Querrá consultar NIST SP 800-171 (Protección de información no clasificada controlada en sistemas y organizaciones no federales). Este documento detalla los controles de seguridad para la información de CUI en sistemas no clasificados. También hay un documento complementario, NIST SP 800-171A para auditar sistemas que albergan CUI.
En lo que respecta a la ley (no soy abogado, consulte a su abogado para obtener protección legal completa), puede ser útil saber acerca de DFARS 252.204-7012, que trata las responsabilidades del contratista para los sistemas que almacenan CUI.
Para una pregunta más amplia, recomendaría encarecidamente que no se almacene información en sistemas que no están dedicados exclusivamente al trabajo federal por varios motivos:
-
Crearía un único punto de falla para varios sistemas en lugar de solo uno, lo que significa que si pierde la caja, deberá reconstruirlos todos a la vez. Además de eso, administrar todas las regulaciones mientras se asegura de que todo siga funcionando puede ser una gran lucha.
-
Se crea un vector de amenaza si alguien necesita acceso a la caja para el software privado que está cargado en él, pero no tiene la necesidad de conocer el resto del contenido.
-
En el caso de que el gobierno tome el sistema, perderá todo lo que está alojando en el mismo sistema junto con él. Nuevamente, esto puede causar problemas con sus acuerdos de nivel de servicio para otros proyectos o la pérdida de datos no relacionados.
Sin embargo, salvo un problema con DFARS, no creo que haya ningún problema legal (de nuevo, no un abogado) para tener un sistema compartido como este, siempre que todo el sistema sea compatible con DFARS, lo que significa que cumple con los requisitos de 800-171.