Lazarus Alliance: Проактивные услуги по аудиту в соответствии со стандартами NIST CSF и 800-53. Позвонить +1 (888) 896-7580 Cегодня!

Аудит и оценка в соответствии со стандартами CSF и NIST 800-53; мы готовы, когда будете готовы вы! Позвоните нам сегодня по номеру +1 (888) 896-7580.
Аудит и оценка в соответствии со стандартами CSF и NIST 800-53; мы готовы, когда будете готовы вы! Позвоните нам сегодня по номеру +1 (888) 896-7580.

Процесс предварительной оценки Lazarus Alliance предоставляет организациям целенаправленный и эффективный анализ их программы NIST CSF 2.0 путем непосредственного изучения базовых мер контроля NIST SP 800-53 посредством тщательного валидационного тестирования. Будучи аккредитованной лабораторией A2LA и сертифицированным сторонним аудитором, Lazarus Alliance использует свои услуги по оценке и валидации мер безопасности (SCA-V) и собственную платформу Continuum GRC IT Audit Machine™ (ITAM) для сопоставления высокоуровневой, ориентированной на результат системы CSF (106 подкатегорий) с подробными, предписывающими мерами контроля в NIST 800-53 Rev. 5.

NIST CSF организует свою основную структуру в виде 6 высокоуровневых функций и 22 категорий (категории находятся под функциями и содержат 106 подкатегорий).

Компания Lazarus Alliance, сертифицированная независимая организация по оценке (3PAO), будет напрямую сотрудничать с вашей организацией для планирования оценки соответствия стандартам NIST CSF и 800-53. Наши сертифицированные оценщики 3PAO помогут определить соответствующий уровень воздействия, исходя из уникальных бизнес-требований вашей компании и требований государственного регулирования.

Следующая матрица представляет собой необходимые функции для достижения CSF соблюдение.

Аудит и оценка в соответствии со стандартами CSF и NIST 800-53; мы готовы, когда будете готовы вы! Позвоните нам сегодня по номеру +1 (888) 896-7580.
  • Правительство (GV): В организации разрабатываются, доводятся до сведения и контролируются стратегия, ожидания и политика управления рисками в области кибербезопасности.
  • Идентификатор (ID): Текущие риски кибербезопасности для организации понятны.
  • Защитить (PR): Для управления рисками кибербезопасности организации используются соответствующие меры защиты.
  • Обнаружить (DE): Выявляются и анализируются возможные кибератаки и нарушения кибербезопасности.
  • Ответить (РС): Принимаются меры в связи с выявленным инцидентом кибербезопасности.
  • Восстановление (RC): Активы и операции, пострадавшие в результате инцидента в сфере кибербезопасности, восстанавливаются.

Следующая матрица представляет собой необходимые функции для достижения 800-53 соблюдение.

Аудит и оценка в соответствии со стандартами CSF и NIST 800-53; мы готовы, когда будете готовы вы! Позвоните нам сегодня по номеру +1 (888) 896-7580.

Система целостно состоит из Технологии, Людей, Процессов и Данных, используемых для завершения предоставляемых услуг. Сертификация 800-53 предназначена для обеспечения комфорта по следующим принципам, описанным вкратце:

