Audit et évaluations axés sur la norme CNSSI 1253 et la norme FISMA. Appeler +1 (888) 896-7580 dès aujourd'hui !
Instruction n° 1253 du Comité sur les systèmes de sécurité nationale (CNSSI 1253), intitulée Catégorisation de la sécurité et sélection des contrôles pour les systèmes de sécurité nationaleCe guide du gouvernement fédéral américain, publié par le Comité sur les systèmes de sécurité nationale (CNSS), a été mis en ligne le 1er août 2022. Il définit des procédures standardisées pour l'évaluation et la sécurisation des systèmes de sécurité nationale (SSN) – des systèmes d'information qui traitent des informations classifiées ou soutiennent des missions critiques de sécurité nationale, notamment au sein des agences de défense, de renseignement et de sécurité intérieure. Complémentaire à la publication spéciale 800-53 du NIST, il adapte ses contrôles aux SSN en intégrant des mesures spécifiques aux environnements sensibles tels que les systèmes classifiés.
Lazarus Alliance, organisme d'évaluation tiers certifié (3PAO), collaborera directement avec votre organisation pour planifier votre évaluation CNSSI 1253. Nos évaluateurs 3PAO certifiés vous aideront à déterminer le niveau d'impact approprié en fonction des exigences spécifiques de votre entreprise et des réglementations gouvernementales.
Instruction n° 1253 du Comité sur les systèmes de sécurité nationale (CNSSI 1253)
L’objectif principal est de garantir la confidentialité, l’intégrité et la disponibilité (triade CIA) des données du NSS en établissant un cadre fondé sur les risques. Ce cadre aide les ministères, les agences et les contractants fédéraux :
- Classer les systèmes en fonction de leur niveau d'impact potentiel.
- Sélectionner et mettre en œuvre les contrôles de sécurité appropriés.
- Soutenir la conformité avec des réglementations plus larges comme la loi fédérale sur la modernisation de la sécurité de l'information (FISMA) et le décret exécutif 14028. Contrairement aux systèmes fédéraux généraux (régis par la norme FIPS 199), la norme CNSSI 1253 traite des risques uniques des systèmes de sécurité nationale, tels que la gestion d'informations de sécurité nationale qui pourraient causer des dommages graves si elles étaient compromises.
Composants clés
- Catégorisation de sécuritéLes systèmes sont évalués séparément selon trois critères : confidentialité (C), intégrité (I) et disponibilité (A), chacun étant classé comme faible, modéré ou élevé. Il en résulte des référentiels hybrides, tels que « Modéré-Modéré-Élevé », qui reflètent les risques nuancés. Par exemple, un système peut privilégier une confidentialité élevée pour les données classifiées, tout en acceptant une disponibilité moindre si une interruption de service est acceptable.
- Sélection de contrôleCe document s'appuie sur les référentiels NIST SP 800-53, avec des améliorations spécifiques au CNSSI, notamment des associations et des superpositions CIA explicites (par exemple, pour les systèmes de contrôle industriels ou les environnements classifiés). Les contrôles couvrent 20 familles, telles que le contrôle d'accès (AC), l'audit et la responsabilité (AU) et l'évaluation des risques (RA).
- Superpositions: Spécifications supplémentaires pour des scénarios spécialisés, comme le système de superposition classifié (CNSSI 1253E, Annexe 5), qui ajoute des exigences pour la protection des données classifiées.
