Proteção de CUI: Manipulação segura de informações controladas não classificadas

Informações controladas não classificadas (CUI) são informações sensíveis, mas não classificadas, que exigem salvaguardas ou controles de disseminação de acordo com a lei federal, regulamentação ou política governamental. Para agências federais e contratantes nos setores de defesa, energia, saúde e outros setores regulamentados, a obrigação de lidar adequadamente com a CUI traz implicações significativas de conformidade e contratuais.

Yet many organizations still lack the procedures, system controls, and visibility needed to meet federal requirements. With CMMC Phase 1 implementation underway and the government moving toward more uniform contractor handling requirements via the FAR CUI rule, CUI compliance is no longer aspirational. It is a contract prerequisite.

Organizações que não conseguem demonstrar identificação, marcação, proteção e controles de disseminação adequados para CUI correm o risco de resultados de auditoria adversos, atrasos em contratos e perda de elegibilidade para futuros prêmios.

Este guia detalha o que é realmente CUI, como são os requisitos de proteção e como construir uma abordagem prática para lidar com isso de forma segura.

O que é informação não classificada controlada (CUI)?

Informações controladas não classificadas são informações que o governo federal cria ou possui, ou que uma entidade cria ou possui em nome do governo, que requerem controles de salvaguarda ou disseminação consistentes com as leis, regulamentos e políticas governamentais aplicáveis.

As a formal information category, CUI was established by Executive Order 13556 and codified in 32 CFR Part 2002. It replaced a patchwork of legacy markings like FOUO, LES, and SBU with a single, consistent framework for safeguarding sensitive but unclassified information across federal agencies and their contractors.

Um princípio fundamental sustenta todo o programa: apenas informações que requerem proteção de acordo com a lei federal, regulamento ou política do governo podem ser designadas como CUI. As agências não podem criar categorias de CUI com base apenas em preferências administrativas.

CUI se divide em duas categorias de manuseio:

• CUI Básico é o padrão. Aplica padrões uniformes do 32 CFR Parte 2002 a todos os CUI, a menos que o Registro CUI da NARA anote especificamente uma categoria como CUI Especificado. As marcações de banner parecem CUI ou CUI//PRVCY.
• CUI Especificado aplica-se quando a lei ou regulamento autorizador contém controles de manuseio específicos que diferem dos padrões básicos de CUI. Essas categorias têm um prefixo "SP-", como CUI//SP-CTI.

A diferença está na fonte dos controles, não no nível de sensibilidade; CUI Basic preenche quaisquer lacunas onde a autoridade específica está em silêncio.

O Registro CUI da NARA é a fonte autorizada, cobrindo mais de 125 categorias. É onde os contratantes devem ir para determinar a classificação, a marcação e o manuseio adequados para qualquer CUI que encontrarem.

Exemplos comuns de CUI

Nem todos os dados sensíveis são CUI; deve estar vinculado a uma autoridade listada no Registro CUI. Aqui estão exemplos comuns de CUI nas principais categorias:

• Defesa (CTI): Informações técnicas controladas (CTI) incluem esquemas técnicos, documentos de design de sistemas e código-fonte desenvolvido para aplicações militares, marcado como CUI//SP-CTI sob a autoridade do DFARS 252.204-7012.
• Controle de exportação: Desenhos técnicos para artigos de defesa na Lista de Munições dos EUA e dados técnicos sujeitos a licenciamento de exportação estão cobertos pelas categorias de controle de exportação do Registro CUI.
• Aplicação da lei: As informações sobre registros de antecedentes criminais, perfis de DNA e dados de identificação de informantes aparecem sob categorias de CUI relacionadas à aplicação da lei.
• Privacidade: Números de Seguro Social, números de contas financeiras, dados biométricos e HIPAAas informações de saúde cobertas são tratadas sob categorias de CUI relacionadas à privacidade/saúde.
• Infraestrutura crítica:Informações sobre vulnerabilidades de terrorismo químico, informações sobre infraestrutura energética crítica e informações sobre vulnerabilidades de sistemas de informação aparecem sob categorias de infraestrutura crítica.

Estes exemplos são representativos, não definitivos. Sempre valide a categoria específica, a autoridade e as marcações necessárias no Registro CUI e na linguagem do seu contrato antes de definir as regras de manuseio.