  • Контроль доступа: Эта контрольная среда измеряет функции безопасности системной границы, которые контролируют права доступа и ресурсы. Области, которые необходимо изучить, включают, но не ограничиваются: управление учетными записями, обеспечение доступа, неудачные попытки входа, уведомление об использовании системы, разрешенные действия, разрешенные действия без идентификации/авторизации, удаленный доступ, беспроводной доступ, контроль доступа для мобильных устройств, использование внешних информационных систем и общедоступный контент.
  • Информированность и обучение: Эта контрольная среда измеряет обучение по безопасности, которое организация имеет в отношении границ системы. Области, которые следует изучить, включают, но не ограничиваются: осведомленность по безопасности, обучение по безопасности и записи обучения по безопасности.
  • Аудит и подотчетность: Эта контрольная среда измеряет имеющиеся ресурсы для измерения и поддержания подотчетных аудиторских практик на границе системы. Области, которые необходимо изучить, включают, но не ограничиваются: события аудита, содержание записей аудита, хранилище и емкость аудита, реагирование на сбои в обработке аудита, процесс проверки аудита, временные метки и защита информации аудита, сохранение записей аудита и генерация аудита.
  • Оценка, авторизация и мониторинг: Эта контрольная среда изучает, как организации оценивают средства контроля в системах и средах, в которых эти системы работают в рамках первоначальных и текущих авторизаций, постоянного мониторинга, ежегодных оценок FISMA, проектирования и разработки систем, проектирования безопасности систем, проектирования конфиденциальности и жизненного цикла разработки систем.
  • Управление конфигурацией: Эта контрольная среда проверяет конфигурации вокруг границы системы. Области, которые необходимо проверить, включают, но не ограничиваются: базовые конфигурации, анализ влияния на безопасность, параметры конфигурации, минимальная функциональность, инвентаризация компонентов информационной системы, ограничения использования программного обеспечения и программное обеспечение, установленное пользователем.
  • Планирование на случай непредвиденных: Эта контрольная среда проверяет процессы организации вокруг непредвиденных обстоятельств. Области, которые необходимо проверить, включают, но не ограничиваются: план действий в непредвиденных обстоятельствах, обучение действиям в непредвиденных обстоятельствах, тестирование плана, резервное копирование информационной системы, а также восстановление и переустройство информационной системы.
  • Идентификация и аутентификация: Эта область контроля проверяет процедуры и инструменты, используемые для идентификации и аутентификации пользователей, которым предоставлен доступ к границе системы. Области, которые необходимо проверить, включают, но не ограничиваются: идентификацией и аутентификацией, управлением идентификаторами, управлением аутентификаторами, обратной связью аутентификаторов и аутентификацией криптографических модулей.
  • Реакция на инцидент: Эта область контроля изучает процесс и практику на месте для обработки и реагирования на инциденты в границах системы. Области, которые должны быть проверены, включают, но не ограничиваются: обучение реагированию на инциденты, обработку, мониторинг, отчетность, помощь в реагировании и план реагирования на инциденты.
  • Обслуживание: В этой области контроля анализируются процессы и процедуры, обеспечивающие контролируемое обслуживание в рамках системы. К рассматриваемым областям относятся, помимо прочего, контролируемое обслуживание, нелокальное обслуживание и обслуживающий персонал.
  • Защита СМИ: В рамках данного контрольного направления изучаются процессы и процедуры, обеспечивающие надлежащую защиту носителей информации в системе. К числу рассматриваемых областей относятся, помимо прочего: доступ к носителям информации, их очистка и утилизация.
  • Физические и экологические: В этой зоне контроля изучаются существующие процессы и процедуры, обеспечивающие надлежащую физическую и экологическую защиту границ системы. К проверяемым областям относятся, помимо прочего: контроль и авторизация физического доступа, мониторинг физического доступа, учет доступа посетителей, аварийное освещение, противопожарная защита, контроль температуры и влажности, защита от повреждений водой, а также доставка и вывоз.
  • Планирование: В этой области контроля анализируются процессы, применяемые для надлежащего планирования границ системы. К рассматриваемым областям относятся, помимо прочего, план безопасности системы и правила поведения.
  • Программа управления: Эта контрольная среда измеряет статус организации в разработке и внедрении общеорганизационной программы информационной безопасности для решения вопросов информационной безопасности информации и информационных систем, которые поддерживают операции и активы организации, включая те, которые предоставляются или управляются другой организацией, подрядчиком или другим источником.
  • Кадровая безопасность: Эта контрольная среда измеряет существующие практики и процессы, которые проверяют, отбирают и оценивают персонал, назначенный на периметр системы. Области, подлежащие проверке, включают, помимо прочего: определение рисков, связанных с должностью; проверку, увольнение и перевод персонала; соглашения о доступе, сторонний персонал и кадровые санкции.
  • Обработка и прозрачность персонально идентифицируемой информации: Данная контрольная среда измеряет Персонально идентифицируемую информацию; любое представление информации, позволяющее обоснованно установить личность лица, к которому относится эта информация, прямыми или косвенными способами.
  • Оценка рисков: Эта область контроля проверяет процесс и процедуры на месте, которые измеряют риск и уязвимости границы системы. Области, которые необходимо проверить, включают, но не ограничиваются: категоризацией безопасности, оценкой риска и сканированием уязвимостей.
  • Системные услуги и приобретение: Данная контрольная среда оценивает методы и процессы, используемые для разработки границ системы. К областям, подлежащим изучению, относятся, помимо прочего: распределение ресурсов, жизненный цикл разработки системы, процесс приобретения, документация информационной системы и внешние услуги информационной системы.
  • Защита системы и коммуникаций: В этой области контроля изучаются существующие процессы и процедуры, обеспечивающие защиту границ системы. К проверяемым областям относятся, помимо прочего, защита от атак типа «отказ в обслуживании», защита границ системы, установление, защита и управление криптографическими ключами, устройства для совместных вычислений, устройства безопасного разрешения имен/адресов, архитектура предоставления ресурсов и изоляция процессов.
  • Целостность системы и информации: Эта контрольная среда измеряет практики и процессы на месте для обеспечения целостности границ системы. Области, которые должны быть проверены, включают, но не ограничиваются: устранение недостатков, защита от вредоносного кода, мониторинг информационной системы, а также обработка и сохранение информации.
  • Управление рисками цепочки поставок: Эта контрольная среда измеряет существующие практики и процессы для выявления, оценки и снижения рисков в цепочке поставок ИКТ на всех уровнях организаций.

