Protezione CUI: Gestione sicura delle informazioni controllate non classificate

Le informazioni non classificate controllate (CUI) sono informazioni sensibili ma non classificate che richiedono misure di protezione o controlli di diffusione ai sensi della legge federale, delle normative o delle politiche governative. Per le agenzie federali e i contraenti nei settori della difesa, dell'energia, della sanità e di altri settori regolamentati, l'obbligo di gestire correttamente la CUI comporta significative implicazioni di conformità e contrattuali.

Yet many organizations still lack the procedures, system controls, and visibility needed to meet federal requirements. With CMMC Phase 1 implementation underway and the government moving toward more uniform contractor handling requirements via the FAR CUI rule, CUI compliance is no longer aspirational. It is a contract prerequisite.

Le organizzazioni che non possono dimostrare un'adeguata identificazione, marcatura, protezione e controlli di diffusione per il CUI rischiano risultati di audit negativi, ritardi nei contratti e perdita di idoneità per futuri premi.

Questa guida analizza cos'è realmente il CUI, quali sono i requisiti di protezione e come costruire un approccio pratico per gestirlo in modo sicuro.

Che cos'è l'informazione non classificata controllata (CUI)?

Le informazioni controllate non classificate sono informazioni che il governo federale crea o possiede, o che un'entità crea o possiede per conto del governo, che richiedono misure di protezione o controlli di diffusione coerenti con le leggi, i regolamenti e le politiche governative applicabili.

As a formal information category, CUI was established by Executive Order 13556 and codified in 32 CFR Part 2002. It replaced a patchwork of legacy markings like FOUO, LES, and SBU with a single, consistent framework for safeguarding sensitive but unclassified information across federal agencies and their contractors.

Un principio chiave sostiene l'intero programma: solo le informazioni che richiedono protezione ai sensi della legge federale, della regolamentazione o della politica governativa possono essere designate come CUI. Le agenzie non possono creare categorie di CUI basate esclusivamente su preferenze amministrative.

CUI si suddivide in due categorie di gestione:

• CUI di base è il predefinito. Si applicano standard uniformi da 32 CFR Parte 2002 a tutti i CUI a meno che il Registro CUI NARA non annoti specificamente una categoria come CUI Specificato. Le marcature di banner sembrano CUI o CUI//PRVCY.
• CUI Specificato si applica quando la legge o il regolamento autorizzativo contiene controlli di gestione specifici che differiscono dai valori predefiniti di CUI Basic. Queste categorie portano un prefisso "SP-", come CUI//SP-CTI.

La differenza riguarda la fonte dei controlli, non il livello di sensibilità; CUI Basic colma eventuali lacune dove l'autorità specifica è silente.

Il Registro CUI di NARA è la fonte autorevole, che copre oltre 125 categorie. È dove i contraenti devono andare per determinare la corretta classificazione, marcatura e gestione per qualsiasi CUI incontrino.

Esempi comuni di CUI

Non tutti i dati sensibili sono CUI; deve essere collegato a un'autorità elencata nel Registro CUI. Ecco alcuni esempi comuni di CUI nelle principali categorie:

• Difesa (CTI): Le informazioni tecniche controllate (CTI) includono schemi tecnici, documenti di progettazione di sistemi e codice sorgente sviluppato per applicazioni militari, contrassegnato CUI//SP-CTI sotto l'autorità di DFARS 252.204-7012.
• Controllo delle esportazioni: I disegni tecnici per articoli di difesa presenti nell'elenco delle munizioni degli Stati Uniti e i dati tecnici soggetti a licenza di esportazione sono coperti dalle categorie di controllo delle esportazioni del Registro CUI.
• Forze dell'ordine: Le informazioni sui registri penali, i profili del DNA e i dati di identificazione degli informatori appaiono sotto le categorie CUI relative alle forze dell'ordine.
• Privacy: Numeri di previdenza sociale, numeri di conto finanziario, dati biometrici e HIPAAle informazioni sanitarie coperte sono gestite secondo le categorie CUI relative alla privacy/salute.
• Infrastruttura critica:Le informazioni sulle vulnerabilità al terrorismo chimico, le informazioni sulle infrastrutture energetiche critiche e le informazioni sulle vulnerabilità dei sistemi informatici rientrano nelle categorie di infrastruttura critica.

Questi esempi sono rappresentativi, non definitivi. Valida sempre la categoria specifica, l'autorità e i contrassegni richiesti nel Registro CUI e nel linguaggio del tuo contratto prima di stabilire le regole di gestione.