Requisitos chave para a proteção de CUI

Proteger a CUI não se trata apenas de bloquear arquivos. Abrange a marcação, a salvaguarda física e digital e o controle de quem pode acessar e compartilhar informações. Cada uma dessas áreas possui requisitos federais específicos, e uma lacuna em qualquer uma delas pode comprometer toda a sua postura de conformidade. Aqui está o que você precisa acertar nos três pilares fundamentais de proteção.

Marcação e rotulagem de CUI

Marcas inconsistentes são uma das maneiras mais rápidas de falhar em uma avaliação de conformidade. As marcas conduzem toda a cadeia de manuseio de CUI: elas informam os detentores autorizados quem pode acessar as informações, como podem ser compartilhadas e quais proteções se aplicam.

Exemplos de marcação padrão:

• CUI Básico sem categoria: CUI
• CUI Especificado: CUI//SP-CTI
• CUI especificado com controle de disseminação: CUI//SP-SGI//FEDONLY

In practice, accurate banner markings plus consistent downstream labeling (email subjects, file headers, cover sheets, and repositories) are what keep CUI from leaking into uncontrolled channels.

Cada documento CUI deve incluir um indicador de designação que identifique a agência controladora. A orientação também recomenda a aplicação de marcas de banner CUI nas linhas de assunto de e-mails e nos corpos das mensagens quando os e-mails contiverem CUI.

Proteção e ambientes controlados

CUI deve ser tratado em ambientes controlados com controles de acesso e proteções contra visualização ou escuta não autorizada.

NIST SP 800-171 Rev. 1 estabeleceu a linha de base: o valor de impacto de confidencialidade para CUI não é inferior ao moderado de FIPS 199. De acordo com FIPS 199, moderado significa que a perda de confidencialidade "poderia ser esperada ter um efeito adverso sério nas operações organizacionais, nos ativos organizacionais ou nos indivíduos."

As organizações devem descrever o limite de seu sistema CUI em um Plano de Segurança do Sistema (SSP), incluindo o ambiente operacional, como os requisitos são implementados e conexões com outros sistemas.

Os requisitos de segurança física incluem limitar o acesso a indivíduos autorizados, acompanhar visitantes, manter registros de auditoria de acesso e impor salvaguardas em locais de trabalho alternativos.

Controles de acesso e controles de disseminação

O acesso ao CUI segue um princípio claro: apenas usuários autorizados com uma necessidade legítima de saber e o treinamento adequado podem acessá-lo.

NIST SP 800-171 Rev. 3 fortaleceu a gestão de contas para exigir a definição de tipos de contas permitidos, autorizando o acesso com base na necessidade válida e no uso pretendido, e monitorando continuamente o uso das contas do sistema.

De acordo com 32 CFR 2002.16, a disseminação deve obedecer às leis que estabeleceram a categoria CUI, além de um propósito governamental legítimo, e não deve ser restringida por um controle de disseminação limitado autorizado.

Antes de compartilhar CUI com partes externas, verifique se o destinatário tem uma necessidade legítima de saber, entende os requisitos de CUI e pode proteger as informações de forma adequada.

O treinamento também é importante aqui. A regra FAR CUI de janeiro de 2025 estabelece que os contratantes não podem permitir que nenhum funcionário manuseie CUI, a menos que esse funcionário tenha concluído o treinamento adequado, e os contratantes devem fornecer evidências de treinamento mediante solicitação.

CUI e estruturas de cibersegurança

As obrigações de proteção CUI não existem em um vácuo. Elas estão dentro de uma pilha em camadas de estruturas federais de cibersegurança que traduzem os requisitos de política em controles de segurança específicos e auditáveis.

Compreender como esses frameworks se conectam é essencial para construir um ambiente em conformidade, especialmente quando diferentes contratos fazem referência a diferentes revisões ou linhas de base.

NIST SP 800-171 e CUI

NIST SP 800-171 traduz as obrigações de proteção CUI em requisitos de segurança específicos para sistemas não federais. A versão atual, Rev. 3, contém 97 requisitos de segurança em 17 famílias de controles. A Rev. 2 tinha 110 requisitos em 14 famílias.

Os domínios-chave que afetam diretamente o manuseio de CUI incluem:

• Controle de acesso: gerenciamento de contas, menor privilégio, separação de funções, controle de fluxo de informações
• Auditoria e responsabilidade: registros de auditoria que capturam tipo de evento, tempo, origem, resultado e identidade; retenção alinhada aos requisitos da organização e do contrato
• Resposta a incidentes: capacidade de manuseio operacional, rastreamento e testes em uma frequência definida pela organização
• Proteção de mídia: sanitização antes da eliminação, proteção criptográfica durante o transporte

Tomados em conjunto, esses domínios definem os controles operacionais diários que os auditores buscam quando avaliam se o manuseio de CUI é realmente aplicado, e não apenas documentado.