Le processus d'audit CNSSI 1253
Un audit CNSSI 1253 est une évaluation structurée visant à vérifier la conformité, souvent intégrée au cadre de gestion des risques (RMF). Il est généralement réalisé par des organismes d'évaluation tiers accrédités (3PAO), tels que ceux certifiés A2LA ISO/IEC 17020 pour leur impartialité. Le processus comprend :
| Etape | Description |
|---|---|
| 1. Catégorisation des systèmes | Déterminer les niveaux d'impact CIA en utilisant les directives CNSSI 1253, produisant une catégorisation équivalente FIPS 199 pour NSS. |
| 2. Sélection des témoins et ligne de base | Sélectionnez les contrôles NIST 800-53 adaptés à la catégorisation, en appliquant des superpositions CNSSI. |
| 3. Développement de la documentation | Créez des documents clés tels que le plan de sécurité du système (SSP), le plan d'évaluation de la sécurité (SAP), le plan de contingence (CP) et le plan de réponse aux incidents (IRP). |
| 4. Évaluation et tests | Effectuer des analyses de vulnérabilité, des tests d'intrusion et des validations de contrôle par un organisme tiers d'évaluation des processus (3PAO). |
| 5. Reporting | Générer un rapport d'évaluation de la sécurité (SAR) détaillant les constatations, les risques et les mesures correctives. |
| 6. Autorisation et surveillance | Obtenir une autorisation d'exploitation (ATO) auprès d'un responsable habilité ; mettre en œuvre un suivi continu pour assurer la conformité permanente. |
Les audits privilégient une évaluation proactive et continue par rapport aux contrôles périodiques, réduisant ainsi les risques tels que le glissement de périmètre et garantissant la conformité aux exigences de reporting FISMA.
Différences par rapport aux normes connexes
- Par rapport à la norme NIST SP 800-53: La norme CNSSI 1253 utilise des catégorisations multidimensionnelles de la CIA (par exemple, Modéré-Faible-Élevé) au lieu d'un seul niveau maximal, et elle affine les superpositions pour les contextes de sécurité nationale.
- Par rapport à la norme FIPS 199: S'applique uniquement aux systèmes NSS (classifiés ou critiques pour la mission), tandis que la norme FIPS 199 couvre les systèmes fédéraux généraux.
- L'intégration avec d'autres normes CNSSI, comme la norme CNSSI 1015 pour la gestion des audits d'entreprise, améliore l'automatisation et la maturité des audits.
Avantages et applicabilité
Les audits CNSSI 1253 permettent aux organisations de minimiser les risques opérationnels, d'obtenir l'accréditation pour les marchés publics fédéraux et d'automatiser la conformité grâce à des outils tels que les plateformes GRC. Ils sont essentiels pour les entreprises souhaitant accéder aux marchés publics, et offrent notamment des avantages comme des évaluations plus rapides (jusqu'à 46 % de réduction du temps) et une meilleure connaissance de la situation. Pour la mise en œuvre, veuillez consulter la documentation officielle du CNSS ou les fournisseurs accrédités.
Ce cadre évolue en fonction des menaces, comme en témoignent les récentes mises à jour liées au Mémorandum national de sécurité n° 8 pour une meilleure posture en matière de cybersécurité.
Questions fréquemment posées
Que sont les services d'audit axés sur la norme CNSSI 1253 et la loi FISMA ?
Ces services proposent des audits et des évaluations complets, conformes aux principes d'autorisation de la norme CNSSI 1253 et aux exigences de la loi FISMA. Ils comprennent notamment des évaluations de NIST, les contrôles DIACAP et DCID 6/3, les tests de vulnérabilité, les tests d'intrusion et l'élaboration de documents essentiels tels que les plans de sécurité du système (SSP), les plans de contingence (CP) et les plans de réponse aux incidents (IRP) pour garantir la conformité fédérale.
Qui peut bénéficier de ces services d'audit ?
Ces services sont parfaitement adaptés aux organisations des secteurs public et privé, notamment aux prestataires de services souhaitant pénétrer ou développer le marché public. Ils contribuent à minimiser les risques opérationnels et facilitent l'obtention de l'accréditation nécessaire pour faire affaire avec les agences fédérales.
Quels sont les principaux avantages de faire appel à Lazarus Alliance pour ces audits ?
