Kontrollierte nicht klassifizierte Informationen (CUI)unter CMMC sind Informationen, die die Regierung für schützenswert hält oder die Kontrollen bei der Verbreitung erfordern. Sie genießen nicht den rechtlichen Schutz klassifizierter Informationen, unterliegen stattdessen jedoch Vorschriften und Anforderungen zum Schutz, zur Kontrolle und zur Nutzung. Sie umfassen Informationen, die nicht explizit als nachrichtendienstlich, strafverfolgungsrelevant oder sicherheitsrelevant gekennzeichnet sind und typischerweise in Form von Tags, Markierungen oder Legenden gekennzeichnet sind. CUI ist einer von zwei primären Informationstypen, die CMMC schützen soll. Der andere ist Bundesvertragsinformationen (FCI).

CMMC CUI und was es bedeutet

Was ist CMMC?

CMMC steht für das Cybersecurity Maturity Model Certification. Ursprünglich ein fünfstufiges Zertifizierungsprogramm, das vom Verteidigungsministerium (DoD) initiiert wurde, um die Sicherheit der Lieferkette und der Daten des DoD zu gewährleisten, wurde das Rahmenwerk 2021 überarbeitet, um die Stufen auf drei zu konsolidieren und als CMMC 2.0 zu bezeichnen. Die Zertifizierung misst und validiert die Implementierung von Sicherheitspraktiken, die von grundlegender Cybersicherheitshygiene bis hin zum Management fortgeschrittener Bedrohungen reichen. Sie umfasst auch Maßnahmen wie die Bewertung der organisatorischen Leistung und Fähigkeiten.

CUI muss durch Gesetz oder nationale Politik geschützt werden. Es umfasst Regierungs- und Geschäftsdaten, die sensibel, aber nicht klassifiziert sind. CUI beinhaltet Informationen, die einer eingeschränkten Offenlegung oder Verbreitung unterliegen, sei es, weil sie sensibel sind oder weil sie in anderer Weise reguliert werden. CUI umfasst alle Informationen, die geschützt werden müssen, um eine unbefugte Offenlegung zu verhindern. Ein Hauptziel von CMMC ist es, das DoD vor Cyberangriffen auf seine umfangreiche Lieferkette.

Arten von Controlled Unclassified Information (CUI)

Es gibt verschiedene Arten von CUI, die in zwei Kategorien eingeteilt werden können:

  • Grundlegende CUI: Grundlegende CUI ist eine Art von CUI, die grundlegende Schutzmaßnahmen erfordert, um die Informationen vor unbefugter Offenlegung zu schützen. Beispiele für grundlegende CUI können Informationen über Regierungsverträge, sensible, aber nicht klassifizierte Informationen oder Informationen, die gemäß Bundesgesetzen geschützt werden müssen,Vorschriften, oder Exekutivverordnungen.
  • Spezifizierte CUI: Spezifizierte CUI ist eine Art von CUI, die zusätzliche Schutzmaßnahmen erfordert, um die Informationen vor unbefugter Offenlegung zu schützen. Spezifizierte CUI kann Informationen im Zusammenhang mit nationaler Sicherheit, Strafverfolgung oder anderen Informationen umfassen, die gemäß spezifischen Gesetzen oder Vorschriften geschützt werden müssen.

Einige spezifische Beispiele für CUI umfassen:

