Μη Διαβαθμισμένες Διαβαθμισμένες Είτε εργάζεστε για την ομοσπονδιακή κυβέρνηση ως υπάλληλος είτε ως εργολάβος. Tπιθανότατα θα συναντήσετε τον όρο «ελεγχόμενες μη διαβαθμισμένες πληροφορίες» ή CUI. Και, εάν εργάζεστε για τη συμμόρφωση με το. CMMC, γνωρίζετε ότι η διασφάλιση των δεδομένων. I είναι ένα κρίσιμο στοιχείο της συμμόρφωσης CMMC και των οδηγιών NIST SP 800-171 .
Σε αυτήν την ανάρτηση, θα αναλύσουμε τι είναι το CUI, θα σας παρέχουμε παραδείγματα. CUI στην κυβέρνηση και θα ακολουθήσουμε τις βέλτιστες πρακτικές για την προστασία του. UI που πρέπει να κινείται εντός και εκτός του οργανισμού σας.
Τι είναι το CUI;
Yια την ασφάλεια Οι ελεγχόμενες μη διαβαθμισμένες πληροφορίες, CUI, αναφέρονται σε ευαίσθητα δεδομένα. Qου δημιουργούνται ή/και διαχειρίζονται από ομοσπονδιακές κυβερνητικές υπηρεσίες, τα οποία δεν είναι διαβαθμισμένα. Το πλαίσιο CUI στοχεύει να τυποποιήσει τον τρόπο με τον οποίο προστατεύονται αυτά τα δεδομένα στους. P15 οργανισμούς που απαρτίζουν το εκτελεστικό τμήμα της κυβέρνησης των. ΗΠΑ — καθώς και τον τρόπο πρόσβασης σε αυτά τα δεδομένα από κυβερνητικούς εργολάβους με πρόσβαση σε αυτές τις πληροφορίες.
Η FTC ορίζει τη CUI ως «πληροφορίες που απαιτούν ελέγχους προστασίας ή διάδοσης σύμφωνα με τους ομοσπονδιακούς νόμους. Kανονισμούς και πολιτικές σε επίπεδο κυβέρνησης, αλλά δεν είναι διαβαθμισμένες πληροφορίες».
Το πλαίσιο CUI υπάρχει για να δώσει
Μη Διαβαθμισμένες Τι είναι Ελεγχόμενες δομή και διαδικασία στον τρόπο με τον οποίο αυτοί οι 15 οργανισμοί εκτελεστικών κλάδων. Qα πρέπει να χειρίζονται Yια την ασφάλεια τις τεράστιες ποσότητες δεδομένων που είναι ευαίσθητα. Aλλά όχι στο επίπεδο ευαισθησίας που πρέπει να χαρακτηρίζονται ως «ταξινομημένα». Το CUI και οι υποκατηγορίες του εισήχθησαν σε εκτελεστικό διάταγμα του 2010 από τον. Πρόεδρο Ομπάμα με στόχο να διευκρινιστούν οι «ad-hoc πολιτικές. Qδιαδικασίες και επισημάνσεις για συγκεκριμένες υπηρεσίες» που χρησιμοποιούνται. Yια την προστασία ευαίσθητων πληροφοριών που αφορούν το απόρρητο, την ασφάλεια, τα ιδιόκτητα επιχειρηματικά συμφέροντα. και έρευνες επιβολής του νόμου.
Αυτό ήταν ένα μεγάλο πρόβλημα και μπορείτε να καταλάβετε από τη γλώσσα που χρησιμοποιήθηκε στο EO:
Βέλτιστες πρακτικές για Μη Διαβαθμισμένες Τι είναι Ελεγχόμενες Αυτό το αναποτελεσματικό, μπερδεμένο συνονθύλευμα είχε ως αποτέλεσμα ασυνεπή σήμανση και προστασία των εγγράφων, οδήγησε σε ασαφείς ή αδικαιολόγητα περιοριστικές πολιτικές διάδοσης και δημιούργησε εμπόδια στην εξουσιοδοτημένη ανταλλαγή πληροφοριών », αναφέρει ο ΕΟ, προσθέτοντας, «Το γεγονός ότι αυτές οι πολιτικές που αφορούν συγκεκριμένες υπηρεσίες συχνά αποκρύπτονται από την κοινή γνώμη, απλώς επιδείνωσε αυτά τα ζητήματα. Για την αντιμετώπιση αυτών των προβλημάτων, η παρούσα εντολή θεσπίζει ένα πρόγραμμα για τη διαχείριση αυτών των πληροφοριών, που στο εξής θα περιγράφεται ως Ελεγχόμενες Μη Διαβαθμισμένες Πληροφορίες, το οποίο δίνει έμφαση στη διαφάνεια και την ομοιομορφία της πρακτικής σε επίπεδο κυβέρνησης.»
