Implemente el Programa de información controlada no clasificada (US0068)

Los Archivos Nacionales continuarán la implementación de un programa abierto y unificado para administrar información no clasificada que requiere salvaguardar o difundir controles que sean consistentes con la ley, las regulaciones y las políticas de todo el gobierno, lo que se conoce como Información Controlada No Clasificada (CUI). Los archivos nacionales
emitirá una guía de implementación, establecerá cronogramas de implementación por fases y publicará un Registro CUI mejorado que designa qué información se incluye en el programa. Además, los Archivos Nacionales trabajarán con el Consejo Regulador Federal de Adquisiciones para proponer una regla de Regulación Federal de Adquisiciones para aplicar los requisitos del programa CUI a contratistas, beneficiarios y licenciatarios.

Para detalles de estos compromisos, vea el informe: https://www.opengovpartnership.org/documents/united-states-mid-term-report-2015-2017/

Compromiso 16. Implementar el programa de información no clasificada controlada

Texto de compromiso:

Implementar el programa de información no clasificada controlada

Los Archivos Nacionales continuarán la implementación de un programa abierto y unificado para administrar información no clasificada que requiere salvaguardar o difundir controles que sean consistentes con la ley, las regulaciones y las políticas de todo el gobierno, lo que se conoce como Información Controlada No Clasificada (CUI). Los Archivos Nacionales emitirán una guía de implementación, establecerán cronogramas de implementación por etapas y publicarán un Registro CUI mejorado que designa qué información se incluye en el programa. Además, los Archivos Nacionales trabajarán con el Consejo Regulador Federal de Adquisiciones para proponer una regla de Regulación Federal de Adquisiciones para aplicar los requisitos del programa CUI a contratistas, beneficiarios y licenciatarios.

Institución responsable: Administración de Archivos y Registros Nacionales

Instituciones de apoyo: Consejo Asesor de CUI y agencias federales que poseen información no clasificada controlada (CUI)

Fecha de inicio: No especificado ....... Fecha de finalización: No Especificado

Objetivo de compromiso

Antes del plan de acción, no existían protocolos comunes para salvaguardar la información confidencial que no estaba clasificada pero que requería controles especiales. Este compromiso tenía como objetivo implementar un programa para administrar esta Información Controlada No Clasificada (CUI). [] Emitiría una guía y cronogramas de implementación. También publicaría un registro designando qué información está cubierta por el Programa CUI. El compromiso además apuntaba a proponer una regulación que aplique los requisitos de CUI a contratistas, beneficiarios y licenciatarios.

Status

Mediano plazo: No empezado

A mitad de período, el gobierno no había hecho ningún progreso visible en este compromiso.

Fin del plazo: sustancial

Al final del período, este compromiso fue sustancialmente completo.

El gobierno emitió una guía de implementación para el Programa de Información No Clasificada Controlada (CUI) en forma de Aviso de CUI 2016-01 en 14 Septiembre 2016. [] La guía sirvió como complemento de la regla final 32 CFR Parte 2002 sobre información controlada no clasificada. Esa regla fue publicada por la Oficina de Supervisión de Seguridad de la Información (ISOO) de la Administración Nacional de Archivos y Registros (NARA) en la misma fecha, con una fecha efectiva de 14 noviembre 2016. [] La Sección 2002.10 de la regla designa el Registro de CUI como el depósito central de toda la información sobre CUI, incluida la orientación, las instrucciones de política y los procedimientos de descontrol. Varias secciones de la regla pertenecen a contratistas, beneficiarios y licenciatarios del gobierno, cuyo acceso y uso de CUI debe estar sujeto a los acuerdos de intercambio de información bajo la regla. Aviso de CUI 2016-01 requiere que las agencias matrices “publiquen una política de implementación para el Programa CUI”. Más específicamente, estas políticas deben identificar la oficina u organización responsable dentro de cada agencia, así como también el oficial superior de la agencia CUI y el administrador del programa. Las políticas también deben establecer un sistema de informes para incidentes relacionados con CUI, establecer un programa de autoinspección a nivel de agencia y establecer requisitos de capacitación y procedimientos de protección de CUI. []

La regla final "establece una política para las agencias sobre designación, protección, diseminación, marcado, descontrol y eliminación de los requisitos de CUI, autoinspección y supervisión". También se aplica a todas las agencias federales que se ocupan de CUI y "que operan , usar o tener acceso a información federal y sistemas de información en nombre de una agencia ". [] Se requiere que las agencias desarrollen y administren los programas de capacitación de CUI antes mencionados a todos los empleados de la agencia dentro de los días 180 de la fecha de vigencia de la política de CUI de una agencia determinada. Las agencias también deben verificar que se cumplan los requisitos de protección descritos en 32 CFR Parte 2002. Dentro de los días 360 de la fecha de vigencia de la regla (14 noviembre 2016), las agencias también deben establecer un plan de transición para configurar los sistemas CUI de acuerdo con los requisitos. Dentro de los dos años de esta misma fecha, las agencias deben desarrollar y comenzar a implementar los programas de autoinspección antes mencionados. Colectivamente, estas especificaciones constituyen las pautas de implementación por etapas descritas en el compromiso.

