Audyty i oceny ukierunkowane na CNSSI 1253 i FISMA. Numer Telefonu +1 (888) 896-7580 dzisiaj!
Instrukcja nr 1253 Komitetu ds. Systemów Bezpieczeństwa Narodowego (CNSSI 1253) zatytułowana Kategoryzacja bezpieczeństwa i wybór kontroli dla systemów bezpieczeństwa narodowegoto wytyczne rządu federalnego USA wydane przez Komitet ds. Systemów Bezpieczeństwa Narodowego (CNSS). Opublikowane w obecnej wersji 1 sierpnia 2022 r., określają one ujednolicone procedury oceny i zabezpieczania Systemów Bezpieczeństwa Narodowego (NSS) – systemów informatycznych przetwarzających informacje niejawne lub wspierających kluczowe misje bezpieczeństwa narodowego, takie jak te realizowane przez agencje obronne, wywiadowcze i bezpieczeństwa wewnętrznego. Stanowią one uzupełnienie Publikacji Specjalnej NIST 800-53, ale dostosowują mechanizmy kontroli specjalnie do NSS, wprowadzając nakładki dla wrażliwych środowisk, takich jak systemy niejawne.
Lazarus Alliance, certyfikowana organizacja 3PAO (The Third-Party Assessment Organization), będzie bezpośrednio współpracować z Państwa organizacją w celu zaplanowania oceny CNSSI 1253. Nasi certyfikowani asesorzy 3PAO pomogą w ustaleniu odpowiedniego poziomu wpływu, w oparciu o unikalne wymagania biznesowe i rządowe Państwa firmy.
Instrukcja nr 1253 Komitetu ds. Systemów Bezpieczeństwa Narodowego (CNSSI 1253)
Głównym celem jest zapewnienie poufności, integralności i dostępności (triada CIA) NSS poprzez ustanowienie ram opartych na ryzyku. Pomaga to federalnym departamentom, agencjom i kontrahentom:
- Klasyfikuj systemy na podstawie potencjalnych poziomów wpływu.
- Wybierz i wdróż odpowiednie środki kontroli bezpieczeństwa.
- Wspieranie zgodności z szerszymi przepisami, takimi jak Federal Information Security Modernization Act (FISMA) i Executive Order 14028. W przeciwieństwie do ogólnych systemów federalnych (regulowanych przez FIPS 199), CNSSI 1253 odnosi się do specyficznych zagrożeń związanych z NSS, takich jak przetwarzanie informacji dotyczących bezpieczeństwa narodowego, które w przypadku naruszenia mogłyby spowodować poważne szkody.
Kluczowe komponenty
- Kategoryzacja bezpieczeństwaSystemy są oceniane oddzielnie pod kątem poufności (C), integralności (I) i dostępności (A), z których każda jest oceniana jako niska, umiarkowana lub wysoka. W rezultacie powstają hybrydowe poziomy bazowe, takie jak „umiarkowany-umiarkowany-wysoki”, odzwierciedlające zróżnicowane ryzyko. Na przykład system może priorytetowo traktować wysoką poufność danych niejawnych, ale dopuszczać niższą dostępność, jeśli przestoje są dopuszczalne.
- Wybór sterowania: Opiera się na standardach NIST SP 800-53, z udoskonaleniami specyficznymi dla CNSSI, w tym wyraźnymi powiązaniami i nakładkami CIA (np. dla systemów sterowania przemysłowego lub środowisk tajnych). Kontrole obejmują 20 rodzin, takich jak kontrola dostępu (AC), audyt i rozliczalność (AU) oraz ocena ryzyka (RA).
- Nakładki:Dodatkowe specyfikacje dla specjalistycznych scenariuszy, jak np. Classified System Overlay (CNSSI 1253E, załącznik 5), która dodaje wymagania dotyczące ochrony danych niejawnych.
