政府经常创造或拥有需要根据适用法律进行保护或传播控制的信息, 法规和政府政策. 在美国, 这类信息被称为受控非机密信息(CUI)。. 1, 2 虽然CUI的概念起源于美国, 由于网络供应链的全球性,它具有世界范围的相关性.
网络安全和合规专业人员熟悉个人数据(PD)和个人身份信息(PII), 但是CUI仍然是一个困惑的来源. 为什么CUI应该得到网络安全澳门赌场官方下载更多的关注? 因为定义为CUI的数据非常敏感, 对美国非常有价值, 战略上的竞争对手和对手都在拼命追求. 应该指出的是,虽然这些信息对美国来说非常有价值, 它通常驻留在世界各地的系统和网络中. 保护CUI的需求提供了保护全球组织可能正在处理的其他敏感或机密信息的最佳实践.
来保护这个宝贵的国家资产, 美国政府规定了法律保障要求. 有必要研究一下CUI的概述以及处理这种特定数据类型的几个方面.
CUI和国防部CMMC标准
由于美国国防工业基地(DIB)是对手和非国家行为者日益频繁和复杂的网络攻击的目标, 动态增强网络安全,以保护支持和支持军事服务成员的信息是国防部的首要任务.
国防部的网络安全成熟度模型认证(CMMC)项目为DIB中的组织建立了网络保护标准. 国防部开发了CMMC框架,通过为落入CUI保护伞下的所有数据提供单一来源的方向来降低CUI的风险. CMMC是国防部扩展DIB网络安全工作的关键组成部分. 通过将网络安全标准纳入采购计划, CMMC为国防部提供保证,确保承包商和分包商理解并能够满足不断扩大的网络安全需求.
那么,为什么CMMC和CUI也与网络安全专业人员和组织相关呢? 如今,各行各业的澳门赌场官方下载都在使用美国国家标准与技术研究院(NIST)的标准作为其网络安全计划的关键组成部分. CMMC框架建立在NIST的原则之上,包括认证. 组织应了解CMMC对CUI引入的要求,并考虑将其应用于他们处理的敏感信息,如PII, PD或受保护的健康信息(PHI). CMMC对CUI数据的认证组件与网络安全专业人员理解和利用其组织处理的其他有价值的数据类型相关, 存储或传输.
什么时候分享(和不分享)CUI
CUI是高度机密的信息, 但, 如果妥协, 会向攻击者提供政府创造或拥有的资产信息吗, 将风险引入关键系统和程序, 包括美国国防部. 如果访问促进了机构之间的共同项目或业务,或根据与指定机构的合同或协议,则可以共享CUI. 相应的, 如果访问损害或阻碍了机构之间或与指定机构签订的合同或协议下的共同项目或业务,则不得共享CUI.
重要的是要记住,CUI不是机密信息, 它也不包括所有被认为是机密的内容. 例如, 澳门赌场官方下载的知识产权不被视为CUI,除非它是为美国政府合同的要求而创建或包含的.
CUI注册表
CUI注册表识别所有经批准的CUI类别和子类别. 它提供了每个类别和子类别的一般描述. 它进一步确定了控制的基础, 建立标记,并包括处理程序的指导. 换句话说, CUI登记处是美国政府行政部门应该保护的目录.
CUI的组织
CUI分为20个小组(图1).
图1-CUI组织索引组
- 关键基础设施
- 国防
- 出口控制
- 金融
- 移民
- 情报
- 国际协议
- 执法
- 法律
- 自然和文化资源
- 北大西洋公约组织(北约)
- 核
- 专利
- 隐私
- 采购和收购
- 专有业务信息
- 临时
- 统计
- 税
- 运输
每个CUI组织索引组包括CUI类别. CUI计划建立的前提是,只有需要根据美国法律保护的信息, 联邦法规或政府范围内的政策可以符合CUI的条件. 每个类别和子类别都基于至少一个(有时是多个)这样的定律, 要求保护或限制某类信息传播的法规或政府政策(也称为当局).
CUI计划建立的前提是,只有需要根据美国法律保护的信息, 联邦法规或政府范围内的政策可以符合CUI的条件.
有两种类型的CUI类别和子类别:CUI基本类别和CUI指定类别. 顾名思义,CUI Basic是CUI的标准类型. CUI的所有规则都适用于CUI的基本类别和子类别, 使CUI Basic的处理和标记最简单.
CUI指定的不同, 由于用户必须如何处理每种类型的信息的需求随每个类别或子类别而变化. 这是因为某些权威对于如何处理与之相关的信息类型有非常具体的需求——这些需求对于CUI的其余部分来说根本没有意义. CUI Specified does not necessarily mean additional capabilities or controls may be required; however, 这是不同的. 而且,让它与众不同的品质是由美国法律规定的, 联邦法规和政府政策, 这些因素在法律上不能被忽视或忽视. 例如, 包含多个CUI指定类别和子类别的文档必须将它们全部包含在CUI横幅标记中.