  • Personenbezogene Daten (PII): Informationen wie Namen, Adressen, Sozialversicherungsnummern und Finanzdaten, die verwendet werden könnten, um eine Person zu identifizieren.
  • Geschützte Gesundheitsinformationen (PHI): Gesundheitsinformationen, die durch das Gesetz über die Portabilität und Rechenschaftspflicht von Gesundheitsversicherungen (HIPAA) reguliert werden.
  • Exportkontrollierte oder international gehandelte Daten: Daten im Zusammenhang mit Exporten, Importen und internationalem Handel.
  • Geistiges Eigentum: Patente, Urheberrechte und Marken.
  • Vertrauliche Informationen von Auftragnehmern:Informationen zu Verträgen, Unterverträgen und Angeboten.
  • Eigentumsgebundene Geschäftsinformationen (PBI), die auch als vertrauliche Geschäftsinformationen (CBI) bezeichnet werden.
  • Nicht klassifizierte kontrollierte technische Informationen (UCTI):Informationen, die sensible militärische Informationen enthalten, die nicht klassifiziert sind, aber geschützt werden müssen. Beispiele sind operative Pläne, sich entwickelnde Technologien, kriegswichtige Ausrüstungen, Überwachungsmethoden und andere sensible Informationen.
  • Sensible, aber nicht klassifizierte (SBU):Nicht klassifizierte Informationen, die dennoch als sensibel gelten und eine besondere Handhabung erfordern. Kann geschützte persönliche Informationen, Geschäftsinformationen und Regierungsinformationen umfassen, die Sicherheit und Schutz vor unbefugtem Ansehen und Zugriff erfordern.

Handhabungsanforderungen für Controlled Unclassified Information (CUI)

Die Handhabung von CUI erfordert spezifische Maßnahmen, um dessen Schutz zu gewährleisten, einschließlich:

  • Zugriffskontrolle:Der Zugang zu CUI sollte auf Personen mit der erforderlichen Berechtigung und einem Bedarf an Kenntnisnahme beschränkt sein.
  • Speicherung:CUI sollte an einem sicheren Ort aufbewahrt und mit physischen oder elektronischen Sicherheitsmaßnahmen geschützt werden.
  • Verbreitung:CUI sollte nur an Personen mit der erforderlichen Berechtigung und einem Bedarf an Kenntnisnahme weitergegeben werden.
  • Vernichtung:CUI sollte vernichtet werden, wenn es nicht mehr benötigt wird oder wenn es gesetzlich oder regulativ erforderlich ist.

Warum ist es wichtig, Controlled Unclassified Information (CUI) zu schützen

Der Schutz von CUI ist aus mehreren Gründen wichtig, einschließlich:

  • Nationale Sicherheit:Eine unbefugte Offenlegung von CUI kann erheblichen Schaden für die nationale Sicherheit verursachen.
  • Datenschutz:Die unautorisierte Offenlegung personenbezogener Daten kann die Privatsphäre von Personen schädigen und zu Identitätsdiebstahl führen.
  • Wirtschaftliche Interessen:Die unautorisierte Offenlegung von unternehmenseigenen Informationen kann erheblichen Schaden für die wirtschaftlichen Interessen eines Unternehmens verursachen.

Sicherung von CMMC CUI: CMMC 2.0 Levels 1, 2 und 3

Das Cybersecurity Maturity Model Certification (CMMC)ist ein Satz von Standards und Best Practices zum Schutz von CUI. Es wird vom US-Verteidigungsministerium (DoD) und anderen Regierungsbehörden verwendet, um sicherzustellen, dass Auftragnehmer den Schutz von CUI ernst nehmen. CMMC 2.0 besteht aus drei Bewertungsstufen für Organisationen, die eine Zertifizierung zum Schutz von CUI anstreben:

  • Stufe 1: Grundlegend.Diese Schutzstufe erfordert die Implementierung grundlegender Cybersicherheitsmaßnahmen, wie Identitätsmanagement, Zugriffskontrolle und Datenschutz.
  • Stufe 2: Fortgeschritten.Diese Schutzstufe umfasst fortgeschrittenere Sicherheitsmaßnahmen, wie Systemauthentifizierung und Verschlüsselung.
  • Stufe 3: Experte.Diese Schutzstufe beinhaltet die fortschrittlichsten Sicherheitsmaßnahmen, wie kontinuierliches Monitoring und Reaktionspläne für Sicherheitsvorfälle.