Proces audytu CNSSI 1253
Audyt CNSSI 1253 to ustrukturyzowana ocena weryfikująca zgodność, często zintegrowana z Ramami Zarządzania Ryzykiem (RMF). Zazwyczaj przeprowadzają ją akredytowane organizacje zewnętrzne (3PAO), takie jak te posiadające certyfikat bezstronności A2LA ISO/IEC 17020. Proces obejmuje:
| Krok | OPIS |
|---|---|
| 1. Kategoryzacja systemu | Określ poziomy wpływu CIA przy użyciu wytycznych CNSSI 1253, tworząc kategoryzację równoważną FIPS 199 dla NSS. |
| 2. Wybór kontroli i linia bazowa | Wybierz kontrolki NIST 800-53 dostosowane do kategoryzacji, stosując nakładki CNSSI. |
| 3. Rozwój dokumentacji | Utwórz kluczowe artefakty, takie jak plan bezpieczeństwa systemu (SSP), plan oceny bezpieczeństwa (SAP), plan awaryjny (CP) i plan reagowania na incydenty (IRP). |
| 4. Ocena i testowanie | Przeprowadzaj skanowanie podatności, testy penetracyjne i walidację kontroli za pomocą 3PAO. |
| 5. Raportowanie | Utwórz raport oceny bezpieczeństwa (SAR) ze szczegółowym opisem ustaleń, zagrożeń i działań naprawczych. |
| 6. Autoryzacja i monitorowanie | Uzyskaj zezwolenie na prowadzenie działalności (ATO) od urzędnika upoważniającego i wprowadź ciągły monitoring w celu zapewnienia ciągłej zgodności. |
Audyty kładą nacisk na proaktywną i ciągłą ocenę zamiast okresowych kontroli, co ogranicza ryzyko, takie jak rozrost zakresu, i zapewnia zgodność ze sprawozdawczością FISMA.
Różnice w stosunku do powiązanych standardów
- W porównaniu z NIST SP 800-53:CNSSI 1253 wykorzystuje wielowymiarowe kategoryzacje CIA (np. Umiarkowany-Niski-Wysoki) zamiast pojedynczego poziomu wody wysokiej i udoskonala nakładki w kontekście bezpieczeństwa narodowego.
- W porównaniu z FIPS 199:Dotyczy wyłącznie systemów NSS (tajnych lub o znaczeniu krytycznym), podczas gdy FIPS 199 obejmuje ogólne systemy federalne.
- Integracja z innymi CNSSI, np. CNSSI 1015 dla Enterprise Audit Management, zwiększa automatyzację i dojrzałość audytu.
Korzyści i zastosowanie
Audyty CNSSI 1253 pozwalają organizacjom minimalizować ryzyko operacyjne, uzyskiwać akredytację dla kontraktów federalnych i automatyzować zgodność za pomocą narzędzi takich jak platformy GRC. Są one niezbędne dla wykonawców wchodzących na rynki rządowe, a ich korzyści obejmują szybszą ocenę (np. skrócenie czasu nawet o 46%) i lepszą świadomość sytuacyjną. W celu wdrożenia należy zapoznać się z oficjalnymi dokumentami CNSS lub skorzystać z usług akredytowanych dostawców.
Ramy te zmieniają się wraz z zagrożeniami, jak widać w ostatnich aktualizacjach powiązanych z Narodowym Memorandum Bezpieczeństwa nr 8, mającym na celu poprawę cyberbezpieczeństwa.
Najczęściej zadawane pytania
Czym są usługi audytorskie ukierunkowane na normy CNSSI 1253 i FISMA?
Usługi te obejmują kompleksowe audyty i oceny zgodne z zasadami autoryzacji CNSSI 1253 oraz wymogami FISMA. Obejmują one ocenę NIST, DIACAP i kontrole DCID 6/3, testowanie podatności, testowanie penetracyjne i opracowywanie niezbędnej dokumentacji, takiej jak plany bezpieczeństwa systemu (SSP), plany awaryjne (CP) i plany reagowania na incydenty (IRP), w celu zapewnienia zgodności z przepisami federalnymi.
Kto może korzystać z tych usług audytorskich?
Usługi te są idealne dla organizacji z sektora prywatnego i publicznego, a w szczególności dla dostawców usług, którzy planują wejście na rynki rządowe lub ekspansję na nie. Pomagają one minimalizować ryzyko operacyjne i wspierają akredytację w zakresie współpracy z agencjami federalnymi.
Jakie są główne korzyści ze stosowania Lazarus Alliance w przypadku tych audytów?
Do najważniejszych korzyści należy zaliczyć 46% redukcję czasu tradycyjnej oceny za pośrednictwem ITAM Portal SaaS, oszczędności dzięki zautomatyzowanym narzędziom, całodobowy dostęp dla klientów oraz ciągłe audyty oparte na technologii Cybervisors™. Ta proaktywna metodologia gwarantuje terminową zgodność z przepisami bez rozrostu zakresu prac i corocznych podwyżek cen.