Служба поддержки клиентов Lazarus Alliance (800-53) спланирует работу нашей команды таким образом, чтобы определить приоритетность данного проекта в зависимости от потребностей клиента и обеспечить своевременную доставку необходимого пакета документов, соответствующих требованиям, при условии наличия ресурсов у клиента.

    Аудит и оценка в соответствии со стандартами CSF и NIST 800-53; мы готовы, когда будете готовы вы! Позвоните нам сегодня по номеру +1 (888) 896-7580.

    График аудита: чего ожидать от Lazarus Alliance

    Совместная оценка NIST CSF 2.0 + NIST SP 800-53, проведенная Lazarus Alliance. использует наш SCA-V (Оценка и подтверждение эффективности мер безопасности) услуга. Мы подтверждаем результаты вашей программы CSF путем тщательного тестирования базовых контрольных образцов NIST 800-53 Rev. 5 (с помощью официальных справочных сопоставлений и процедур оценки NIST SP 800-53A).

    Типичный график (от начала работ до финальной поисково-спасательной операции)

    Всего 6–12 недель — ускорено 46%. по сравнению с традиционными ручными проверками благодаря своей запатентованной технологии. Continuum GRC IT Audit Machine™ (ITAM) платформа, методология критического пути и консультационная поддержка Cybervisor™.

    • Самый быстрый реалистичный временной промежуток (хорошо подготовленный клиент с предварительно загруженными доказательствами и полной автоматизацией): ~6–8 недель
    • Средний срок (большинство организаций): 8-10 недель (включая незначительные работы по устранению загрязнения)
    • Самая длинная общая временная шкала: 10–12+ недель (сложные задачи, большие площадки или обширные планы действий и ремонта)

    Подробный план аудита и соответствия требованиям NIST в рамках концепции кибербезопасности (NIST Cybersecurity Framework, CSF) и стандарта NIST SP 800-53.

    Компания Lazarus Alliance использует структурированный 6-этапный процесс для проведения аудитов NIST CSF + 800-53 (умеренный/высокий базовый уровень), оценки пробелов и поддержки непрерывного авторизации.

