Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS

Wat is Beschermde informatie over defensie?

Startpagina Woordenlijst Wat is Beschermde informatie over defensie?

Beschermde informatie over defensie (Covered Defense Information, CDI) verwijst naar niet-geclassificeerde, gecontroleerde technische informatie of andere informatie met een militaire of ruimtevaarttoepassing die is geïdentificeerd in de “Controlled Technical Information” of de “DoD Critical Infrastructure Information.” De federale overheid is sterk afhankelijk van externe dienstverleners en aannemers om een breed scala aan federale missies en bedrijfsfuncties uit te voeren. Veel van deze diensten en functies omvatten toegang tot of het genereren van gevoelige federale informatie, wat potentiële kwetsbaarheden kan creëren voor federale informatie en federale informatiesystemen.

Wat is Beschermde informatie over defensie?

CDI speelt een cruciale rol bij het waarborgen van de nationale veiligheid en het veiligstellen van militaire inlichtingen. Het kan variëren van trainingshandleidingen en blauwdrukken voor vliegtuigen tot inlichtingenrapporten. Het is van vitaal belang dat dit type informatie correct wordt behandeld en gedeeld om te voorkomen dat het in verkeerde handen valt. Onjuiste omgang en verspreiding van CDI kan ernstige gevolgen hebben, waaronder schade aan de nationale veiligheid, juridische implicaties en reputatierisico’s voor de betrokkenen.

In dit artikel geven we een uitgebreid overzicht van CDI, inclusief de definitie, waarom het beschermd moet worden en wat de gevolgen zijn bij ongeautoriseerde toegang, wat kan leiden tot een datalek en/of een nalevingsschending.

Belangrijkste Kenmerken van Beschermde Informatie over Defensie

Een van de belangrijkste kenmerken van Beschermde Informatie over Defensie is de reikwijdte. Het beperkt zich niet tot geclassificeerde of geheime informatie, maar omvat ook niet-geclassificeerde informatie die gevoelig is en bescherming vereist. Dergelijke informatie heeft betrekking op technische, operationele of wetenschappelijke defensiegebieden die een strategisch voordeel bieden.

Een ander belangrijk element van CDI is de beschermde status. CDI valt onder de Defense Federal Acquisition Regulation Supplement (DFARS), die verplichte beveiligingsnormen voorschrijft voor defensie-aannemers en onderaannemers. Niet-naleving van deze protocollen kan leiden tot zware sancties, waaronder het verlies van de mogelijkheid om op toekomstige defensiecontracten in te schrijven.

Wat is Beschermde Informatie over Defensie Precies?

Beschermde informatie over defensie (CDI) is een specifieke categorie van niet-geclassificeerde informatie, gedefinieerd door het Department of Defense (DoD), die bescherming en controle op verspreiding vereist. De formele definitie van Covered Defense Information komt uit de Defense Federal Acquisition Regulation Supplement (DFARS) clausule 252.204-7012.

Het omvat alle niet-geclassificeerde informatie met een militaire of ruimtevaarttoepassing, inclusief Controlled Technical Information (CTI). Hoewel het niet geclassificeerd is, is CDI zeer gevoelig omdat openbaarmaking de nationale veiligheid in gevaar kan brengen. Daarom zijn defensie-aannemers en hun onderaannemers contractueel verplicht deze gegevens te beschermen door specifieke cybersecurity-standaarden te implementeren, zodat kritieke defensiekennis niet in handen van tegenstanders valt. Dit vormt de basis voor het begrijpen van Beschermde Informatie over Defensie en het belang ervan binnen de defensie-industrie.

Wat is het Verschil Tussen CDI, CUI en FCI?

Covered Defense Information of CDI is een term die door het Department of Defense (DoD) wordt gebruikt om niet-geclassificeerde gecontroleerde technische informatie aan te duiden. Het geldt voor alle niet-geclassificeerde informatie die onder de rechtsbevoegdheid van de DoD’s beveiligingsregels valt, inclusief alle vormen van gegevens met betrekking tot militaire of defensietoepassingen.