Níveis de impacto FIPS 199 e CUI

A cascata de conformidade funciona assim: FIPS 199 categoriza os níveis de impacto, FIPS 200 define os requisitos mínimos de segurança e a seleção de controles é extraída das linhas de base de controle de segurança do NIST. Essas linhas de base são então adaptadas ao NIST SP 800-171 para organizações não federais que lidam com CUI.

As implicações práticas são significativas:

• Hospedagem em nuvem: Para sistemas CUI em ambientes de nuvem, o FedRAMP Moderate é amplamente tratado como a linha de base mínima apropriada para sistemas de informação de impacto moderado.
• Criptografia: Os módulos criptográficos devem ser validados pelo FIPS 140-2, não apenas usando algoritmos aprovados pelo FIPS. A orientação do CMVP do NIST também observa que a criptografia não validada é vista como não fornecendo proteção.
• Proteções de rede: A linha de base moderada abrange controle de acesso, proteção de fronteira, segregação de rede, confidencialidade e integridade da transmissão e monitoramento de rede.

Para CUI associada a programas críticos ou Ativos de Alto Valor, o NIST SP 800-172 fornece requisitos de segurança aprimorados, mas estes se aplicam apenas quando designados explicitamente na linguagem do contrato.

Melhores práticas para lidar com CUI de forma segura

As seguintes melhores práticas traduzem as obrigações de conformidade CUI em etapas concretas que sua equipe pode executar, desde a descoberta inicial de dados até a governança de acesso, criptografia e resposta a incidentes.

1. Identificar e classificar CUI com precisão

Only federal agencies can designate information as CUI. When contractors encounter potentially unmarked CUI, they should report it to the contracting officer for official determination, not mark it themselves. The FAR CUI rule requires reporting the discovery of potential CUI within eight hours.

Comece com uma revisão contrato por contrato. Mapeie as categorias de CUI especificadas em cada contrato contra seus fluxos de informações reais. Falhas comuns de escopo incluem:

• Sistemas ausentes: ignorando sistemas que processam CUI fora do seu ambiente principal
• Pontos cegos de terceiros: não levar em conta os prestadores de serviços que lidam com CUI em seu nome
• Shadow IT: esquecendo as ferramentas de colaboração e os serviços em nuvem, onde CUI pode acabar

O treinamento é igualmente importante e deve ocorrer em três níveis:

• Consciência universal: para qualquer um que possa encontrar CUI
• Treinamento específico para o papel: para funcionários que lidam regularmente com CUI
• Treinamento técnico avançado: para administradores de sistema que gerenciam ambientes CUI

Este investimento em treinamento é crítico porque o fator humano continua sendo uma das principais vulnerabilidades; de acordo com o Relatório de Tendências de Segurança Híbrida da Netwrix 2024, 47% dos profissionais de TI citam erros e negligência dos funcionários como um grande desafio de segurança.

O desafio da descoberta é igualmente generalizado; uma pesquisa de 2025 SANS Attack Surface Management (ASM) patrocinada pela Netwrix revelou que apenas 28% das organizações acreditam que suas plataformas ASM identificam efetivamente arquivos sensíveis, com outros 41% dizendo que o fazem apenas parcialmente.

É aqui que as ferramentas fazem uma verdadeira diferença. Por exemplo, First National Bank Minnesota usou o Netwrix Auditor e o Netwrix Data Classification para descobrir, classificar e mover dados sensíveis para locais seguros, e completou uma reconstrução do Active Directory em 3 semanas em vez de 6 meses.

2. Governar o acesso a nível de objeto

Folder-level and site-level permissions aren't granular enough for CUI. NIST SP 800-171 acknowledges that access enforcement mechanisms can be implemented at the application and service levels to increase protection for CUI.