Wie weiß ich, ob ich CUI in meiner Umgebung habe?

CUI kann an vielen verschiedenen Orten gefunden werden, einschließlich Datenbanken, Netzwerken, Websites und Dokumenten. Um CUI in einer Umgebung zu identifizieren, ist es wichtig zu verstehen, wo die Daten gespeichert sind und wer Zugang dazu hat. Häufige Quellen von CUI umfassen Kundenlisten, Finanzunterlagen und Geschäftspläne. Darüber hinaus kann CUI in E-Mails, Textnachrichten und anderen Kommunikationen gefunden werden.

Welche Art von CUI habe ich?

Sobald Sie CUI in Ihrer Umgebung identifiziert haben, ist es wichtig zu bestimmen, um welche Art von CUI es sich handelt. CUI wird in mehrere Kategorien unterteilt, einschließlich personenbezogener Daten, PHI, exportkontrollierter Daten, geistigem Eigentum, sensiblen Informationen von Auftragnehmern und sensiblen Informationen zur nationalen Sicherheit, die nicht klassifiziert sind. Jede Kategorie von CUI erfordert ihren eigenen Schutz.

Wie schütze ich CUI und erfülle Compliance-Anforderungen?

CUI kann vertrauliche, sensible und/oder proprietäre Informationen enthalten – Daten, die um jeden Preis geschützt werden müssen. Wie oben erwähnt, ist es entscheidend, CUI zu schützen und Compliance-Anforderungen zu erfüllen, da ein Versäumnis finanzielle Verluste und schlimmer noch, den Verlust des Vertrauens von Kunden, Lieferanten und Mitarbeitern zur Folge haben kann.

Der erste Schritt zum Schutz von CUI und zur Erfüllung der Compliance-Anforderungen besteht darin, die auf die Daten Ihrer Organisation anwendbaren Gesetze und Vorschriften zu ermitteln. Es ist wichtig, ein klares Verständnis dieser Standards zu haben, einschließlich der Risiken und Schwachstellen, die mit Ihrer spezifischen Branche verbunden sind. Sobald die relevanten Standards identifiziert sind, müssen Organisationen geeignete Maßnahmen zum Schutz von CUI implementieren. Dieser Prozess sollte eine Reihe von technischen, physischen und administrativen Sicherheitsmaßnahmen umfassen, wie Verschlüsselung, Schutz vor Malware, sichere Datensicherung und Passwortschutz. Zusätzlich sollten Zugriffsrichtlinien vorhanden sein, um zu kontrollieren, wer auf CUI zugreifen und es ändern kann, sowie um Prozesse für die Verfolgung, Aufzeichnung und Berichterstattung über CUI einzurichten.

Organisationen müssen auch ein System für das Vorfall- und Schwachstellenmanagement haben, um sicherzustellen, dass jegliche Sicherheitsprobleme oder Expositionen gegenüber CUI schnell angegangen werden. Vorfallreaktionspläne sollten Prozesse für die Reaktion auf Vorfälle, die Sammlung und Analyse von Beweisen sowie die Minderung von Schäden beinhalten. Regelmäßige Sicherheitsüberprüfungen und Tests sollten ebenfalls durchgeführt werden, um die Wirksamkeit der aktuellen Sicherheitsmaßnahmen zu überprüfen und mögliche Verbesserungsbereiche zu identifizieren.

Indem die notwendigen Schritte zum Schutz von CUI und zur Erfüllung der Compliance-Anforderungen unternommen werden, können Organisationen sicherstellen, dass ihre Daten sicher sind und dass ihre Operationen im Einklang mit den geltenden Gesetzen bleiben. Dies ist entscheidend für den Ruf einer Organisation und die Sicherheit ihrer Informationen.