Daarentegen verwijst Controlled Unclassified Information (CUI) naar informatie die bescherming of verspreidingscontrole vereist op grond van federale wetgeving, regelgeving of overheidsbeleid. CUI is geen geclassificeerde informatie, maar is gevoelig genoeg om een hoger beschermingsniveau te vereisen dan normaal geldt voor niet-geclassificeerde informatie.

Federal Contract Information (FCI) verwijst naar informatie die niet bedoeld is voor publieke verspreiding. Het wordt door of voor de overheid verstrekt onder een contract om een product of dienst te ontwikkelen of te leveren aan de overheid. FCI omvat geen informatie die door de overheid aan het publiek wordt verstrekt of eenvoudige transactie-informatie.

Zowel CDI als CUI vereisen een bepaald beschermingsniveau, dat wordt bepaald door de overheid en bepaalde regelgevende instanties. De gegevens in deze categorieën mogen niet vrijelijk worden verspreid zonder gevolgen. Het belangrijkste verschil zit echter in de toepassing van deze labels. CDI richt zich specifiek op defensiegerelateerde informatie, terwijl CUI een bredere categorie is die diverse gevoelige informatie omvat. FCI is daarentegen een subset van CUI en heeft vooral betrekking op informatie over federale contracten.

Samengevat: hoewel CDI, CUI en FCI allemaal vormen van gevoelige, niet-geclassificeerde informatie zijn die zorgvuldig moeten worden behandeld, zitten de belangrijkste verschillen in de aard van de informatie en de context waarin ze worden gebruikt.

Het Belang van CDI voor Organisaties en Consumenten

Beschermde informatie over defensie versterkt de beveiligingsstatus van een organisatie door richtlijnen te bieden voor het omgaan met gevoelige informatie. Naleving van deze protocollen waarborgt niet alleen de beveiliging, maar toont ook de toewijding van een organisatie aan het beschermen van kritieke informatie. Voor consumenten of belanghebbenden betekent correcte omgang met CDI dat hun gevoelige gegevens, indien van toepassing, met de grootste zorg en beveiliging worden behandeld, waardoor hun privacy en bescherming worden gegarandeerd.

Het niet beschermen van CDI brengt echter tal van risico’s met zich mee. Regelgevende risico’s omvatten sancties van toezichthouders. Financiële risico’s kunnen bestaan uit hoge boetes of verlies van opdrachten door contractbreuk. Juridische risico’s kunnen leiden tot rechtszaken, terwijl reputatierisico’s het publieke imago van een organisatie kunnen schaden. Het is daarom essentieel om beste practices te implementeren voor het correct behandelen en delen van Beschermde Informatie over Defensie.

Verantwoordelijkheden van DoD-aannemers voor Beschermde Informatie over Defensie

DoD-aannemers en onderaannemers hebben aanzienlijke verantwoordelijkheden voor het beschermen van alle CDI die zij verwerken. Deze verplichtingen zijn juridisch bindend via contractuele clausules en zijn essentieel voor het waarborgen van een veilige toeleveringsketen.

Een primaire taak is de verplichte implementatie van de beveiligingsmaatregelen uit NIST 800-171. Om dit te documenteren moeten aannemers een Systeembeveiligingsplan (SSP) bijhouden waarin staat hoe de maatregelen zijn geïmplementeerd, samen met een Actieplan & Mijlpalen (POA&M) voor nog niet behaalde maatregelen.