Según el Aviso CUI 2016-01, las agencias también deben informar anualmente sobre su progreso a la NARA, y el primer informe anual debe presentarse en 1 noviembre 2017. [] Además, en 7 April 2017, el director de ISOO emitió un memorando para los jefes de departamentos y agencias ejecutivas. El memorándum solicitó que 31 presentara a NARA informes de progreso provisionales sobre la implementación del Programa CUI por parte de las agencias. [] Sin embargo, el investigador de IRM no pudo confirmar cuántas agencias presentaron dichos informes.

Más allá de estas actividades, la NARA ha publicado el Registro CUI en su sitio web. [] Como se describe en el sitio, el Registro CUI representa "el repositorio en línea de todo el gobierno para obtener orientación a nivel federal con respecto a la política y práctica de CUI". El registro sirve como una guía de información bajo el Programa CUI.

Al final del período, no se había finalizado un Reglamento Federal de Adquisición (FAR) independiente que aplica los requisitos del Programa CUI a contratistas, beneficiarios y licenciatarios. Según una actualización del estado de NARA, el FAR ha estado en desarrollo a través de reuniones semanales dentro del Consejo FAR durante un año y ahora se espera en FY2019. [] A la luz de la referencia explícita del compromiso al gobierno de los Estados Unidos que propone un FAR, este compromiso se considera sustancialmente completo.

¿Abrió el gobierno?

Acceso a la información: no cambió

Como se describe en el reglamento 32 CFR Parte 2002, “antes del Programa CUI [Información no clasificada controlada], las agencias a menudo empleaban políticas, procedimientos y marcas ad hoc específicos de la agencia para manejar esta información. Este enfoque de mosaico hizo que las agencias marcaran y manejaran la información de manera inconsistente, implementaran políticas de difusión poco claras o innecesariamente restrictivas, y crearan obstáculos para compartir información. . . . Una política de CUI para toda la rama ejecutiva equilibra la necesidad de salvaguardar el CUI con el interés público en compartir información de manera apropiada y sin cargas innecesarias ”. []

Al delinear el método del gobierno federal para manejar y diseminar información CUI, las pautas llevadas a cabo bajo este compromiso sientan las bases para facilitar un mayor acceso público a CUI. Esto ayudará a remediar los problemas centrales de accesibilidad relacionados con CUI descritos anteriormente en el reglamento. Dicho esto, la Oficina de Supervisión de Seguridad de la Información (ISOO) reconoció en febrero 2018 que la implementación completa de las nuevas políticas de CUI requerirá de tres a cuatro años. [] Los comentarios proporcionados al investigador de IRM por Steven Aftergood, director del proyecto de la Federación de Científicos Americanos (FAS), hacen eco de esta preocupación. Aftergood señaló que "el desarrollo de una nueva política sobre [CUI] ha sido más arduo y más lento de lo que cualquier persona dentro o fuera del gobierno esperaba". [] Además, varias agencias también han planteado problemas que deben resolverse antes de la implementación, como la falta de financiación y las brechas en la cobertura de ciertos tipos de información. []

Si bien la implementación de las nuevas políticas podría ayudar a garantizar que el CUI se maneje de manera eficiente, no garantiza un aumento en la cantidad de información publicada. La ISOO enfatizó que el nuevo programa debería dar como resultado una mayor transparencia. Sin embargo, el Proyecto FAS sobre Secreto del Gobierno señaló que aún está por verse si este será el caso. [] Aftergood señaló al investigador de IRM que “las implicaciones de CUI para la transparencia y el acceso público a la información son inciertas. Las características positivas incluyen una clara articulación de criterios para CUI, que debe basarse en estatutos, regulaciones o políticas establecidas. Otros controles que carecen de una base tan identificable serán rechazados. Sin embargo, el número de categorías y subcategorías autorizadas de CUI ahora se ha disparado a más de 400 elementos distintos, que es un número mucho mayor de lo que los observadores públicos habían anticipado ”. Aftergood concluyó que incluso si el programa CUI está completamente implementado, no está claro que Habrá un aumento neto de la transparencia.

Por otro lado, NARA aclaró que el programa CUI ya no tiene subcategorías, solo categorías. [] Según el registro de cambios del registro CUI, el gobierno revisó la taxonomía del registro en 2 April 2018 "para simplificar y satisfacer mejor las necesidades de la agencia". [] Además, NARA señaló que estas categorías se basan en estatutos, regulaciones federales y políticas de todo el gobierno (es decir, no cualquier regulación o política). Como resultado, NARA insistió en que no ha habido un aumento en la cantidad de información que requiere protección como resultado del programa. Más bien, CUI se limita a los tipos de información no clasificada que ya requerían protección anteriormente. En otras palabras, según NARA, el programa CUI simplemente reúne los tipos de información que las agencias ya estaban obligadas a proteger en un solo lugar por categoría. []

NARA también señaló que solo hay aproximadamente categorías 100 de CUI. De hecho, al revisar las versiones archivadas de la lista de categorías y subcategorías del Registro CUI, el IRM confirmó que el número total de clasificaciones, incluso antes del cambio en la taxonomía que eliminó el nivel de "subcategoría", permaneció en torno a 100. []

Llevado adelante?