    Фаза Действия Типичная продолжительность Основные результаты и инструменты
    Этап 0 – Предварительное взаимодействие и принятие решения Первичная консультация, определение объема работ, соглашение о неразглашении и договор об оказании услуг. 1-2 недель Подписаны техническое задание, устав проекта и доступ к порталу Continuum GRC.
    Этап 1 – Начало и определение объема работ Вводное совещание, картирование основных функций спинномозговой жидкости (идентификация, защита, обнаружение, реагирование, восстановление), выбор базового уровня контроля 800-53. Неделя 0–1 Завершенный документ NIST CSF + 800-53, список необходимых документов, список запрашиваемых документов.
    Этап 2 – Оценка пробелов и сбор доказательств Оценка текущего состояния, анализ пробелов по сравнению с контрольными группами CSF и 800-53, загрузка доказательств. Недели 1–5 Полный пакет подтверждающих документов в рамках системы Continuum GRC, подробный план устранения выявленных недостатков.
    Этап 3 – Устранение недостатков и проверка Поддержка по устранению неполадок, внедрение средств контроля, обновление политик и повышение уровня защиты конфигурации. Недели 5–9 Проверенные средства контроля, обновленные стандартные операционные процедуры и записи об обучении.
    Этап 4 – Полевые исследования и тестирование для оценки знаний. Контрольное тестирование, интервью, оценка уязвимостей, тестирование на проникновение, имитационные аудиты. Недели 9–12 Результаты тестирования, предварительный отчет о результатах и ​​панели мониторинга в режиме реального времени.
    Этап 5 – Отчетность, сертификация и текущее техническое обслуживание Подготовка окончательного отчета, устранение выявленных недостатков, план непрерывного мониторинга и планирование ежегодной оценки. Недели 12–14 + продолжается Итоговый отчет о соответствии стандартам NIST CSF + 800-53, пакет документов для подтверждения соответствия, план непрерывного мониторинга Cybervisor™.

    Почему клиенты завершают проекты быстрее с Lazarus Alliance: Наша методология Proactive Cyber ​​Security®, платформа Cybervisor™ и автоматизация Continuum GRC обычно сокращают время оценки NIST CSF + 800-53 на 40–50%, обеспечивая при этом более качественную, обоснованную документацию и непрерывное соответствие требованиям.

    Полезный совет от Альянса Лазаруса: Начните с Бесплатная консультация Cybervisor™ и загрузить подтверждающие документы за 2–4 недели до начала матча, чтобы пройти ускоренный 6–8-недельный срок. Постоянный мониторинг через систему управления ИТ-активами позволяет еще быстрее проводить повторные оценки в будущем.
    Этот график применим независимо от того, нужен ли вам Предварительная оценка с акцентом на спинномозговую жидкость (анализ пробелов по 106 подкатегориям с помощью валидации 800-53) или полный NIST 800-53 SCA-V для FISMA, FedRAMP, RMFили для целей ATO. Процесс тот же; CSF обеспечивает стратегические результаты; 800-53 предоставляет проверяемые средства контроля.

    Если ваша среда особенно сложна или вам нужна индивидуальная смета/сроки выполнения, исходя из объема работ, свяжитесь с нами для бесплатной консультации по определению объема работ. Зачастую мы можем еще больше сократить его с помощью нашей системы автоматизации Continuum GRC.

    Часто задаваемые вопросы (FAQ)

    НИСТ CSF 2.0 CSF включает 106 подкатегорий (результаты высокого уровня), в то время как базовый стандарт NIST 800-53 Moderate содержит 287 контрольных показателей (включая улучшения). CSF — это не каталог контрольных показателей, а система оценки результатов, которая напрямую соотносится с контрольными показателями 800-53 через официальные информационные ссылки.