Requisiti chiave per la protezione del CUI

Proteggere la CUI non significa solo bloccare i file. Comprende la marcatura, la salvaguardia fisica e digitale e il controllo di chi può accedere e condividere informazioni. Ognuna di queste aree comporta requisiti federali specifici e una lacuna in una di esse può compromettere l'intera postura di conformità. Ecco cosa devi fare bene nei tre pilastri fondamentali della protezione.

Marcatura e etichettatura CUI

Le marcature inconsistenti sono uno dei modi più rapidi per fallire in una valutazione di conformità. Le marcature guidano l'intera catena di gestione del CUI: indicano ai titolari autorizzati chi può accedere alle informazioni, come possono essere condivise e quali protezioni si applicano.

Esempi di marcatura standard:

• CUI Base senza categoria: CUI
• CUI Specificato: CUI//SP-CTI
• CUI specificato con controllo di diffusione: CUI//SP-SGI//FEDONLY

In practice, accurate banner markings plus consistent downstream labeling (email subjects, file headers, cover sheets, and repositories) are what keep CUI from leaking into uncontrolled channels.

Ogni documento CUI deve includere un indicatore di designazione che identifichi l'agenzia di controllo. La guida raccomanda anche di applicare marcature di banner CUI nelle righe dell'oggetto delle email e nei corpi dei messaggi quando le email contengono CUI.

Protezione e ambienti controllati

CUI deve essere gestito in ambienti controllati con sufficienti controlli di accesso e protezioni contro la visualizzazione o l'intercettazione non autorizzata.

NIST SP 800-171 Rev. 1 ha stabilito la linea di base: il valore di impatto sulla riservatezza per CUI non è inferiore a quello moderato di FIPS 199. Secondo FIPS 199, moderato significa che la perdita di riservatezza "potrebbe essere prevista avere un grave effetto negativo sulle operazioni organizzative, sugli asset organizzativi o sugli individui."

Le organizzazioni devono descrivere il confine del loro sistema CUI in un Piano di Sicurezza del Sistema (SSP), inclusi l'ambiente operativo, come vengono implementati i requisiti e le connessioni ad altri sistemi.

I requisiti di sicurezza fisica includono la limitazione dell'accesso a individui autorizzati, l'accompagnamento dei visitatori, il mantenimento dei registri di audit degli accessi e l'applicazione delle misure di sicurezza in siti di lavoro alternativi.

Controllo degli accessi e controlli di diffusione

L'accesso a CUI segue un principio chiaro: solo gli utenti autorizzati con una legittima necessità di conoscere e una formazione adeguata possono accedervi.

NIST SP 800-171 Rev. 3 ha rafforzato la gestione degli account per richiedere la definizione dei tipi di account consentiti, autorizzando l'accesso in base a un bisogno valido e all'uso previsto, e il monitoraggio continuo dell'uso degli account di sistema.

Per 32 CFR 2002.16, la diffusione deve rispettare le leggi che hanno stabilito la categoria CUI, perseguire un legittimo scopo governativo e non essere limitata da un controllo di diffusione limitato autorizzato.

Prima di condividere CUI con parti esterne, verifica che il destinatario abbia una legittima necessità di conoscere, comprenda i requisiti CUI e possa proteggere le informazioni in modo appropriato.

La formazione è importante anche qui. La regola FAR CUI di gennaio 2025 stabilisce che i contraenti non possono consentire a nessun dipendente di gestire CUI a meno che quel dipendente non abbia completato una formazione adeguata, e i contraenti devono fornire prove di formazione su richiesta.

CUI e framework di cybersecurity

Le obbligazioni di protezione CUI non esistono in un vuoto. Si trovano all'interno di uno stack a strati di quadri federali di cybersicurezza che traducono i requisiti di politica in controlli di sicurezza specifici e auditabili.

Comprendere come questi framework si collegano è essenziale per costruire un ambiente conforme, specialmente quando diversi contratti fanno riferimento a diverse revisioni o baseline.

NIST SP 800-171 e CUI

NIST SP 800-171 traduce le obbligazioni di protezione CUI in requisiti di sicurezza specifici per sistemi non federali. L'attuale versione, Rev. 3, contiene 97 requisiti di sicurezza in 17 famiglie di controlli. La Rev. 2 aveva 110 requisiti in 14 famiglie.

I domini chiave che influenzano direttamente la gestione del CUI includono:

• Controllo degli accessi: gestione degli account, privilegio minimo, separazione dei compiti, controllo del flusso delle informazioni
• Audit e responsabilità: registri di audit che catturano tipo di evento, tempistica, fonte, risultato e identità; conservazione allineata ai requisiti dell'organizzazione e del contratto
• Risposta agli incidenti: capacità di gestione operativa, monitoraggio e test a una frequenza definita dall'organizzazione
• Protezione dei media: sanificazione prima dello smaltimento, protezione crittografica durante il trasporto

Presi insieme, questi dominii definiscono i controlli operativi quotidiani che gli auditor cercano quando valutano se la gestione del CUI è effettivamente applicata, non solo documentata.