Al momento de escribir este artículo, el gobierno de EE. UU. No había publicado su cuarto plan de acción nacional, por lo que no está claro si este compromiso se lleva a cabo. En el futuro, será importante que el gobierno continúe implementando las nuevas pautas CUI. También debe continuar tomando medidas concretas para garantizar que las agencias usen el nuevo sistema para poner más información a disposición del público.

[] CUI es "información no clasificada que requiere salvaguardas o controles de difusión de conformidad con la ley, los reglamentos y [g] las políticas de todo el gobierno". Consulte "CUI", Administración Nacional de Archivos y Registros, https://www.archives.gov/cui, última actualización 4 octubre 2017, consultado 4 octubre 2017.

[] Administración Nacional de Archivos y Registros, Oficina de Supervisión de Seguridad de la Información, Aviso CUI 2016-01: Guía de implementación para el programa de información no clasificada controlada, 14 septiembre 2016, https://www.archives.gov/files/2016-cuio-notice-2016-01-implementation-guidance.pdf, consultado 11 septiembre 2011.

[] Administración Nacional de Archivos y Registros, Oficina de Supervisión de Seguridad de la Información. : Información no clasificada controlada, regla final, 14 2016 septiembre, https://www.gpo.gov/fdsys/pkg/FR-2016-09-14/pdf/2016-21665.pdf, consultado 11 septiembre 2017. Tenga en cuenta que la regla final no contiene números de página; por lo tanto, ninguno se cita aquí.

[] Administración Nacional de Archivos y Registros, Oficina de Supervisión de Seguridad de la Información, Aviso CUI 2016-01: Guía de implementación para el programa de información no clasificada controlada, 14 2016 septiembre, https://www.archives.gov/files/2016-cuio-notice-2016-01-implementation-guidance.pdf, consultado 11 septiembre 2011.

[] Administración Nacional de Archivos y Registros, Oficina de Supervisión de Seguridad de la Información, 32 CFR Parte 2002: Información no clasificada controlada, regla final, 14 2016 septiembre, https://www.gpo.gov/fdsys/pkg/FR-2016-09-14/pdf/2016-21665.pdf, consultado 11 septiembre 2017.

[] Administración Nacional de Archivos y Registros, Oficina de Supervisión de Seguridad de la Información, Aviso CUI 2016-01: Guía de implementación para el programa de información no clasificada controlada, 14 2016 septiembre, https://www.archives.gov/files/2016-cuio-notice-2016-01-implementation-guidance.pdf, consultado 11 septiembre 2011.

[] Administración Nacional de Archivos y Registros, Oficina de Supervisión de Seguridad de la Información, Memorándum sobre el informe de estado de implementación del programa de información no clasificada controlada (CUI), 7 April 2017, 1, https://www.archives.gov/files/cui/registry/policy-guidance/registry-documents/20170407-cui-status-report-request-and-forms.pdf, consultado 11 septiembre 2017.

[] "Registro de información no clasificada controlada", National Archives, https://www.archives.gov/cui, consultado 11 septiembre 2011.

[] Administración Nacional de Archivos y Registros, Oficina de Supervisión de Seguridad de la Información, Información no clasificada controlada, 15 septiembre 2017, https://archivescarterchronicle.files.wordpress.com/2018/02/feb-15-2018-webex.pdf.  

[] Administración Nacional de Archivos y Registros, Oficina de Supervisión de Seguridad de la Información, : Información no clasificada controlada, regla final, 14 septiembre 2016, https://www.gpo.gov/fdsys/pkg/FR-2016-09-14/pdf/2016-21665.pdf, consultado 11 septiembre 2017.

[] Administración Nacional de Archivos y Registros, Oficina de Supervisión de Seguridad de la Información, Información no clasificada controlada, 15 Febrero 2018, https://archivescarterchronicle.files.wordpress.com/2018/02/feb-15-2018-webex.pdf.

[] Comentarios escritos proporcionados por Steven Aftergood, 28 Octubre 2017.

[] Steven Aftergood, "Un camino lleno de baches para la información no clasificada controlada, Federación de Científicos Americanos, 30 Octubre 2017, https://fas.org/blogs/secrecy/2017/10/cui-bumpy/.

[] Ibíd.

[] NARA proporcionó esta información en un comentario al IRM durante la revisión previa a la publicación de este informe. El IRM recibió el comentario por correo electrónico en 30 April 2018.

[] "Registro CUI: Registro de cambios", Administración Nacional de Archivos y Registros, Información no clasificada controlada (CUI), https://www.archives.gov/cui/registry/registry-change-log, consultado 4 May 2018.

[] Toda esta información se proporcionó en los comentarios presentados al IRM mencionados en la nota 15 anterior.

[] Una versión archivada del sitio web del Registro CUI de diciembre 2017 (disponible aquí: https://web.archive.org/web/20171212030450/https://www.archives.gov/cui/registry/category-list) muestra que el registro contenía alrededor de 110 categorías y subcategorías.