Jak wygląda proces audytu w Lazarus Alliance?
Proces rozpoczyna się od zaplanowania działań na podstawie Twoich potrzeb, po czym następuje spersonalizowana mapa drogowa z wykorzystaniem ITAM firmy Continuum GRC Platforma i metodologia Proactive Cyber Security™. Cybervisorzy™ kierują tworzeniem dokumentacji, oceną podatności i raportowaniem, koncentrując się na ciągłym monitorowaniu, a nie na gorączkowych przygotowaniach pod koniec okresu.
Jaka dokumentacja wchodzi w skład pakietu zgodności CNSSI 1253?
Pakiet obejmuje kluczowe dokumenty, takie jak Plan bezpieczeństwa systemu (SSP), Plan awaryjny (CP), Plan reagowania na incydenty (IRP), Plan zarządzania konfiguracją (CMP), Ocena wpływu na prywatność (PIA), Kategoryzacja bezpieczeństwa FIPS 199 oraz zasady/procedury dla obszarów takich jak kontrola dostępu, rozliczalność audytu i ocena ryzyka.
W jaki sposób Lazarus Alliance zapewnia zgodność z FISMA za pośrednictwem tych usług?
Usługi integrują roczne oceny FISMA, ciągły monitoring i kontrole w całym kraju. NIST ram. Jako organizacja akredytowana zgodnie z normą A2LA ISO/IEC 17020 (nr certyfikatu3822.01), przeprowadzamy rygorystyczne, weryfikowalne audyty, które są zgodne z federalnymi standardami bezpieczeństwa informacji i zarządzania ryzykiem.
Czym podejście Lazarus Alliance różni się od podejścia innych dostawców usług audytorskich?
W przeciwieństwie do reaktywnych audytów przeprowadzanych na koniec okresu, korzystamy z modelu ciągłego z Cybervisors™ w celu zapewnienia wsparcia na poziomie concierge, co jest najwyższą oceną Platforma SaaS ITAM automatyzacji i wiodącej w branży rygorystyczności technicznej. To przekłada się na szybsze i bardziej opłacalne rezultaty bez ukrytych opłat i rozszerzania zakresu.
Jak mogę rozpocząć korzystanie z tych usług audytorskich?
Skontaktuj się z naszym zespołem pod numerem +1 (888) 896-7580, aby porozmawiać z konsultantem NIST 800-53 Cybervisor™. Zaplanujemy wstępną konsultację, aby ocenić Twoje potrzeby, przedstawić spersonalizowany plan działania i zapewnić całodobowy dostęp do… ITAM portal umożliwiający natychmiastowy postęp.
Porozmawiaj z jednym z naszych ekspertów
Nasze zespoły Lazarus Alliance Cybervisor™ mają doświadczenie w przeprowadzaniu tysięcy ocen dla organizacji świadczących usługi klientom na całym świecie.
Jesteśmy tutaj, aby odpowiedzieć na wszelkie Twoje pytania.
Przegląd CNSSI 1253
Lazarus Alliance zapewnia solidną mapę drogową do spełnienia wymagań oceny CNSSI 1253 dzięki naszej wiodącej technologii opartej na ITAM firmy Continuum GRC Platforma SaaS połączona z naszą metodologią usług Proactive Cyber Security™.
System jest holistycznie złożony z Technologii, Ludzi, Procesów i Danych używanych do ukończenia świadczonych usług. Autoryzacja CNSSI 1253 została zaprojektowana w celu zapewnienia komfortu w odniesieniu do następujących zasad opisanych w skrócie:
- Kontrola dostępu: To środowisko kontroli mierzy funkcje bezpieczeństwa granicy systemu, które kontrolują prawa dostępu i zasoby. Obszary, które należy zbadać, obejmują, ale nie ograniczają się do: zarządzania kontami, egzekwowania dostępu, nieudanych prób logowania, powiadomień o korzystaniu z systemu, dozwolonych działań, dozwolonych działań bez identyfikacji/autoryzacji, dostępu zdalnego, dostępu bezprzewodowego, kontroli dostępu dla urządzeń mobilnych, korzystania z zewnętrznych systemów informatycznych i publicznie dostępnych treści.