Een cruciale verantwoordelijkheid is de 72-uurs meldplicht bij cyberincidenten, die snelle melding aan het DoD vereist zodra een compromis wordt ontdekt. Daarnaast moeten hoofdaannemers deze beveiligingsvereisten “doorzetten” naar alle onderaannemers in de toeleveringsketen. Deze verantwoordelijkheden worden geverifieerd via beoordelingen zoals die onder het Cybersecurity Maturity Model Certification (CMMC) programma. Niet-naleving kan leiden tot zware sancties, waaronder contractbeëindiging, juridische stappen en uitsluiting van toekomstig DoD-werk, wat het belang van continue monitoring en robuuste trainingen voor medewerkers onderstreept.

Omgang en Delen van Beschermde Informatie over Defensie

De omgang en het delen van Beschermde Informatie over Defensie zijn onderworpen aan strenge vereisten. Deze omvatten het gebruik van adequate beveiligingssystemen, encryptie voor opslag en overdracht van informatie, en het uitvoeren van regelmatige audits om naleving te waarborgen. Werknemers moeten voldoende getraind worden in het belang van CDI en de gevolgen van onjuiste omgang met dergelijke informatie.

Het handhaven van deze vereisten is even cruciaal. Organisaties moeten strikte disciplinaire maatregelen hebben bij niet-naleving. Regelmatige herinneringen aan het belang van deze protocollen, gecombineerd met een cultuur die waarde hecht aan beveiliging en discretie, helpen bij het correct behandelen en delen van CDI.

DFARS 252.204-7012 Bescherming van CDI en Cyberincidentrapportage

DFARS 252.204-7012 is een fundamentele contractclausule die de kernvereisten beschrijft voor het beschermen van Beschermde Informatie over Defensie en het melden van cyberincidenten. De reikwijdte geldt voor alle DoD-aannemers en onderaannemers waarvan informatiesystemen CDI verwerken, opslaan of verzenden.

De clausule vereist “adequate beveiliging”, wat expliciet wordt gedefinieerd als de implementatie van alle beveiligingsmaatregelen uit NIST 800-171.

Een tweede cruciale vereiste is de 72-uurs meldplicht bij cyberincidenten; bij ontdekking van een incident moeten aannemers dit melden aan het DoD via het aangewezen portaal (DIBNet), waarbij forensische gegevens zoals systeemafbeeldingen en logbestanden worden verstrekt. De clausule bevat ook een “doorzettingsbepaling”, waarmee hoofdaannemers verplicht zijn hun onderaannemers aan dezelfde standaarden te laten voldoen.

Voor cloudomgevingen vereist de clausule dat Cloud Service Providers (CSP’s) beveiligingsnormen hanteren die gelijkwaardig zijn aan de FedRAMP Matige Autorisatie-baseline. Om effectief te voldoen, moeten organisaties zorgvuldig logs bewaren voor forensische analyse en een goed geoefend plan hebben voor het verzamelen van bewijsmateriaal en coördinatie met het DoD-rapportagesysteem.

Beste Practices voor het Implementeren van CDI-protocollen

Het behandelen en beschermen van Beschermde Informatie over Defensie (CDI) is een cruciaal onderdeel van het waarborgen van de nationale veiligheid en het voldoen aan overheidsvoorschriften.

Covered Defense Information (CDI) is een overkoepelende term voor niet-geclassificeerde, gecontroleerde technische informatie met een militaire of ruimtevaarttoepassing die niet al door een andere categorie van Controlled Unclassified Information (CUI) wordt beschermd. CDI omvat ook alle informatie die wordt beschermd onder de Defense Federal Acquisition Regulations Supplement (DFARS).

Het implementeren van CDI-protocollen is essentieel om de veiligheid van kritieke defensie-informatie te waarborgen. CDI vereist veilige opslag, verwerking en overdracht om de gegevens te beschermen tegen ongeautoriseerde toegang en cyberdreigingen. Het inzetten van cybersecurity-raamwerken zoals de NIST 800-171-aanbevelingen van het National Institute of Standards and Technology is een beste practice voor het implementeren van CDI-protocollen.