Parmi les principaux avantages, on note une réduction de 46 % du temps d'évaluation traditionnel grâce à ITAM Portail SaaS, économies grâce à des outils automatisés, accès client 24h/24 et 7j/7 et audit continu assuré par Cybervisors™. Cette méthodologie proactive garantit une conformité rapide, sans dérive des exigences ni augmentation annuelle des prix.
Comment fonctionne le processus d'audit avec Lazarus Alliance ?
Le processus commence par une planification basée sur vos besoins, suivie d'une feuille de route personnalisée. ITAM de Continuum GRC La plateforme et la méthodologie Proactive Cyber Security™ offrent un accompagnement personnalisé. Les Cybervisors™ accompagnent le développement de la documentation, les évaluations de vulnérabilité et la production de rapports, en privilégiant une surveillance continue plutôt que des interventions ponctuelles en fin de période.
Quels documents sont inclus dans le package de conformité CNSSI 1253 ?
Le package couvre des documents critiques tels que le plan de sécurité du système (SSP), le plan de contingence (CP), le plan de réponse aux incidents (IRP), le plan de gestion de la configuration (CMP), l'évaluation de l'impact sur la vie privée (PIA), la catégorisation de sécurité FIPS 199 et les politiques/procédures pour des domaines tels que le contrôle d'accès, la responsabilité d'audit et l'évaluation des risques.
Comment Lazarus Alliance garantit-elle la conformité à la loi FISMA grâce à ces services ?
Les services intègrent les évaluations annuelles FISMA, la surveillance continue et les contrôles à travers NIST cadres de référence. En tant qu'organisme accrédité A2LA ISO/IEC 17020 (cert. n°3822.01), nous réalisons des audits rigoureux et vérifiables qui sont conformes aux normes fédérales en matière de sécurité de l'information et de gestion des risques.
Qu'est-ce qui distingue l'approche de Lazarus Alliance de celle des autres prestataires d'audit ?
Contrairement aux audits réactifs de fin de période, nous utilisons un modèle continu avec Cybervisors™ pour un soutien de niveau concierge, le mieux classé. Plateforme SaaS ITAM pour l'automatisation et une rigueur technique à la pointe du secteur. Il en résulte des résultats plus rapides et plus économiques, sans frais cachés ni dépassements de périmètre.
Comment puis-je commencer à utiliser ces services d'audit ?
Contactez notre équipe au +1 (888) 896-7580 pour parler à un expert Cybervisor™ certifié NIST 800-53. Nous planifierons une consultation initiale pour évaluer vos besoins, vous fournir une feuille de route personnalisée et vous garantir un accès 24h/24 et 7j/7 à la solution. ITAM Portail pour un progrès immédiat.
Parlez avec l'un de nos experts
Nos équipes Lazarus Alliance Cybervisor™ ont l’expérience de la réalisation de milliers d’évaluations pour des organisations fournissant des services à des clients du monde entier.
Nous sommes là pour répondre à toutes vos questions.
Aperçu de la norme CNSSI 1253
Lazarus Alliance fournit une feuille de route solide pour vos exigences d'évaluation CNSSI 1253 avec notre technologie de pointe optimisée par ITAM de Continuum GRC Plateforme SaaS, couplée à notre méthodologie de service Proactive Cyber Security™.
Un système est composé de manière holistique de la technologie, des personnes, des processus et des données utilisés pour réaliser les services fournis. L'autorisation CNSSI 1253 est conçue pour assurer la sécurité sur les principes suivants décrits brièvement :
- Contrôle d'Accès : Cet environnement de contrôle mesure les fonctionnalités de sécurité de la limite du système qui contrôlent les droits d'accès et les ressources. Les domaines à examiner comprennent, sans s'y limiter : la gestion des comptes, l'application des droits d'accès, les tentatives de connexion infructueuses, la notification d'utilisation du système, les actions autorisées, les actions autorisées sans identification/autorisation, l'accès à distance, l'accès sans fil, le contrôle d'accès pour les appareils mobiles, l'utilisation de systèmes d'information externes et le contenu accessible au public.