CUI标记的目的
CUI为美国联邦政府提供统一的标识系统. 它使每个政府机构的标志标准化. CUI标记提醒那些拥有CUI的人这些敏感数据的存在, 当使用部分标记时, 确定需要保护的确切信息或部分. 标记可以提醒业主注意任何CUI传播和保护控制.
所有包含CUI的文档都必须进行标记.
CUI标记的类型
所有CUI的主要标记是CUI横幅标记. 这是出现在包含CUI的任何文档的每页顶部的主要标记. CUI横幅标记的内容必须包含文档中的所有CUI,并且每页都必须相同. 横幅标记应该显示为粗体,大写,黑色文本,并在可行的情况下居中.
CUI横幅标记最多可包含3个元素:
- CUI控制标识(对所有CUI都是强制性的)可以由单词“CONTROLLED”或缩略词“CUI”组成.”
- CUI类别或子类别标记(对于CUI指定的是强制性的)与CUI控制标记通过双正斜杠(//)分开。. 在横幅标记中包含多个类别或子类别时, 它们必须按字母顺序排列,并用一个正斜杠(/)分隔。.
- 有限传播控制标记前面有一个双斜杠(//),以将它们与CUI横幅标记的其余部分分开.
在求和, CUI标记可以说明为“CUI或受控//类别”或“CUI或受控//类别//传播”. 例如,CUI//SP-TAX将以联邦纳税人信息的形式表示CUI.3
当文档包含CUI指定时, 所有CUI指定的类别或子类别标记必须包含在CUI banner标记中. 机构负责人可通过机构CUI政策批准使用CUI基本类别或子类别标记. 当这种代理政策存在时, 所有CUI基本类别或子类别标记必须包含在CUI横幅标记中.
所有包含CUI的文件必须表明指定人的机构. 这可以通过使用信头来完成, 带有代理的签名块或使用“受控人”行. 应尽一切努力确定一个联络点, 一个组织内的分支或部门, 并附上联系方式.
CUI控制标志对所有CUI都是强制性的,可以由单词“CONTROLLED”或缩写“CUI”组成.作为可选的最佳实践, CUI横幅标记也可以放置在文件的底部.
正确处理CUI
CUI必须在防止或检测未授权访问的受控环境中存储或处理. 媒体,如通用串行总线(USB)棒和硬盘驱动器必须标记,以提醒用户设备上存储的CUI的存在. 设备可以被标记或贴上标签,以表明CUI存储在设备上. 由于空间限制, 可能不可能包括CUI类别, 子类别或有限传播控制标记.
至少, 给媒体打上CUI控制标志(" CONTROLLED "或" CUI ")和指定机构是很重要的.
当代理存储CUI时, 授权货主应在集装箱上标明含有CUI. 提供访问CUI的系统必须显示一个通知,提醒用户可以访问这些数据, 访问必须受到限制. 必须使用密封的信封,并要求物理访问区域有电子锁. 这包括门、头顶行李架、抽屉和文件柜.
在复制或传真CUI时,只能使用经机构批准的设备. 组织必须确保有标志指定哪些设备被批准(e).g.,那些标有“此打印机已批准用于CUI”等字样的打印机.”).
CUI必须被破坏到使信息不可读的程度, 无法破译,无法恢复.
结论
当人们想到CUI时,就会想到必须保护的数据类型. 它的价值很高. 它处于危险之中. CUI适用于全球供应链.
网络安全和合规专业人员早就了解PD和PII等数据类型的风险. 与保护CUI相关的标准提供了洞察力,以帮助进一步提高跨高价值资产的网络安全能力.
人们可以通过研究国防部和美国国家档案和记录管理局(NARA)的关键参考资料来审查确保CUI的需求。. 同样相关的还有NIST发布的标准,如NIST Special Publication (SP) 800-171 R2和NIST SP 800-172. CMMC通过添加认证组件来保护CUI,进一步采用了NIST标准. 组织可以通过整合CMMC标准的要求来提升其网络态势,从而增强其当前的政策和相关能力. CMMC成熟度级别为解决针对高价值信息(如CUI)的高级持续性威胁(apt)提供了绝佳的机会.
尾注
1 负责情报和信息安全办公室的国防部副部长受控非机密信息(CUI)”,美国
2 美国国家档案和记录管理局,”受控非机密信息(CUI)”,美国
3 国家档案馆,"CUI类别:联邦纳税人信息”,美国
Uday Ali Pabrai, CISSP, CMMC PA, CMMC PI, CMMC RP, HITRUST CCSFP, Security+
全球网络防御思想领袖和首席执行官 ecfirst, CMMC第三方评估机构(C3PAO)候选人和许可合作伙伴出版商(LPP), 持牌培训机构(LTP)和注册提供商组织(RPO)公司. Pabrai已经在全球范围内成功交付了数千个网络防御解决方案. 他的职业生涯是从费米国家加速器实验室开始的, 美国能源部的核研究设施. 他曾担任纳斯达克公司的副董事长和多个高级官员职位,并在全球网络安全会议上担任主题演讲和特邀演讲者. 他也是…的成员 InfraGard, 美国联邦调查局(FBI)与私营部门成员之间的伙伴关系. 可以联系到他 Pabrai@ecfirst.com.