Livelli di impatto FIPS 199 e CUI

La cascata di conformità funziona in questo modo: FIPS 199 categorizza i livelli di impatto, FIPS 200 stabilisce i requisiti minimi di sicurezza e la selezione dei controlli è tratta dalle linee guida di controllo della sicurezza NIST. Queste linee guida vengono quindi adattate a NIST SP 800-171 per le organizzazioni non federali che gestiscono CUI.

Le implicazioni pratiche sono significative:

• Hosting cloud: Per i sistemi CUI negli ambienti cloud, FedRAMP Moderate è ampiamente considerato come la baseline minima appropriata per i sistemi informativi a impatto moderato.
• Crittografia: I moduli crittografici devono essere validati FIPS 140-2, non solo utilizzare algoritmi approvati FIPS. Le linee guida CMVP del NIST notano anche che la crittografia non validata è vista come non fornente protezione.
• Protezioni di rete: La linea di base moderata comprende il controllo degli accessi, la protezione dei confini, la segregazione della rete, la riservatezza e l'integrità della trasmissione e il monitoraggio della rete.

Per CUI associati a programmi critici o Asset di Alto Valore, NIST SP 800-172 fornisce requisiti di sicurezza migliorati, ma questi si applicano solo quando esplicitamente designati nel linguaggio del contratto.

Migliori pratiche per gestire CUI in modo sicuro

Le seguenti migliori pratiche traducono gli obblighi di conformità CUI in passi concreti su cui il tuo team può agire, dalla scoperta iniziale dei dati fino alla governance degli accessi, alla crittografia e alla risposta agli incidenti.

1. Identificare e classificare CUI con precisione

Only federal agencies can designate information as CUI. When contractors encounter potentially unmarked CUI, they should report it to the contracting officer for official determination, not mark it themselves. The FAR CUI rule requires reporting the discovery of potential CUI within eight hours.

Inizia con una revisione contratto per contratto. Mappa le categorie CUI specificate in ciascun contratto rispetto ai tuoi flussi di informazioni reali. I fallimenti comuni di scoping includono:

• Sistemi mancanti: trascurando sistemi che elaborano CUI al di fuori del tuo ambiente principale
• Punti ciechi di terzi: non tenere conto dei fornitori di servizi che gestiscono CUI per tuo conto
• Shadow IT: dimenticando gli strumenti di collaborazione e i servizi cloud, dove CUI potrebbe finire

La formazione è altrettanto importante e dovrebbe avvenire a tre livelli:

• Consapevolezza universale: per chiunque possa incontrare CUI
• Formazione specifica per il ruolo: per i dipendenti che gestiscono regolarmente CUI
• Formazione tecnica avanzata: per amministratori di sistema che gestiscono ambienti CUI

Questo investimento nella formazione è fondamentale perché il fattore umano rimane una delle principali vulnerabilità; secondo il Rapporto sulle Tendenze di Sicurezza Ibrida Netwrix 2024, il 47% dei professionisti IT cita errori e negligenza dei dipendenti come una delle principali sfide di sicurezza.

La sfida della scoperta è altrettanto diffusa; un sondaggio del 2025 SANS Attack Surface Management (ASM) sponsorizzato da Netwrix ha rivelato che solo il 28% delle organizzazioni crede che le loro piattaforme ASM identificano efficacemente file sensibili, con un altro 41% che afferma di farlo solo parzialmente.

Questo è il punto in cui gli strumenti fanno davvero la differenza. Ad esempio, First National Bank Minnesota ha utilizzato Netwrix Auditor e Netwrix Data Classification per scoprire, classificare e spostare dati sensibili in posizioni sicure, e ha completato una ricostruzione di Active Directory in 3 settimane invece di 6 mesi.

2. Governare l'accesso a livello di oggetto

Folder-level and site-level permissions aren't granular enough for CUI. NIST SP 800-171 acknowledges that access enforcement mechanisms can be implemented at the application and service levels to increase protection for CUI.

