Umgang mit kontrollierten, nicht klassifizierten Informationen (CUI) in Ihrem Insiderrisiko-Programm

In diesem Artikel gehen wir näher auf kontrollierte nicht klassifizierte Informationen (CUI) ein, eine der primären Datenarten, die CMMC schützen soll.

Was sind kontrollierte nicht klassifizierte Informationen (CUI)?

Kontrollierte, nicht klassifizierte Informationen (CUI) werden im CMMC-Leitfaden definiert als "Informationen, die gemäß und im Einklang mit Gesetzen, Vorschriften und regierungsweiten Richtlinien Schutz- oder Verbreitungskontrollen erfordern, mit Ausnahme von Informationen, die gemäß der Executive Order 13526, Classified National Security Information, vom 29. Dezember 2009, oder einer Vorgänger- oder Nachfolgeverordnung oder dem Atomic Energy Act von 1954 in seiner geänderten Fassung klassifiziert sind.

Es ist wichtig zu wissen, dass CUI zwar nicht als Verschlusssache eingestuft oder staatlich reguliert sind, aber dennoch als sensibel für die Interessen der US-Regierung und des Militärs gelten. Daher verlangt das CMMC, dass CUI kontrolliert werden, um sie ordnungsgemäß zu schützen und weiterzugeben.

Was sind einige Beispiele für CUI?

Die CUI ist in Kategorien unterteilt. CUI können unterschiedlich sensibel sein, erfordern aber alle das gleiche Maß an Schutz.

Beispiele für CUI sind:

• Daten und Analysen zur Verteidigung
• Pläne für kritische Infrastrukturen
• Import/Export-Kontrollen
• Strafverfolgung und nachrichtendienstliche Tätigkeiten
• Informationen zu staatlich finanzierter Forschung und Projekten

Gibt es noch andere Arten von Informationen, die durch CMMC geschützt werden sollen?

Ja, auch Bundesvertragsdaten (FCI) sollen durch CMMC geschützt werden. Der CMMC-Leitfaden definiert FCI als "Informationen, die von der Regierung im Rahmen eines Vertrags bereitgestellt oder für sie erstellt wurden und nicht für die Öffentlichkeit bestimmt sind".

CMMC Stufe 1 befasst sich mit den Anforderungen zum Schutz von FCI. Es kann jedoch zu Überschneidungen zwischen CUI und FCI kommen, wobei Informationen möglicherweise als beide Informationstypen eingestuft werden, so dass die Auftragnehmer die Anforderungen der CMMC-Stufen 2 und 3 erfüllen müssen.

Wie hilft ein Insider-Risiko-Programm beim Schutz von CUI?

Die Sicherheit sensibler Informationen, die mit Vertragspartnern ausgetauscht oder von diesen verwaltet werden, ist ein zentrales Anliegen eines jeden Programms für Insiderrisiken. Bei den CMMC-Anforderungen liegt der Schwerpunkt auf dem Schutz von CUI und FCI. Das CMMC-Rahmenwerk befasst sich nicht speziell mit dem Insider-Risiko in einem single Bereich. Stattdessen sind die Anforderungen und Kontrollen des Programms für Insider-Risiken über mehrere CMMC-Bereiche verteilt. 

Ein effektives Programm für Insider-Risiken hilft Unternehmen, den unbefugten Zugriff auf CUI oder deren Weitergabe zu erkennen, darauf zu reagieren und zu verhindern - ob absichtlich oder versehentlich. Durch die Integration des Sicherheitsbewusstseins von Mitarbeitern, Subunternehmern und Anbietern können Unternehmen das Risiko eines internen Datenverlusts verringern und die Einhaltung der Cybersicherheitsanforderungen der Verteidigungsindustrie (DIB) gewährleisten.

CUI- und CMMC-Bewertungen

CMMC-Bewertungen sind ein formaler Prozess, mit dem überprüft werden soll, ob eine Organisation, die mit CUI oder FCI arbeitet, angemessene Cybersicherheitskontrollen implementiert hat. Diese Bewertungen messen die Einhaltung von Rahmenwerken wie NIST SP 800-171 und DFARS 252.204-7012, die beide grundlegende Anforderungen für den Schutz kontrollierter Informationen festlegen.