- Sensibilisation et formation : Cet environnement de contrôle mesure la formation à la sensibilisation à la sécurité mise en place par l'organisation, par rapport à la limite du système. Les domaines à examiner comprennent, sans toutefois s'y limiter : la sensibilisation à la sécurité, la formation à la sécurité et les dossiers de formation à la sécurité.
- Audit et Responsabilité : Cet environnement de contrôle mesure les ressources en place pour mesurer et maintenir les pratiques d'audit responsables au-delà des limites du système. Les domaines à examiner comprennent, sans toutefois s'y limiter : les événements d'audit, le contenu des enregistrements d'audit, le stockage et la capacité d'audit, la réponse aux échecs de traitement d'audit, le processus de révision d'audit, les horodatages et la protection des informations d'audit, la conservation des enregistrements d'audit et la génération d'audit.
- Autorisation d'évaluation et suivi:Cet environnement de contrôle examine la manière dont les organisations évaluent les contrôles dans les systèmes et les environnements dans lesquels ces systèmes fonctionnent dans le cadre des autorisations initiales et continues, de la surveillance continue, des évaluations annuelles FISMA, de la conception et du développement du système, de l'ingénierie de la sécurité des systèmes, de l'ingénierie de la confidentialité et du cycle de vie du développement du système.
- Gestion de la configuration: Cet environnement de contrôle examine les configurations autour de la limite du système. Les domaines à examiner comprennent, sans toutefois s'y limiter : les configurations de base, l'analyse d'impact sur la sécurité, les paramètres de configuration, les fonctionnalités minimales, l'inventaire des composants du système d'information, les restrictions d'utilisation des logiciels et les logiciels installés par l'utilisateur.
- La planification d'urgence: Cet environnement de contrôle examine les processus de l'organisation en matière d'urgences. Les domaines à examiner comprennent, sans toutefois s'y limiter : le plan d'urgence, la formation aux urgences, les tests du plan, la sauvegarde du système d'information, ainsi que la récupération et la reconstitution du système d'information.
- Identification et authentification : Cette zone de contrôle examine les procédures et les outils en place pour identifier et authentifier les utilisateurs qui ont accès à la limite du système. Les zones à examiner comprennent, sans toutefois s'y limiter : l'identification et l'authentification, la gestion des identifiants, la gestion des authentificateurs, les retours d'informations des authentificateurs et l'authentification des modules cryptographiques.
- Réponse à l'incident: Ce domaine de contrôle examine le processus et les pratiques en place pour gérer et répondre aux incidents dans les limites du système. Les domaines à examiner comprennent, sans toutefois s'y limiter : la formation à la réponse aux incidents, la gestion, la surveillance, la création de rapports, l'assistance à la réponse et le plan de réponse aux incidents.
- Entretien: Ce domaine de contrôle examine les processus et procédures en place pour assurer la maintenance contrôlée au sein du système. Les aspects à examiner comprennent, sans s'y limiter : la maintenance contrôlée, la maintenance externalisée et le personnel de maintenance.
- Protection des médias : Ce domaine de contrôle examine les processus et procédures mis en place pour assurer la protection adéquate des supports de stockage du système. Les aspects examinés comprennent, sans s'y limiter : l'accès aux supports, leur effacement et leur mise au rebut.
- Physique et Environnemental : Ce domaine de contrôle examine les processus et procédures en place qui assurent une protection physique et environnementale adéquate du périmètre du système. Les aspects examinés comprennent, sans s'y limiter, le contrôle et les autorisations d'accès physique, la surveillance des accès physiques, les registres d'accès des visiteurs, l'éclairage de secours, la protection incendie, la régulation de la température et de l'humidité, la protection contre les dégâts d'eau, ainsi que la livraison et l'enlèvement.