Il controllo degli accessi basato sugli attributi (ABAC), come definito nel NIST SP 800-162, valuta gli attributi dell'utente, dei dati e dell'ambiente rispetto alle regole di policy definite ad ogni richiesta di accesso. Il vantaggio per CUI è il privilegio minimo dinamico:

• Cambiamenti di ruolo: quando cambia l'assegnazione della missione di qualcuno, il loro accesso al CUI non più necessario viene revocato automaticamente tramite attributi del soggetto aggiornati
• Modifiche alla classificazione: quando la classificazione dei dati cambia, le restrizioni di accesso si adattano a tutti gli utenti interessati senza riconfigurazione manuale

3. Crittografare CUI in transito e a riposo

NIST SP 800-171 richiede la crittografia per CUI trasmesso o memorizzato al di fuori di ambienti controllati. All'interno di ambienti protetti, altre misure di sicurezza possono soddisfare il requisito, ma qualsiasi CUI che esca da quel confine deve essere crittografato

Il requisito critico è che i moduli di crittografia devono essere convalidati FIPS 140-2, con numeri di certificato documentati. Usare semplicemente AES-256 non è sufficiente se il modulo specifico non ha superato il Programma di Validazione dei Moduli Crittografici NIST.

La gestione delle chiavi merita la stessa attenzione, quindi dovrebbe essere trattata come un'infrastruttura fondamentale, non come un pensiero secondario.

4. Monitorare, registrare e rispondere agli incidenti

NIST SP 800-171 richiede registri di audit che catturino il tipo di evento, il momento, la posizione, la fonte, l'esito e l'identità associata. Le azioni degli utenti devono essere tracciabili in modo univoco e la conservazione dei registri di audit deve allinearsi ai requisiti definiti dall'organizzazione e ai requisiti definiti dal contratto.

Nella risposta agli incidenti, le tempistiche si stanno stringendo. Diverse obbligazioni di reporting si applicano a seconda del tuo settore:

• Regola FAR CUI: una finestra di otto ore per segnalare incidenti CUI sospetti o confermati
• DFARS 252.204-7012: I contraenti del DoD segnalano tramite DIBNet
• CIRCIA: le entità di infrastruttura critica segnalano a CISA entro 72 ore

Rispettare queste scadenze richiede capacità forensi e procedure di indagine predefinite, non solo rilevamento.

Correlare i dati delle attività con i permessi di accesso ripaga qui. Nel mondo reale, anche un solo picco sospetto nei cambiamenti dei file può diventare una corsa di giorni se il tuo team deve mettere insieme risposte da registri disconnessi.

Come Netwrix aiuta le organizzazioni a proteggere CUI

Nessun processo o checklist singolo rende il rispetto della CUI possibile da un giorno all'altro. La sfida per i contraenti è collegare i punti tra la scoperta dei dati, la governance degli accessi e la prontezza per l'audit, senza cucire insieme strumenti disconnessi che lasciano lacune che un valutatore troverà.

Se il tuo ambiente funziona su infrastruttura Microsoft con un mix di server file on-premises, Active Directory e Microsoft 365, hai bisogno di una piattaforma che copra tutto ciò da un unico posto.

La piattaforma 1Secure fornisce una scoperta automatizzata attraverso file system, database, piattaforme di collaborazione e archiviazione cloud, in modo da poter trovare dati rilevanti per CUI prima che lo faccia un valutatore.

Può mettere in quarantena file sensibili in posizioni non sicure, spostarli in aree sicure, rimuovere autorizzazioni eccessive e incorporare etichette di classificazione nei file, trasformando settimane di inventario manuale in un processo automatizzato e ripetibile.

Ma la scoperta da sola non è sufficiente. La domanda più difficile è: chi può accedere a quei dati, è appropriato tale accesso e puoi provarlo? La piattaforma 1Secure riporta su oggetti di dati sensibili eccessivamente esposti, strutture di autorizzazione dettagliate su contenuti classificati e attività relative a file e cartelle sensibili.

Ciò significa che puoi identificare dove si trova CUI con permessi eccessivi e rimediare prima che diventi un riscontro di audit.

Netwrix Endpoint Protector estende quella copertura al livello degli endpoint, impedendo che CUI lasci ambienti controllati attraverso canali non autorizzati. Blocca i trasferimenti a dispositivi USB non approvati, monitora e controlla i caricamenti tramite browser, client di posta elettronica e applicazioni di archiviazione cloud. Applica anche la crittografia su supporti rimovibili approvati, affrontando direttamente i rischi di esfiltrazione che i requisiti di gestione del CUI sono progettati per prevenire.

I report di conformità predefiniti mostrano chi ha accesso ai dati, cosa è cambiato e quando, mentre la ricerca interattiva ti aiuta a rispondere alle domande degli auditor in pochi minuti anziché in giorni.

Richiedi una demo di Netwrix per vedere come una piattaforma ti aiuta a scoprire, proteggere e dimostrare la conformità per CUI nel tuo ambiente ibrido.