Dit raamwerk stimuleert proactieve maatregelen zoals systeemonderhoud, continue monitoring en hardnekkige gegevensbescherming. Regelmatige software-updates, antivirus-scans en back-ups zijn essentiële onderhoudstaken. Daarnaast maakt continue monitoring het mogelijk om afwijkende activiteiten of beveiligingslekken te detecteren, zodat snel kan worden gereageerd om schade te beperken.

Een kernpraktijk bij het implementeren van CDI-protocollen is training van medewerkers. Alle personeelsleden die met CDI werken, moeten een genuanceerd begrip hebben van de CDI-protocollen, inclusief de fasen van classificatie, omgang en declassificatie. Goede beveiligingsbewustzijnstraining minimaliseert het risico op onbedoelde datalekken.

Het naleven van deze beste practices voor het implementeren van CDI-protocollen vermindert het risico op cyberaanvallen aanzienlijk en waarborgt de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens. Het geeft DoD-aannemers en onderaannemers het vertrouwen dat zij gevoelige defensie-informatie veilig kunnen behandelen. Bovendien sluit het organisaties aan bij de DFARS 252.204-7012-clausule, bevordert het naleving en beschermt het tegen mogelijke civiele en strafrechtelijke sancties.

Regelgevende Maatregelen met Betrekking tot Beschermde Informatie over Defensie

Inzicht in de regelgevende maatregelen rond Beschermde Informatie over Defensie is van groot belang. De overheid heeft bepaalde regels vastgelegd in de DFARS om de veiligheid en beveiliging van CDI te waarborgen. DFARS verplicht aannemers en onderaannemers die CDI toevertrouwd krijgen tot het nemen van specifieke beveiligingsmaatregelen. Deze maatregelen zijn bedoeld om de vertrouwelijkheid, integriteit en algehele beveiliging van de CDI te beschermen. Aannemers en onderaannemers zijn verplicht om binnen 72 uur na ontdekking cyberincidenten te melden die mogelijk invloed hebben op CDI.

Een andere belangrijke regelgevende maatregel is het Cybersecurity Maturity Model Certification (CMMC), een uniforme cybersecurity-standaard voor toekomstige DoD-aanbestedingen. Het CMMC 2.0-raamwerk omvat drie niveaus van cybersecurity-volwassenheid, variërend van basis tot geavanceerd, zodat alle organisaties die met CDI werken een passend niveau van cybersecuritymaatregelen en -processen hebben. Het naleven van deze standaarden en regelgevende maatregelen is dus cruciaal om de beveiliging en integriteit van CDI te waarborgen, niet alleen ter bescherming van nationale defensie-informatie maar ook om vertrouwen in defensierelaties te behouden.

Beste Practices voor het Behandelen en Delen van CDI

Het is van cruciaal belang voor organisaties die met CDI werken om beste practices te volgen voor veilige omgang, delen en opslag. De eerste stap naar effectief CDI-beheer is het ontwikkelen en onderhouden van een uitgebreid informatiebeveiligingsbeleid. Dit beleid moet de aard van de CDI die de organisatie verwerkt beschrijven, de verantwoordelijkheden van personen die met deze gegevens werken en de procedures voor veilig data management. Een robuust beleid waarborgt niet alleen naleving van de DoD-vereisten, maar bevordert ook een cultuur van beveiligingsbewustzijn binnen de organisatie.

Naast een solide beveiligingsbeleid hebben organisaties sterke technische maatregelen nodig om CDI te beschermen. Dit houdt in dat veilige netwerken en informatiesystemen worden geïmplementeerd die voldoen aan het cybersecurity-raamwerk van het National Institute of Standards and Technology (NIST). Het waarborgen van veilige encryptie, robuuste toegangscontroles en regelmatige systeemaudits zijn cruciale onderdelen van deze strategie.