- Planification: Ce domaine de contrôle examine les processus mis en place pour une planification adéquate du périmètre du système. Les éléments examinés comprennent, sans s'y limiter : le plan de sécurité du système et les règles de conduite.
- Gestion du programme: Cet environnement de contrôle mesure l'état de l'organisation dans le développement et la mise en œuvre d'un programme de sécurité de l'information à l'échelle de l'organisation pour assurer la sécurité de l'information et des systèmes d'information qui soutiennent les opérations et les actifs de l'organisation, y compris ceux fournis ou gérés par une autre organisation, un sous-traitant ou une autre source.
- Sécurité du personnel : Ce dispositif de contrôle évalue les pratiques et les processus mis en place pour examiner, sélectionner et contrôler le personnel affecté au périmètre du système. Les domaines examinés comprennent, sans s'y limiter : l'évaluation des risques liés aux postes ; la sélection, le licenciement et la mutation du personnel ; les accords d'accès, le personnel tiers et les sanctions disciplinaires.
- Traitement et transparence des informations personnelles identifiables : Cet environnement de contrôle mesure les informations personnelles identifiables ; toute représentation d'informations permettant de déduire raisonnablement l'identité d'une personne à laquelle les informations s'appliquent, par des moyens directs ou indirects.
- L'évaluation des risques: Ce domaine de contrôle examine les processus et les procédures en place, qui mesurent les risques et les vulnérabilités de la limite du système. Les domaines à examiner comprennent, sans toutefois s'y limiter : la catégorisation de la sécurité, l'évaluation des risques et l'analyse des vulnérabilités.
- Services et acquisitions de systèmes : Cet environnement de contrôle mesure les pratiques et les processus en place pour le développement des limites du système. Les domaines à examiner comprennent, sans toutefois s'y limiter : l'allocation des ressources, le cycle de vie du développement du système, le processus d'acquisition, la documentation du système d'information et les services externes du système d'information.
- Protection du système et des communications : Ce domaine de contrôle examine les processus et procédures en place pour évaluer la protection du périmètre du système. Les aspects analysés comprennent, sans s'y limiter, la protection contre les attaques par déni de service, la protection du périmètre, l'établissement, la protection et la gestion des clés cryptographiques, les dispositifs de calcul collaboratif, les dispositifs de résolution sécurisée de noms et d'adresses, l'architecture de provisionnement et l'isolation des processus.
- Intégrité du système et de l'information : Cet environnement de contrôle mesure les pratiques et les processus en place pour garantir l'intégrité des limites du système. Les domaines à examiner comprennent, sans toutefois s'y limiter : la correction des défauts, la protection contre les codes malveillants, la surveillance du système d'information et le traitement et la conservation des informations.
- Gestion des risques de la chaîne d'approvisionnement : Cet environnement de contrôle mesure les pratiques et les processus en place pour identifier, évaluer et atténuer les risques de la chaîne d’approvisionnement des TIC à tous les niveaux de leurs organisations.
Lazarus Alliance CNSSI 1253, services clients, planifiera notre équipe pour prioriser cet engagement en fonction des besoins de nos clients et assurer la livraison en temps voulu du package de conformité requis, sous réserve de la disponibilité des ressources du client.
Principaux avantages de la conformité à la norme CNSSI 1253
L’obtention et le maintien de la conformité à la norme CNSSI 1253 offrent des avantages stratégiques, opérationnels et financiers importants, en particulier pour les organisations qui gèrent des systèmes de sécurité nationale (NSS) ou qui concluent des contrats avec le DoD, la communauté du renseignement ou d’autres agences de sécurité nationale.