O controle de acesso baseado em atributos (ABAC), conforme definido no NIST SP 800-162, avalia os atributos do usuário, dos dados e do ambiente em relação às regras de política definidas a cada solicitação de acesso. A vantagem para CUI é o privilégio mínimo dinâmico:

• Mudanças de função: quando a atribuição de missão de alguém muda, seu acesso ao CUI que não é mais necessário é revogado automaticamente através de atributos de sujeito atualizados
• Mudanças na classificação: quando a classificação de dados muda, as restrições de acesso se ajustam para todos os usuários afetados sem reconfiguração manual

3. Criptografar CUI em trânsito e em repouso

O NIST SP 800-171 exige criptografia para CUI transmitido ou armazenado fora de ambientes controlados. Dentro de ambientes protegidos, outras salvaguardas podem satisfazer o requisito, mas qualquer CUI que deixar esse limite deve ser criptografado

O requisito crítico é que os módulos de criptografia devem ser validados pelo FIPS 140-2, com números de certificado documentados. Simplesmente usar AES-256 não é suficiente se o módulo específico não passou pelo Programa de Validação de Módulos Criptográficos do NIST.

A gestão de chaves merece a mesma atenção, portanto deve ser tratada como uma infraestrutura fundamental, e não como uma ideia secundária.

4. Monitorar, registrar e responder a incidentes

O NIST SP 800-171 exige registros de auditoria que capturem o tipo de evento, o momento, a localização, a fonte, o resultado e a identidade associada. As ações individuais dos usuários devem ser rastreáveis de forma única, e a retenção de registros de auditoria deve estar alinhada com os requisitos definidos pela organização e os requisitos definidos pelo contrato.

Na resposta a incidentes, os prazos estão se tornando mais apertados. Diferentes obrigações de relatório se aplicam dependendo do seu setor:

• Regra FAR CUI: uma janela de oito horas para relatar incidentes de CUI suspeitos ou confirmados
• DFARS 252.204-7012: Os contratantes do DoD relatam através do DIBNet
• CIRCIA: entidades de infraestrutura crítica devem relatar ao CISA dentro de 72 horas

Cumprir esses prazos exige capacidades forenses e procedimentos de investigação pré-estabelecidos, não apenas detecção.

Correlacionar dados de atividade com permissões de acesso vale a pena aqui. No mundo real, até mesmo um único pico suspeito em alterações de arquivos pode se tornar uma correria de dias se sua equipe tiver que juntar respostas de logs desconectados.

Como a Netwrix ajuda as organizações a proteger CUI

Nenhum processo ou lista de verificação única faz com que a conformidade CUI aconteça da noite para o dia. O desafio para os contratantes é conectar os pontos entre a descoberta de dados, a governança de acesso e a prontidão para auditorias, sem costurar ferramentas desconectadas que deixam lacunas que um avaliador encontrará.

Se o seu ambiente funciona em infraestrutura da Microsoft com uma mistura de servidores de arquivos locais, Active Directory e Microsoft 365, você precisa de uma plataforma que cubra tudo isso a partir de um só lugar.

A plataforma 1Secure fornece descoberta automatizada em sistemas de arquivos, bancos de dados, plataformas de colaboração e armazenamento em nuvem, para que você possa encontrar dados relevantes de CUI antes que um avaliador o faça.

Pode colocar em quarentena arquivos sensíveis em locais inseguros, movê-los para áreas seguras, remover permissões excessivas e incorporar etiquetas de classificação nos arquivos, transformando semanas de inventário manual em um processo automatizado e repetível.

Mas a descoberta sozinha não é suficiente. A pergunta mais difícil é: quem pode acessar esses dados, esse acesso é apropriado e você pode provar isso? A plataforma 1Secure relata sobre objetos de dados sensíveis excessivamente expostos, estruturas de permissão detalhadas sobre conteúdo classificado e atividades relacionadas a arquivos e pastas sensíveis.

Isso significa que você pode identificar onde o CUI está com permissões excessivas e remediar antes que se torne uma constatação de auditoria.

Netwrix Endpoint Protector estende essa cobertura para a camada de endpoint, impedindo que CUI saia de ambientes controlados através de canais não autorizados. Ele bloqueia transferências para dispositivos USB não aprovados, monitora e controla uploads via navegadores, clientes de e-mail e aplicativos de armazenamento em nuvem. Também aplica criptografia em mídias removíveis aprovadas, abordando diretamente os riscos de exfiltração que os requisitos de manuseio de CUI foram projetados para prevenir.

Relatórios de conformidade pré-construídos mostram quem acessou os dados, o que mudou e quando, enquanto a pesquisa interativa ajuda você a responder às perguntas dos auditores em minutos, em vez de dias.

Solicite uma demonstração da Netwrix para ver como uma plataforma ajuda você a descobrir, proteger e provar conformidade para CUI em seu ambiente híbrido.