Οπότε, προφανώς υπήρξε μεγάλη Αγορά μαζικής υπηρεσίας SMS τριβή ως αποτέλεσμα της κοινής χρήσης αυτών των πληροφοριών με ad-hoc τρόπους, πιθανότατα μη ασφαλείς και χωρίς σαφή πρωτόκολλα.Να γιατί είναι σημαντικός ο ασφαλής χειρισμός του CUI.
Παραδείγματα ελεγχόμενων μη διαβαθμισμένων πληροφοριών (CUI)
Οι 15 υπηρεσίες της εκτελεστικής εξουσίας περιλαμβάνουν το Υπουργείο Άμυνας (DoD). Υπουργείο Εμπορίου· Υπουργείο Υγείας και Ανθρωπίνων Υπηρεσιών; και το Υπουργείο Δικαιοσύνης, για να αναφέρουμε μόνο μερικά. Ακόμη και μόνο σε αυτούς τους τέσσερις οργανισμούς, εξετάζετε έναν τεράστιο πλούτο πληροφοριών Как разместить сайт в 2024 году: руководство из 7 шагов που μπορεί να θεωρηθούν ευαίσθητες – από την εσωτερική ασφάλεια μέχρι την υγειονομική περίθαλψη, τη δικαιοσύνη, τη γεωργία, την ενέργεια και πολλά άλλα.
Το Μητρώο CUI περιλαμβάνει 20 οργανωτικές ομάδες και κατηγορίες με τις αντίστοιχες CUI, συμπεριλαμβανομένων (αλλά δεν περιορίζονται σε) των παρακάτω. Θα δείτε πόσο ευαίσθητα μπορεί να είναι ορισμένα από αυτά τα δεδομένα CUI και γιατί πρέπει να αντιμετωπίζονται σωστά με ασφαλείς πρακτικές.
CUI υποδομής ζωτικής σημασίας
Τι είναι Ελεγχόμενες Υποδομή κρίσιμης σημασίας Το CUI καλύπτει τα πάντα, από τη διαχείριση έκτακτης ανάγκης (σκεφτείτε μεγάλες καταστροφές ή καταστάσεις όπου οι οργανισμοί των στελεχών πρέπει να διατηρήσουν τη συνέχεια), έως ευπάθειες συστημάτων πληροφοριών, τοξικές ουσίες και λεπτομέρειες κρίσιμων υποδομών. Όπως είδαμε με την επίθεση ransomware Colonial Pipeline πριν από χρόνια, η κρίσιμη υποδομή είναι υψίστης σημασίας για την εθνική ασφάλεια.
CUI άμυνας
Καλύπτει ελεγχόμενες τεχνικές πληροφορίες που σχετίζονται με στρατιωτικές ή διαστημικές εφαρμογές, πληροφορίες που σχετίζονται με ναυτικά πυρηνικά προωστικά εργοστάσια (συμπεριλαμβανομένων πληροφοριών σχετικά με την ακτινοβολία και τη ραδιενέργεια) και πληροφορίες που σχετίζονται με την ασφάλεια της κρίσιμης υποδομής του Υπουργείου Άμυνας.
CUI ελέγχου εξαγωγής
Μη Διαβαθμισμένες Πληροφορίες (συμπεριλαμβανομένης της τεχνολογίας και του λογισμικού) που θα επηρέαζαν αρνητικά την ασφάλεια των Η.Π.Α. εάν αυτές οι πληροφορίες έφευγαν από τη χώρα — εδώ έρχεται το ITAR για την προστασία του CUI που πρέπει να παραμείνει στις Ηνωμένες Πολιτείες.