| # | Bénéfice | Explication |
|---|---|---|
| 1 | Éligibilité aux contrats de sécurité nationale | La norme CNSSI 1253 est obligatoire pour tout système traitant des informations classifiées ou soutenant des missions critiques de sécurité nationale. Sa conformité est une condition préalable à l'obtention d'une autorisation d'exploitation (ATO) et à l'obtention ou au maintien de contrats du ministère de la Défense ou de la communauté du renseignement. |
| 2 | Posture de sécurité précise et fondée sur les risques | Contrairement à l'approche de la norme FISMA fondée sur le seuil maximal, la norme CNSSI 1253 utilise des niveaux d'impact CIA distincts (par exemple, élevé-modéré-modéré). Cela évite un contrôle excessif des zones à faible impact et garantit que les ressources sont concentrées là où le risque de dommages est le plus élevé. |
| 3 | Autorisation simplifiée dans le cadre du RMF | Une catégorisation et une sélection de contrôle CNSSI 1253 appropriées alimentent directement les étapes 1 et 2 du NIST RMF, réduisant considérablement les retouches et accélérant le processus d'obtention de l'ATO. |
| 4 | Protection renforcée des documents classifiés et des informations non classifiées | Les superpositions telles que la superposition d'informations classifiées et la superposition de plateforme spatiale ajoutent des garanties rigoureuses (par exemple, TEMPEST, COMSEC, solutions interdomaines) qui dépassent les normes de base NIST 800-53. |
| 5 | Interopérabilité et réciprocité améliorées | De nombreuses agences et commandements de combat reconnaissent les dossiers conformes à la norme CNSSI 1253, ce qui permet une réciprocité plus rapide et réduit les évaluations en double lors de travaux transfrontaliers entre le DoD et la communauté du renseignement. |
| 6 | Économies de temps et d'argent grâce à la surveillance continue | Associées aux plateformes GRC modernes (par exemple, Continuum GRC ITAM), les organisations constatent une réduction allant jusqu'à 46 % du temps d'évaluation et évitent les périodes de forte activité lors des audits de fin d'année grâce à la collecte continue de preuves. |
| 7 | Cyber-résilience renforcée | La surveillance continue obligatoire, la gestion des plans d'action et de correction, et la planification des interventions en cas d'incident permettent une détection plus précoce et une correction plus rapide des vulnérabilités. |
| 8 | Avantage concurrentiel sur le marché fédéral | La démonstration de la conformité à la norme CNSSI 1253 témoigne de la maturité des principaux contractants et des responsables des acquisitions des agences, donnant aux organisations conformes un avantage certain dans la sélection des fournisseurs et les renouvellements de contrats. |
| 9 | Alignement avec les initiatives fédérales plus larges | Satisfait aux exigences du décret exécutif 14028, du mémorandum de sécurité nationale 10 (NSM-10), des directives opérationnelles contraignantes de la CISA et des mandats de l'architecture Zero Trust. |
| 10 | Réduction des risques juridiques et de réputation | Le non-respect des exigences du NSS peut entraîner la perte du parrainage pour l'habilitation de sécurité, la résiliation du contrat ou des poursuites civiles pour fausses déclarations. La conformité totale permet d'atténuer ces risques. |
En résumé
La conformité à la norme CNSSI 1253 n'est pas une simple formalité : c'est un atout stratégique qui ouvre la voie à des projets de sécurité nationale à forte valeur ajoutée, tout en offrant un programme de sécurité plus efficace, adapté et résilient que les seules approches FISMA/NIST standard. Les organisations qui investissent dans cette norme se positionnent comme des partenaires de confiance pour le dispositif de sécurité nationale américain.
Des références sur lesquelles vous pouvez compter
Numéro de certification accrédité ISO/IEC 2 de l'American Association for Laboratory Accreditation (A17020LA) 3822.01.
Lazarus Alliance utilise le Machine d'audit informatique Continuum GRCLa méthodologie Security Trifecta et Policy Machine permettent de mettre en œuvre des « meilleures pratiques » reconnues internationalement pour l’établissement de normes et de contrôles de sécurité organisationnels. Ces pratiques favorisent la conformité aux certifications et évaluations d’audit basées sur la norme NIST 800-53.