Vervolgens moeten organisaties het need-to-know-principe hanteren voor toegang tot CDI. Dit betekent dat alleen personen die specifieke CDI nodig hebben voor hun functie, toegang krijgen. Daarnaast is het essentieel dat medewerkers hun verantwoordelijkheden met betrekking tot CDI begrijpen en regelmatig worden getraind in het informatiebeveiligingsbeleid en de procedures van de organisatie.

Bij het delen van CDI is het essentieel om veilige communicatiekanalen te gebruiken. CDI moet worden verzonden via versleutelde verbindingen en gevoelige gegevens moeten waar mogelijk worden geanonimiseerd. Daarnaast moeten organisaties die met CDI werken hun partners en leveranciers grondig screenen om te waarborgen dat ook zij veilige omgang met gegevens hanteren.

Tot slot omvat effectief CDI-beheer regelmatige evaluatie en updates van het beveiligingsbeleid, de procedures en systemen. Door de snelle evolutie van dreigingen en kwetsbaarheden is het essentieel dat organisaties op de hoogte blijven van de nieuwste cybersecuritytrends en noodzakelijke updates implementeren om hun CDI te beveiligen. Dit omvat het uitvoeren van regelmatige risicobeoordelingen, audits en penetratietests om potentiële beveiligingsgaten te identificeren en aan te pakken.

Uiteindelijk vereist het behandelen, opslaan en delen van CDI een integrale aanpak met robuust beleid, veilige technische maatregelen, regelmatige training, veilige communicatiekanalen en constante waakzaamheid. Door deze beste practices te volgen, kunnen organisaties de veiligheid en integriteit van hun CDI waarborgen, hun bedrijfsvoering beschermen en voldoen aan regelgeving die bescherming van CDI vereist.

Cloudoplossingen voor Beschermde Informatie over Defensie

Bij het inzetten van cloudoplossingen voor Beschermde Informatie over Defensie moeten organisaties ervoor zorgen dat de omgeving aan strenge beveiligingsvereisten voldoet. Volgens DFARS moet elke cloud service provider die CDI verwerkt beveiligingsmaatregelen hanteren die gelijkwaardig zijn aan de FedRAMP Matige Autorisatie-baseline. Voor gevoeliger CUI kunnen hogere baselines zoals FedRAMP Hoge Autorisatie of specifieke overheidsclouds zoals AWS GovCloud of Microsoft 365 GCC High nodig zijn om aan DoD Impact Level (IL) 4 of 5-vereisten te voldoen.

Het is belangrijk het shared responsibility model te begrijpen: de cloudprovider beveiligt de infrastructuur, maar de aannemer is verantwoordelijk voor het beveiligen van de data, het instellen van toegangscontroles en het beheren van gebruikersrechten binnen die omgeving. Belangrijke technische aandachtspunten zijn end-to-end encryptie voor gegevens in rust en onderweg, het toepassen van het least privilege-principe via granulaire toegangscontroles en het bijhouden van gedetailleerde logs van alle activiteiten.

Bij het beoordelen van een provider moet u hun FedRAMP-autorisatie verifiëren en hun beveiligingsprotocollen beoordelen. Om aan hun verantwoordelijkheden te voldoen, maken organisaties vaak gebruik van platforms zoals een cloudgebaseerd Private Data Network, dat een veilige laag biedt voor contentbeheer, met robuuste encryptie, toegangscontroles en uitgebreide logs die nodig zijn voor het beschermen van CDI en het aantonen van naleving.

Kiteworks Helpt Organisaties CDI te Beschermen met een Private Content Network

Samengevat is Beschermde Informatie over Defensie (CDI) een cruciaal aspect van nationale veiligheid dat een breed scala aan gevoelige informatie over defensie- en ruimtevaarttoepassingen omvat. Het is essentieel dat organisaties en individuen die met CDI werken strikt voldoen aan regelgevende maatregelen, waaronder DFARS- en NIST-regelgeving. Goed beheer van CDI versterkt niet alleen de beveiligingsstatus van een organisatie, maar bevordert ook vertrouwen en betrouwbaarheid bij consumenten. Het niet beschermen van CDI kan organisaties echter blootstellen aan tal van risico’s, waaronder juridische, financiële en reputatieschade. Strenge vereisten voor omgang en delen zijn dus van vitaal belang. Door beste practices te implementeren en te onderhouden, zoals regelmatige training, audits, encryptie en continue monitoring, kunnen organisaties CDI veilig behandelen en potentiële dreigingen minimaliseren.