    NIST предоставляет официальные информационные ссылки (через программу OLIR и инструмент CPRT), которые связывают каждую подкатегорию CSF с конкретными мерами контроля 800-53. Один результат CSF может соответствовать нескольким мерам контроля 800-53, и наоборот. Это делает две структуры весьма взаимодополняющими: CSF для стратегии и 800-53 для детальной, поддающейся аудиту реализации.

    Типичный альянс Лазаря, объединенный НИСТ CSF 2.0 + Прохождение оценки по стандарту NIST 800-53 занимает от 6 до 12 недель, при этом хорошо подготовленные клиенты завершают ее за 6–8 недель. Их собственная разработка IT Audit Machine™ (ITAM) Методология Security Trifecta ускоряет этот процесс до 46% по сравнению с традиционными аудитами.

    Аккредитованная компанией Lazarus Alliance услуга SCA-V включает в себя определение масштаба проблемы, сбор доказательств и т.д. ИТПМАвтоматизированное и ручное тестирование (сканирование, опросы, тестирование на проникновение), оценка результатов, полный отчет об оценке безопасности (SAR) и, при необходимости, проверка эффективности мер по устранению уязвимостей. Как аккредитованная A2LA компания, предоставляющая услуги по оценке безопасности сторонних организаций (3PAO), они гарантируют обоснованные результаты в соответствии с требованиями FISMA, RMF или коммерческими стандартами.

    Lazarus Alliance — это аккредитованная A2LA компания, предоставляющая услуги по автоматизации сторонних организаций (3PAO), с собственной системой автоматизации.ИТПМ) и консультационные группы Cybervisor™, которые обеспечивают более быстрые и точные оценки. Они органично связывают результаты CSF с мерами контроля 800-53, обеспечивают непрерывный мониторинг и помогли организациям получить разрешения на эксплуатацию и авторизацию FedRAMP с экономией времени на 46%.

    НИСТ CSF 2.0 Это добровольное требование для всех организаций, но оно широко распространено как де-факто стандарт управления рисками в сфере кибербезопасности. Многие регулирующие органы, клиенты и страховщики ссылаются на него, что делает его необходимым для демонстрации должной осмотрительности, даже если это строго не требуется законом.

    Начните с бесплатной консультации по Cybervisor™, соберите свой план обеспечения безопасности (SSP), политики и документы и загрузите их на платформу ITAM на раннем этапе. Сосредоточьтесь на сопоставлении вашего текущего профиля CSF с элементами контроля 800-53 и устранении любых пробелов, выявленных в ходе предварительной оценки. Lazarus Alliance оказывает полную поддержку от планирования до авторизации и непрерывного мониторинга.

      Матрица NIST CSF 2.0, содержащая 6 функций и 22 категории.

      Преимущества соответствия стандартам NIST CSF и NIST 800-53

      Комплексный аудит NIST CSF 2.0 + NIST SP 800-53 (Часто предоставляемая в рамках услуги SCA-V от Lazarus Alliance) дает гораздо больше, чем просто галочку соответствия. Она подтверждает, что ваши основные результаты CSF подкреплены реальными, проверенными средствами контроля 800-53, что приводит к измеримым улучшениям в области безопасности, эффективности и ценности для бизнеса.

      Вот основные преимущества Организации постоянно осознают:

      • Повышение уровня кибербезопасности и устойчивости: Вы переходите от реактивного, формального подхода к безопасности к проактивной, ориентированной на результат защите. Аудит выявляет пробелы в 6 функциях CSF и 22 категориях, а затем подтверждает их устранение с помощью эффективных мер контроля 800-53 (например, контроль доступа, реагирование на инциденты, непрерывный мониторинг), что снижает вероятность и последствия нарушений.
      • Улучшение управления рисками и определение приоритетов: Профили CSF, основанные на оценке рисков, в сочетании с подробными средствами контроля 800-53 позволяют получить четкое представление о текущем состоянии рисков по сравнению с целевым. Вы можете расставить приоритеты для рисков с высоким уровнем воздействия, адаптировать средства контроля к вашей конкретной среде (базовый уровень: низкий/умеренный/высокий) и интегрировать кибербезопасность в управление рисками предприятия.
      • Соблюдение нормативных и договорных требований (FISMA, FedRAMP, RMFи т. д.): Аудит предоставляет убедительные доказательства для получения разрешения на эксплуатацию (ATO), соответствия требованиям FedRAMP, DoD RMF и другим нормативным актам. Он также легко согласуется с HIPAA, CMMC, ISO 27001, SOC 2 и другими стандартами, часто удовлетворяя требованиям нескольких нормативных документов в рамках одной проверки.
      • Конкурентное преимущество и доверие заинтересованных сторон: Клиенты, партнеры, страховщики и регулирующие органы видят документальное подтверждение высокого уровня кибербезопасности. Многие федеральные и коммерческие контракты теперь требуют или предпочитают программы, соответствующие стандартам NIST, что дает вам преимущество в тендерах и переговорах.
      • Эффективность эксплуатации и экономия средств: Автоматизированный сбор доказательств, анализ пробелов и непрерывный мониторинг сокращают объем ручной работы. Как правило, организации отмечают ускорение оценок на 30–46% и снижение долгосрочных затрат на соблюдение нормативных требований за счет устранения избыточных мер контроля и дублирующих аудитов.
      • Управление, надзор и непрерывное совершенствование: Новая функция «Управление» в CSF 2.0 обеспечивает подотчетность на уровне руководства. Вы получаете отчет об оценке безопасности (SAR), план действий и мониторинга (POA&M) и оценку зрелости, которые напрямую способствуют постоянному совершенствованию — превращая разовые проверки в постоянно действующую программу кибербезопасности.
      • Более быстрые и эффективные результаты с Lazarus Alliance: Компания Lazarus Alliance, являясь аккредитованной A2LA организацией, предоставляющей услуги по управлению сторонними предприятиями (3PAO), использует следующие методы: IT Audit Machine™ (ITAM) использование платформы и методологии Security Trifecta для проведения полного обследования CSF + 800-53. 6-12 недель (часто 6–8 недель для подготовленных клиентов). Вы также получаете круглосуточный доступ к порталу, проактивный непрерывный мониторинг и, по желанию, проверку на наличие недостатков — и все это за гораздо меньшее время и стоимость, чем при традиционных ручных аудитах.

      Короче говоря, аудит не просто доказывает соответствие требованиям — он создает более безопасную, гибкую и заслуживающую доверия организацию. при этом экономя время и деньги.

      Многие клиенты начинают с Бесплатная консультация и предварительная оценка с использованием системы Cybervisor™ чтобы точно определить, в чем заключаются их недостатки, прежде чем приступать к полномасштабному аудиту.

      Матрица NIST CSF 2.0, содержащая 6 функций и 22 категории.

      Поговорите с одним из наших экспертов

      Наши команды Lazarus Alliance Cybervisor™ имеют опыт проведения тысяч оценок для организаций, предоставляющих услуги клиентам по всему миру.

      Мы здесь, чтобы ответить на любые ваши вопросы.

      Загрузите брошюру нашей компании.

      Матрица NIST CSF 2.0, содержащая 6 функций и 22 категории.

      Репутация, на которую вы можете положиться

      Матрица NIST CSF 2.0, содержащая 6 функций и 22 категории.

      Американская ассоциация по аккредитации лабораторий (A2LA) аккредитованный номер сертификата ISO/IEC 17020 3822.01.

      Lazarus Alliance использует Машина ИТ-аудита Continuum GRCМетодология Security Trifecta и Policy Machine позволяют внедрять признанные на международном уровне «лучшие практики» для установления стандартов и мер контроля безопасности организации. Они обеспечивают соответствие требованиям сертификации и оценки на основе NIST CSF и NIST 800-53.

      Мы хотим стать вашим партнером и предпочтительным оценщиком соответствия требованиям CSF! Для получения дополнительной информации, пожалуйста, позвоните нам. 1-888-896-7580 .