- Świadomość i szkolenie: To środowisko kontroli mierzy szkolenie w zakresie świadomości bezpieczeństwa, które organizacja ma wdrożone w odniesieniu do granicy systemu. Obszary, które należy zbadać, obejmują, ale nie ograniczają się do: świadomości bezpieczeństwa, szkolenia w zakresie bezpieczeństwa i rejestrów szkoleń w zakresie bezpieczeństwa.
- Audyt i odpowiedzialność: To środowisko kontroli mierzy zasoby wdrożone w celu pomiaru i rozliczania praktyk audytu w granicach systemu. Obszary, które należy zbadać, obejmują, ale nie ograniczają się do: zdarzeń audytu, zawartości rekordów audytu, przechowywania i pojemności audytu, reakcji na awarie przetwarzania audytu, procesu przeglądu audytu, znaczników czasu i ochrony informacji audytu, przechowywania rekordów audytu i generowania audytu.
- Autoryzacja oceny i monitorowanie:To środowisko kontroli bada, w jaki sposób organizacje oceniają kontrole w systemach i środowiskach, w których te systemy działają, w ramach początkowych i bieżących autoryzacji, ciągłego monitorowania, corocznych ocen FISMA, projektowania i rozwoju systemów, inżynierii bezpieczeństwa systemów, inżynierii prywatności oraz cyklu życia rozwoju systemu.
- Zarządzanie konfiguracją: To środowisko kontroli bada konfiguracje wokół granicy systemu. Obszary, które należy zbadać, obejmują, ale nie ograniczają się do: konfiguracji bazowych, analizy wpływu na bezpieczeństwo, ustawień konfiguracji, minimalnej funkcjonalności, inwentaryzacji komponentów systemu informacyjnego, ograniczeń użytkowania oprogramowania i oprogramowania zainstalowanego przez użytkownika.
- Planowanie awaryjne: To środowisko kontroli bada procesy organizacji wokół nieprzewidzianych zdarzeń. Obszary, które należy zbadać, obejmują, ale nie ograniczają się do: planu awaryjnego, szkolenia awaryjnego, testowania planu, tworzenia kopii zapasowych systemów informatycznych oraz odzyskiwania i rekonstrukcji systemów informatycznych.
- Identyfikacja i uwierzytelnianie: Ten obszar kontroli bada procedury i narzędzia wdrożone w celu identyfikacji i uwierzytelniania użytkowników, którym przyznano dostęp do granicy systemu. Obszary, które należy zbadać, obejmują, ale nie ograniczają się do: identyfikacji i uwierzytelniania, zarządzania identyfikatorami, zarządzania uwierzytelniaczami, informacji zwrotnych uwierzytelniacza i uwierzytelniania modułu kryptograficznego.
- Reagowania na incydenty: Ten obszar kontroli bada proces i praktyki stosowane w celu obsługi i reagowania na incydenty w granicach systemu. Obszary, które należy zbadać, obejmują, ale nie ograniczają się do: szkolenia w zakresie reagowania na incydenty, obsługi, monitorowania, raportowania, pomocy w reagowaniu i planu reagowania na incydenty.
- Konserwacja: Ten obszar kontroli analizuje procesy i procedury wdrożone w celu wspierania kontrolowanej konserwacji w granicach systemu. Obszary objęte analizą obejmują między innymi: kontrolowaną konserwację, konserwację poza systemem oraz personel konserwacyjny.
- Ochrona mediów: Ten obszar kontroli analizuje procesy i procedury, które wspierają właściwą ochronę zasobów multimedialnych systemu. Obszary, które podlegają kontroli, obejmują między innymi: dostęp do nośników, dezynfekcję i utylizację.
- Fizyczne i środowiskowe: Ten obszar kontroli analizuje wdrożone procesy i procedury, które wspierają odpowiednią ochronę fizyczną i środowiskową granic systemu. Obszary podlegające kontroli obejmują między innymi kontrolę dostępu fizycznego i autoryzację, monitorowanie dostępu fizycznego, rejestry dostępu gości, oświetlenie awaryjne, ochronę przeciwpożarową, kontrolę temperatury i wilgotności, ochronę przed uszkodzeniami spowodowanymi przez wodę oraz dostawę i demontaż.
- Planowanie: Ten obszar kontroli analizuje procesy wdrożone w zakresie prawidłowego planowania granic systemu. Obszary, które podlegają analizie, obejmują między innymi: Plan bezpieczeństwa systemu i zasady postępowania.