Während einer Bewertung überprüfen externe Gutachter die Systeme, Prozesse und Dokumentation eines Unternehmens, einschließlich der Richtlinien, Schulungen und Maßnahmen zur Reaktion auf Vorfälle. Die Ergebnisse werden dann in das Supplier Performance Risk System (SPRS) hochgeladen, wo die Konformitätsbewertungen dazu beitragen, die Berechtigung für zukünftige Vertragsvergaben innerhalb der Verteidigungslieferkette zu bestimmen.

Organisationen finden zusätzliche Anleitungen auf offiziellen Websites wie z.B.:

• Die Cyber AB (die offizielle Akkreditierungsstelle für CMMC)
• Die Website des Verteidigungsministeriums (DoD) CMMC
• Das NIST CUI-Register

Auf diesen Seiten finden Sie die aktuellsten Informationen zu Meilensteinen der Zertifizierung, Aktualisierungen der Richtlinien und anerkannten Bewertungsorganisationen.

Wie Subunternehmer und Mitarbeiter zur Einhaltung der Vorschriften beitragen

Die Einhaltung des CMMC endet nicht auf der Ebene des Hauptauftragnehmers. Unterauftragnehmer, die CUI verarbeiten oder speichern, müssen ebenfalls die gleichen Schutz- und Cybersicherheitsanforderungen einhalten. Es ist von entscheidender Bedeutung, dass jedes Glied in der Lieferkette diese Verpflichtungen erfüllt, um eine vollständige Einhaltung zu erreichen.

Dies erfordert kontinuierliche Sensibilisierungsschulungen, Überwachung und Berichterstattung, um sicherzustellen, dass alle Mitarbeiter und Subunternehmer ihre Rolle beim Schutz von CUI verstehen. Klare Kommunikationskanäle und Verantwortungsstrukturen stärken eine Kultur des Schutzes, die mit den CMMC-Prinzipien übereinstimmt.

Ein Programm für Insider-Risiken kann dies zusätzlich unterstützen, indem es einen verantwortungsvollen Umgang mit Daten fördert und eine frühzeitige Erkennung potenzieller Insider-Bedrohungen ermöglicht, bevor sie sich auf die Einhaltung von Vorschriften oder die Erfüllung von Verträgen auswirken.

Die Quintessenz

Der Schutz von Controlled Unclassified Information stellt eine grundlegende Verantwortung für jede Organisation innerhalb der Verteidigungsindustrie dar. Auch wenn CUI nicht als Verschlusssache eingestuft sind, erfordert ihre Sensibilität für die Interessen der US-Regierung und des Militärs die gleichen strengen Sicherheitsvorkehrungen wie bei anderen Datenarten. Durch die Implementierung umfassender Programme für Insider-Risiken und die Aufrechterhaltung solider Cybersicherheitsrahmen stellen Unternehmen sicher, dass CUI an allen Berührungspunkten geschützt bleiben - vom Eingang beim Auftragnehmer über den Umgang mit Subunternehmern bis hin zur endgültigen Entsorgung.

Mit der Weiterentwicklung der CMMC-Anforderungen wird sich der Fokus auf den Schutz von CUI noch verstärken. Unternehmen, die sich bei der Identifizierung, Nachverfolgung und Sicherung von CUI in ihrem gesamten Betrieb - und in ihrer gesamten Lieferkette - auszeichnen, positionieren sich als vertrauenswürdige Partner im Verteidigungs-Ökosystem. Das bedeutet, dass wir über die Einhaltung der Grundregeln hinausgehen und eine Kultur schaffen, in der jeder Mitarbeiter, jeder Auftragnehmer und jedes System CUI mit der gebührenden Wachsamkeit behandelt. 

Die Human Risk Management Plattform von Mimecast hilft Unternehmen, einen kontinuierlichen Überblick über den Umgang mit und die Bewegung von CUI zu behalten und ermöglicht so die proaktive Erkennung potenzieller Risiken, bevor diese Ihren CMMC-Compliance-Status gefährden. Durch die Automatisierung der CUI-Überwachung und die Bereitstellung von Echtzeitwarnungen bei Richtlinienverstößen können Sie gegenüber Prüfern und Regierungspartnern nachweisen, dass Ihre CUI-Schutzmaßnahmen die Anforderungen übertreffen.

Machen Sie den nächsten Schritt zum Schutz Ihrer kontrollierten, nicht klassifizierten Informationen. Fordern Sie noch heuteeine Demo der Human Risk Management Plattform von Mimecast an.