Requisiti di sicurezza per i sistemi di commingling

Dovrai dare un'occhiata a NIST SP 800-171 (Protezione delle informazioni non classificate controllate in sistemi e organizzazioni non federali). Questo documento descrive in dettaglio i controlli di sicurezza per le informazioni CUI sui sistemi non classificati. C'è anche un documento complementare, NIST SP 800-171A per i sistemi di controllo che ospitano CUI.

Per quanto riguarda la legge (non sono un avvocato, consulta il tuo legale per la piena protezione legale), può essere utile sapere di DFARS 252.204-7012, che si occupa delle responsabilità dell'appaltatore per i sistemi di memorizzazione di CUI.

Alla domanda più ampia, sconsiglio vivamente di archiviare informazioni su sistemi non esclusivamente dedicati al lavoro federale per una serie di motivi:

1. Creerai un singolo punto di errore per più sistemi invece di uno solo, ovvero se perdi la scatola, dovrai ricostruirli tutti contemporaneamente. Inoltre, la gestione di tutti i regolamenti assicurandosi che tutto rimanga attivo potrebbe rivelarsi un'enorme lotta.

2. Un vettore di minacce viene creato se qualcuno ha bisogno di accedere alla casella per il software privato che viene caricato su di esso, ma non ha bisogno di sapere per le altre cose.

3. Nel caso in cui il governo prenda il sistema, perdi tutto ciò che stai ospitando sullo stesso sistema. Anche in questo caso, ciò può causare problemi con gli SLA per altri progetti o causare la perdita di dati non correlati.

Tuttavia, escludendo un problema con DFARS, non penso che ci siano problemi legali (ancora, non un avvocato) con un sistema condiviso come questo purché l'intero sistema sia conforme a DFARS, il che significa che soddisfa i requisiti di 800-171.