- Zarządzanie programem: To środowisko kontroli mierzy status organizacji w zakresie opracowywania i wdrażania programu bezpieczeństwa informacji obejmującego całą organizację, mającego na celu zapewnienie bezpieczeństwa informacji i systemów informatycznych obsługujących operacje i aktywa organizacji, w tym tych dostarczanych lub zarządzanych przez inną organizację, kontrahenta lub inne źródło.
- Bezpieczeństwo personelu: To środowisko kontroli mierzy praktyki i procesy wdrożone w celu badania, weryfikacji i przeglądu personelu przypisanego do granic systemu. Obszary podlegające kontroli obejmują między innymi: wyznaczanie ryzyka związanego ze stanowiskiem; weryfikację, zwalnianie i przenoszenie personelu; umowy o dostępie, personel zewnętrzny oraz sankcje wobec personelu.
- Przetwarzanie i przejrzystość danych osobowych: To środowisko kontrolne mierzy Dane Osobowe Identyfikujące; wszelkie przedstawienie informacji pozwalające na racjonalne wywnioskowanie tożsamości osoby, której dotyczą informacje, w sposób bezpośredni lub pośredni.
- Ocena ryzyka: Ten obszar kontroli bada proces i procedury, które mierzą ryzyko i podatności na granicy systemu. Obszary, które należy zbadać, obejmują, ale nie ograniczają się do: kategoryzacji bezpieczeństwa, oceny ryzyka i skanowania podatności.
- Usługi systemowe i akwizycje: To środowisko kontroli mierzy praktyki i procesy wdrożone w celu rozwoju granicy systemu. Obszary, które należy zbadać, obejmują, ale nie ograniczają się do: alokacji zasobów, cyklu życia rozwoju systemu, procesu nabywania, dokumentacji systemu informacyjnego i zewnętrznych usług systemu informacyjnego.
- Ochrona systemów i komunikacji: Ten obszar kontroli analizuje wdrożone procesy i procedury, mierząc poziom ochrony granic systemu. Obszary podlegające analizie obejmują między innymi ochronę przed odmową usługi (DoS), ochronę granic, ustanawianie kluczy kryptograficznych, ochronę i zarządzanie nimi, urządzenia do przetwarzania grupowego, bezpieczne urządzenia do rozpoznawania nazw/adresów, architekturę udostępniania oraz izolację procesów.
- Integralność systemu i informacji: To środowisko kontroli mierzy praktyki i procesy wdrożone w celu zapewnienia integralności granic systemu. Obszary, które należy zbadać, obejmują, ale nie ograniczają się do: naprawy błędów, ochrony przed złośliwym kodem, monitorowania systemu informacyjnego oraz obsługi i przechowywania informacji.
- Zarządzanie Ryzykiem Łańcucha Dostaw: To środowisko kontrolne mierzy praktyki i procesy wdrożone w celu identyfikowania, oceniania i ograniczania ryzyka w łańcuchu dostaw ICT na wszystkich szczeblach organizacji.
Dział obsługi klienta Lazarus Alliance CNSSI 1253 zaplanuje pracę naszego zespołu tak, aby priorytetyzować tę współpracę na podstawie potrzeb naszych klientów i zagwarantować terminowe dostarczenie wymaganego pakietu zgodności, w zależności od dostępności zasobów klienta.
Kluczowe korzyści wynikające ze zgodności z normą CNSSI 1253
Osiągnięcie i utrzymanie zgodności z normą CNSSI 1253 zapewnia znaczące korzyści strategiczne, operacyjne i finansowe — zwłaszcza dla organizacji, które zarządzają systemami bezpieczeństwa narodowego (NSS) lub starają się o kontrakty z Departamentem Obrony, Wspólnotą Wywiadowczą lub innymi agencjami bezpieczeństwa narodowego.