Zusätzliche Maßnahmen, um sicherzustellen, dass CUI von Organisationen richtig geschützt wird, umfassen:

  • Implementierung robuster Cybersicherheitsmaßnahmen, wie Identitäts- und Zugriffsmanagement, Datenverschlüsselung, und Zwei-Faktor-Authentifizierung.
  • Etablierung von Protokollen für den Umgang mit CUI, wie den Zugriff auf autorisiertes Personal beschränken und Zugriffsprotokolle überwachen.
  • Sicherstellung, dass alle Personen mit Zugriff auf CUI angemessen in den Schutzverfahren für CUI geschult sind.

Warum das Private Content Network von Kiteworks entscheidend ist, um sensible Daten wie CUI zu schützen

Jeden Tag stehen Organisationen vor immer größeren Herausforderungen, sensible Daten wie CUI vor böswilligen Dritten, Cyberangriffen und Datenpannen. Um die Sicherheit dieser sensiblen Daten zu gewährleisten, bietet Kiteworks ein Private Content Network (PCN) an, das sensible Inhaltskommunikationen vereinheitlicht, verfolgt, steuert und mit umfassender Sicherheit und Compliance-Governance sichert. Organisationen können steuern, wer Inhalte sehen, bearbeiten, senden und teilen darf, an wen und wo sie gesendet und geteilt werden dürfen, von welchen Geräten sie angesehen, bearbeitet, gesendet und geteilt werden können und wo sie gesendet und geteilt werden dürfen.

Kiteworks verwendet eine gehärtete virtuelle Appliance, um sensible Inhaltskommunikationen vor böswilligen Cyberkriminellen und Schurkenstaaten zu schützen. Die Verwendung von Sicherheitsschichten, die doppelte AES-256-Verschlüsselung auf Datei- und Festplattenebene umfassen, erschwert es einem Cyberangriff erheblich, auf Inhalte zuzugreifen. Aufgrund des Sicherheitsniveaus, das Kiteworks einsetzt, wird die Anfälligkeit und Schwere von Schwachstellen erheblich reduziert.

Kiteworks vereinheitlicht Datei- und E-Mail-Datenkommunikation auf einer einzigen Plattform, die konsolidiertes Tracking und Steuerungen bietet, um das Senden, Teilen, Empfangen, die Zusammenarbeit und das Speichern von Inhalten zu verwalten. Mit E-Mail, sicherem Filesharing, Managed File Transfer, Web-Formularen und Anwendungsprogrammierschnittstellen(APIs) auf einer einzigen Plattform zusammengefasst, erreichen Organisationen erhebliche Verbesserungen in Bezug auf Compliance, Effizienz und Sicherheit im Betrieb.

Die Datenverschlüsselung ist ein Schlüsselelement des Kiteworks PCN. Sie schützt sensible Daten, indem sie diese so kodiert, dass nur autorisierte Personen darauf zugreifen können. Darüber hinaus haben weder Kiteworks noch Cloud-Anbieter Zugriff auf Ihr Schlüsselmanagement und die Verschlüsselung. Kiteworks-Kunden behalten die vollständige Eigentümerschaft und den Zugang zu ihren Verschlüsselungsschlüsseln. Regierungsbehörden, Anwälte und Gerichte können keinen Zugang zu Ihren sensiblen Inhalten in Kiteworks durch rechtliche Maßnahmen erlangen.

Erfahren Sie mehr über die Bereitstellung eines Private Content Network von Kiteworksindem Sie unser Erklärvideo ansehen. Oder fordern Sie einfach eineindividuell angepasste Demo anum zu erfahren, wie Sie CUI unter CMMC Level 2 mit Kiteworks schützen können, das fast 90% der Anforderungen von CMMC 2.0 Level 2 direkt unterstützt. to learn how you can protect CUI under CMMC Level 2 with Kiteworks—which supports nearly 90% of CMMC 2.0 Level 2 requirements out of the box.

Zurück zum Risiko- und Compliance-Glossar

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Teilen
Twittern
Teilen
Explore Kiteworks