proveedor directo del DoD que maneje Información Federal de Contratos (FCI) o Información No Clasificada Controlada (CUI) deberá alcanzar uno de los 3 niveles CMMC, según lo especificado en su contrato, para ser elegible para realizar trabajos relacionados con la defensa.

Nivel 1 - Fundamento - Solo FCI (Autoevaluación)

Este nivel es para organizaciones que solo gestionan la FCI y se basa en los 17 controles que se encuentran en la FAR 52.204-21 "Protección Básica de la Información del Contratista Cubierto", que se centra en proteger la FCI. Las empresas y organizaciones dentro de este nivel deben realizar una autoevaluación anual para demostrar que cumplen con el cumplimiento y así obtener su certificación.

Nivel 2 - Avanzado - CUI (Evaluado por terceros)

Los requisitos de Nivel 2 están completamente alineados con los requisitos del NIST SP 800-171. En cuanto a la certificación, las organizaciones dentro de este nivel se dividen en dos grupos:

CUI con adquisiciones priorizadas: Las organizaciones que gestionan CUI con adquisiciones prioritarias, es decir, información considerada crítica para la seguridad nacional, deben someterse a evaluaciones de terceros para su certificación cada 3 años.

CUI con adquisiciones no prioritarias: CUI sin adquisiciones prioritarias, es decir, información que no se considera crítica para la seguridad nacional, puede realizar una autoevaluación anual para su certificación siguiendo el mismo proceso que las organizaciones de Nivel 1.

Nivel 3 - Experto - CUI Crítico (Evaluado por el DoD)

El Nivel 3 del CMMC consta de un conjunto seleccionado de (24) requisitos de seguridad derivados del NIST SP 800-172. Además, el Nivel 3 solo se aplica a sistemas que ya han alcanzado el estatus CMMC de Nivel Final 2 (C3PAO) y, por tanto, han cumplido los requisitos de seguridad especificados en el NIST SP 800-171. Según el Departamento de Defensa, el Nivel 3 solo se aplicará a un estimado del 1% de los contratos que apoyen "sus programas y tecnologías más críticos".

Además de los requisitos de Nivel 2, el Nivel 3 proporciona protecciones adicionales contra amenazas persistentes avanzadas (APT) y aumenta la garantía al DoD de que una organización que busca la certificación puede proteger adecuadamente el CUI a un nivel acorde al riesgo adversarial, incluyendo la protección del flujo de información con el gobierno y con subcontratistas en una cadena de suministro multinivel. Las organizaciones de Nivel 3 siempre estarán sujetas a una evaluación gubernamental para su certificación cada 3 años.

FCI - Información de Contratos Federales

La FCI se refiere a información que no está destinada a su publicación pública y es proporcionada o generada para el gobierno en virtud de un contrato para desarrollar o entregar un producto o servicio al gobierno. Ejemplos incluyen detalles o disposiciones contractuales, datos de desempeño de contratistas, informes o entregables desarrollados bajo contratos federales, e información de gestión de proyectos o financiera relevante para el contrato.

CUI - Información No Clasificada Controlada

La información protegida por la CUI no está clasificada, pero requiere control para evitar la divulgación de información no clasificada que, si se asocia públicamente con misiones de defensa o se agrega con otras fuentes de información, a menudo revelará información explotable a los adversarios o violará los requisitos legales.

CUI requiere marcas que alerten a los destinatarios de que puede ser necesario un manejo especial para cumplir con la ley, regulación o política gubernamental general.

1. Requisitos básicos de calificación CUI

  • Marcado en cabecera/pie de página: Cada página de un documento que contenga CUI debe estar marcada con el término "CONTROLLED" o "CUI" en el encabezado y/o pie de página para indicar la presencia de CUI.
  • Marcado de porciones: Aunque opcionales, se recomienda que las marcas de porciones (por ejemplo, marcar párrafos o secciones específicas con "(CUI)") identifiquen partes concretas de un documento que contengan CUI.
  • Marcado en el banner: Es necesaria una indicación clara en la parte superior de la primera página o pantalla que diga "Información No Clasificada Controlada" o "CUI".
  • Marcas de descontrol: Cuando cambia el estado de CUI, el documento debe reflejarlo, por ejemplo añadiendo la frase "Descontrolado" junto con la fecha de descontrol.

 

2. Marcado de categoría

  • CUI puede encajar en diferentes categorías (por ejemplo, Privacidad (PII), Financiera, Aplicación de la Ley). Los estándares de marcado permiten incluir abreviaturas de categorías (por ejemplo, "CUI//PRIV") para especificar el tipo de CUI.
  • Los documentos CUI pueden incluir instrucciones más específicas de salvaguarda o difusión según corresponda (por ejemplo, "CUI//NOFORN" para restringir la difusión extranjera).

 

3. Instrucciones de manipulación

  • Los documentos también pueden incluir instrucciones como "CUI//SP-Control de Exportación" u otras normas específicas de salvaguarda para indicar requisitos especiales de protección bajo leyes o políticas concretas.

 

4. Descontrol de CUI

  • Cuando el CUI ya no se considera sensible y requiere descontrol, la fecha de descontrol debe indicarse claramente. Se puede trazar una línea a través de las marcas CUI, o añadir una nota que indique que la información ha sido descontrolada.

 

5. Marcado de transmisión y almacenamiento

  • Los archivos electrónicos que contienen CUI deben marcar de forma similar, con indicadores visibles en correos electrónicos, discos compartidos o almacenamiento en la nube.
  • Al transmitir CUI, los archivos físicos o digitales deben etiquetarse para asegurar que los destinatarios sean conscientes de sus responsabilidades en la protección de la información. Estas normas de marcado ayudan a garantizar un manejo y difusión adecuados, reduciendo el riesgo de divulgación no autorizada y promoviendo la uniformidad entre diferentes entidades gubernamentales y contratistas. Los estándares están guiados por el programa CUI de la Administración Nacional de Archivos y Registros (NARA).

Ahora que el programa CMMC ha sido finalizado, el programa ha dejado claro que las herramientas de soporte que permiten la certificación CMMC no son necesarias para estar certificadas por FedRAMP. Nuestro producto de clasificación de datos actúa como una extensión de tus aplicaciones de Office y se ejecutará en los dispositivos y endpoints de tu organización. Por lo tanto, no es necesario que nuestro producto esté certificado por FedRAMP para ayudarte con el cumplimiento de la CMMC. Nuestra herramienta administrativa puede alojarse localmente en un entorno en la nube que puede estar certificado por FedRAMP, o estar en las instalaciones según los requisitos de tu organización.

 

Confianza para clientes de todo el mundo

Air-force-logo-white-150x120
wynn-resorts-logo-white-150x120
turkcell-logo-150x120

Amplía tus conocimientos sobre CMMC

demo icon
Seminario web bajo demanda
CMMC 2.0 y el Estándar de Información No Clasificada Controlada (CUI)
icon
Guiar
Cumplir con los requisitos de CUI con Fortra's Data Classification Suite Solutions
icon
Hoja de datos
Data Classification Suite Fortra– Metadatos que impulsan tu solución CMMC

Comienza tu camino de cumplimiento CMMC con Fortra's Data Classification Suite

Solicita una demostración para ver cómo Fortra puede apoyar tus requisitos de cumplimiento únicos.

SOLICITA UNA DEMO