| # | Korzyści | Wyjaśnienie |
|---|---|---|
| 1 | Uprawnienia do kontraktów na rzecz bezpieczeństwa narodowego | Norma CNSSI 1253 jest obowiązkowa dla każdego systemu przetwarzającego informacje niejawne lub wspierającego krytyczne misje bezpieczeństwa narodowego. Zgodność z normą jest warunkiem wstępnym do otrzymania zezwolenia na prowadzenie działalności (ATO) oraz pozyskania lub utrzymania kontraktów z Departamentem Obrony/Kierownictwa (DoD/IC). |
| 2 | Precyzyjna, oparta na ryzyku postawa bezpieczeństwa | W przeciwieństwie do podejścia FISMA opartego na wskaźnikach wysokiego poziomu wody, CNSSI 1253 stosuje oddzielne poziomy wpływu CIA (np. wysoki-średni-średni). Zapobiega to nadmiernej kontroli nad obszarami o niskim poziomie wpływu i zapewnia koncentrację zasobów tam, gdzie potencjał szkód jest największy. |
| 3 | Uproszczona autoryzacja w ramach RMF | Prawidłowa kategoryzacja CNSSI 1253 i wybór elementów sterujących bezpośrednio wpływają na kroki 1 i 2 NIST RMF, znacznie redukując konieczność przeróbek i przyspieszając drogę do ATO. |
| 4 | Silniejsza ochrona informacji niejawnych i CUI | Nakładki takie jak Classified Information Overlay i Space Platform Overlay dodają rygorystyczne zabezpieczenia (np. TEMPEST, COMSEC, rozwiązania międzydomenowe), które przewyższają standardowe parametry NIST 800-53. |
| 5 | Poprawiona interoperacyjność i wzajemność | Wiele agencji i dowództw bojowych uznaje pakiety zgodne ze standardem CNSSI 1253, co umożliwia szybszą wzajemność i ogranicza liczbę podwójnych ocen podczas współpracy między departamentami obrony i dowództwa wywiadowczego. |
| 6 | Oszczędność kosztów i czasu dzięki ciągłemu monitorowaniu | W połączeniu z nowoczesnymi platformami GRC (np. Continuum GRC ITAM) organizacje zgłaszają nawet 46% redukcję czasu oceny i uniknięcie „stresów” związanych z audytem na koniec roku dzięki ciągłemu gromadzeniu dowodów. |
| 7 | Zwiększona odporność cybernetyczna | Obowiązkowy ciągły monitoring, zarządzanie POA&M i planowanie reagowania na incydenty skutkują wcześniejszym wykrywaniem i szybszym usuwaniem luk w zabezpieczeniach. |
| 8 | Przewaga konkurencyjna na rynku federalnym | Udowodniona zgodność z normą CNSSI 1253 stanowi dla głównych wykonawców i urzędników ds. zakupów agencji sygnał dojrzałości, dając organizacjom przestrzegającym wymogów wyraźną przewagę w wyborze dostawców i ponownym konkurowaniu. |
| 9 | Zgodność z szerszymi inicjatywami federalnymi | Spełnia wymogi Rozporządzenia wykonawczego 14028, Memorandum w sprawie bezpieczeństwa narodowego 10 (NSM-10), wiążących dyrektyw operacyjnych CISA i nakazów architektury Zero Trust. |
| 10 | Zmniejszone ryzyko prawne i reputacyjne | Niedostosowanie się do wymogów NSS może skutkować utratą sponsoringu, rozwiązaniem umowy lub odpowiedzialnością cywilną/za fałszywe roszczenia. Pełna zgodność minimalizuje te ryzyka. |
W podsumowaniu
Zgodność z normą CNSSI 1253 to nie tylko kwestia odhaczenia pola wyboru – to strategiczny czynnik, który otwiera drzwi do wartościowych działań na rzecz bezpieczeństwa narodowego, zapewniając jednocześnie bardziej wydajny, dostosowany i odporny program bezpieczeństwa niż standardowe podejście FISMA/NIST. Organizacje, które w to inwestują, pozycjonują się jako zaufani partnerzy amerykańskiego przedsiębiorstwa bezpieczeństwa narodowego.
Referencje, na które możesz liczyć
Amerykańskie Stowarzyszenie Akredytacji Laboratoriów (A2LA) Numer akredytowanego certyfikatu ISO/IEC 17020 3822.01.
Sojusz Lazarus wykorzystuje Maszyna audytu IT Continuum GRC, metodologię Security Trifecta i Policy Machine, aby zapewnić uznawane na całym świecie „najlepsze praktyki” w zakresie ustanawiania standardów bezpieczeństwa i kontroli organizacji. Wspierają one zgodność z certyfikacjami audytowymi i ocenami opartymi na normie NIST 800-53.