Οικονομική και φορολογική CUI
Αυτό περιλαμβάνει ένα ευρύ φάσμα οικονομικών δεδομένων που σχετίζονται με πράγματα όπως Ηλεκτρονικές Μεταφορές Χρημάτων, τραπεζικό απόρρητο, οικονομικές συναλλαγές και λεπτομέρειες σχετικά με τον ομοσπονδιακό phone list forum προϋπολογισμό. Αυτό περιλαμβάνει επίσης πληροφορίες ομοσπονδιακών φορολογουμένων, συμπεριλαμβανομένων των φορολογικών δηλώσεων.
CUI μετανάστευσης
Λεπτομέρειες σχετικά με το άσυλο, τις βίζες και πληροφορίες που θα εντόπιζαν θύματα εμπορίας ανθρώπων και ενδοοικογενειακής κακοποίησης. Όπως είναι λογικό, αυτές οι πληροφορίες πρέπει να προστατεύονται, καθώς η αποτυχία θα είχε άμεσο αντίκτυπο στην ασφάλεια και την ευημερία των ατόμων.
Intelligence CUI
Yια την ασφάλεια Ενώ πολλά δεδομένα πληροφοριών θα θεωρούνταν διαβαθμισμένα, εξακολουθεί να υπάρχει σημαντικός αριθμός δεδομένων που σχετίζονται με τις μυστικές υπηρεσίες που θεωρούνται CUI, συμπεριλαμβανομένων αποχαρακτηρισμένων πληροφοριών, πληροφοριών σχετικά με δραστηριότητες και πηγές πληροφοριών, πληροφορίες προσωπικού της CIA και εσωτερικά δεδομένα.
Επιβολή του νόμου και νομική CUI
Yια την ασφάλεια Οι πληροφορίες που σχετίζονται με έρευνες επιβολής του νόμου, πληροφοριοδότες, DNA, ταυτότητα καταγγέλλοντος, θύματα, προστατευτικές εντολές, ομοσπονδιακά δικαστικά σώματα ενόρκων, παιδιά θύματα και προστασία μαρτύρων περιλαμβάνουν εξαιρετικά ευαίσθητες πληροφορίες που χρειάζονται προστασία.
Πυρηνική CUI
Βέλτιστες πρακτικές για Πληροφορίες σχετικά με τις πυρηνικές εγκαταστάσεις, τη δημόσια υγεία, την άμυνα και συστάσεις προς το Υπουργείο Ενέργειας.
CUI που σχετίζεται με το απόρρητο
Τα πάντα, από PII έως αρχεία θανάτου έως αρχεία υγείας, γενετικές πληροφορίες, αρχεία στρατιωτικού προσωπικού και αρχεία μαθητών (με την επιφύλαξη FERPA ).
Πρακτικά παραδείγματα CUI
Γενικά, πρακτικά παραδείγματα δεδομένων CUI περιλαμβάνουν:
Μη Διαβαθμισμένες Προσωπικά δεδομένα, όπως PII , προσωπικές διευθύνσεις, αριθμοί κοινωνικής ασφάλισης και οικονομικά αρχεία
Βέλτιστες πρακτικές για Νομικά έγγραφα σχετικά με ρυθμιστικά θέματα, έρευνες, ελέγχους και δικαστικές διαφορές
Πληροφορίες ασφαλείας για συστήματα, κτίρια και προσωπικό
Εξαγωγή ελεγχόμενων δεδομένων , πνευματικής ιδιοκτησίας και εμπορικών μυστικών
Παρόλο που το CUI δεν είναι ταξινομημένο, εξακολουθεί να ενέχει μεγάλους κινδύνους εάν διαρρεύσει ή παραβιαστεί. Η μη εξουσιοδοτημένη πρόσβαση στο CUI μπορεί να οδηγήσει σε κλοπή ταυτότητας, νομικά ζητήματα, ευπάθειες ασφαλείας, απώλεια ανταγωνιστικού πλεονεκτήματος και κυρώσεις συμμόρφωσης.