Het Kiteworks Private Content Network, een FIPS 140-2 Level gevalideerd platform voor beveiligd delen van bestanden en bestandsoverdracht, consolideert e-mail, bestandsoverdracht, webformulieren, SFTP en beheerde bestandsoverdracht, zodat organisaties elk bestand dat de organisatie binnenkomt of verlaat kunnen controleren, beschermen en traceren.

Kiteworks ondersteunt de inspanningen van organisaties op het gebied van gegevensbeheer en CDI-bescherming door granulaire toegangscontroles te bieden zodat alleen geautoriseerde personen toegang hebben tot specifieke gegevens, waardoor de hoeveelheid gegevens die elke persoon kan inzien wordt beperkt. Kiteworks biedt ook rolgebaseerde beleidsregels, waarmee de hoeveelheid toegankelijke gegevens per rol binnen een organisatie kan worden beperkt. Dit zorgt ervoor dat individuen alleen toegang hebben tot de gegevens die nodig zijn voor hun specifieke rol, wat de hoeveelheid toegankelijke gegevens verder minimaliseert.

De beveiligde opslagfunctionaliteit van Kiteworks draagt ook bij aan gegevensbeheer en CDI-bescherming door ervoor te zorgen dat gegevens veilig worden opgeslagen en alleen toegankelijk zijn voor geautoriseerde personen. Dit verkleint het risico op onnodige gegevensblootstelling en helpt organisaties de controle over hun gegevens te behouden.

Kiteworks biedt daarnaast een ingebouwde audittrail, waarmee organisaties gegevensgebruik en -toegang kunnen monitoren en controleren. Dit helpt organisaties onnodige gegevensinzage en -gebruik te identificeren en elimineren, wat bijdraagt aan dataminimalisatie.

Tot slot kunnen de compliance-rapportagefuncties van Kiteworks organisaties helpen hun dataminimalisatie-inspanningen te monitoren en naleving van dataminimalisatieprincipes en regelgeving te waarborgen. Dit biedt organisaties waardevolle inzichten in hun gegevensgebruik en helpt hen kansen voor verdere dataminimalisatie te identificeren.

Met Kiteworks delen bedrijven vertrouwelijke persoonlijk identificeerbare en beschermde gezondheidsinformatie, klantgegevens, financiële informatie en andere gevoelige inhoud met collega’s, klanten of externe partners. Omdat zij Kiteworks gebruiken, weten ze dat hun gevoelige gegevens en onschatbare intellectueel eigendom vertrouwelijk blijven en gedeeld worden in overeenstemming met relevante regelgeving zoals GDPR, HIPAA, Amerikaanse privacywetten en vele andere.

Kiteworks-inzetopties omvatten on-premises, gehost, privé, hybride en FedRAMP virtual private cloud. Met Kiteworks: beheer de toegang tot gevoelige inhoud; bescherm deze bij externe deling met geautomatiseerde end-to-end encryptie, multi-factor authentication en integraties met beveiligingsinfrastructuur; zie, volg en rapporteer alle bestandsactiviteiten, namelijk wie wat naar wie, wanneer en hoe verzendt. Toon ten slotte naleving aan van regelgeving en standaarden zoals GDPR, HIPAA, CMMC, Cyber Essentials Plus, NIS2 en vele andere.

Wil je meer weten over Kiteworks? Plan vandaag nog een gepersonaliseerde demo.

Terug naar Risk & Compliance Glossary

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo
Share
Tweet
Share
Explore Kiteworks