Целевой аудит и оценки CNSSI 1253 и FISMA. Позвонить +1 (888) 896-7580 Cегодня!

Содержание

Услуги аудита соответствия требованиям CNSSI 1253 и FISMA | Оценки 3PAO для FedRAMP
Услуги аудита соответствия требованиям CNSSI 1253 и FISMA | Оценки 3PAO для FedRAMP

Инструкция Комитета по системам национальной безопасности № 1253 (CNSSI 1253) под названием Категоризация безопасности и выбор средств контроля для систем национальной безопасности, — это руководство федерального правительства США, выпущенное Комитетом по системам национальной безопасности (CNSS). Текущая версия руководства, выпущенная 1 августа 2022 года, содержит стандартизированные процессы оценки и обеспечения безопасности систем национальной безопасности (NSS) — информационных систем, которые обрабатывают секретную информацию или поддерживают критически важные задачи национальной безопасности, например, в сфере обороны, разведки и внутренней безопасности. Руководство дополняет специальную публикацию NIST 800-53, но адаптирует элементы управления специально для NSS, включая наложения для конфиденциальных сред, таких как секретные системы.

Lazarus Alliance, сертифицированная независимая организация по оценке (3PAO), будет напрямую сотрудничать с вашей организацией, чтобы запланировать оценку по CNSSI 1253. Наши сертифицированные оценщики 3PAO помогут определить подходящий уровень воздействия с учетом специфики бизнеса вашей компании и требований государственного регулирования.

Инструкция Комитета по системам национальной безопасности № 1253 (CNSSI 1253)

Основная цель — обеспечить конфиденциальность, целостность и доступность (триада ЦРУ) данных Национальной службы безопасности путем создания системы, основанной на оценке рисков. Она помогает федеральным министерствам, агентствам и подрядчикам:

  • Категоризировать системы на основе потенциального уровня воздействия.
  • Выбрать и реализовать соответствующие меры безопасности.
  • Обеспечивать соответствие более широким нормативным актам, таким как Закон о модернизации федеральной информационной безопасности (FISMA) и Указ президента 14028. В отличие от общих федеральных систем (регулируемых FIPS 199), CNSSI 1253 учитывает уникальные риски NSS, такие как обработка информации, составляющей национальную безопасность, которая может нанести серьезный вред в случае ее раскрытия.

Ключевые компоненты

  • Категоризация безопасности: Системы оцениваются отдельно по показателям конфиденциальности (C), целостности (I) и доступности (A), каждый из которых оценивается как низкий, средний или высокий. В результате получаются гибридные базовые уровни, такие как «умеренный-умеренный-высокий», отражающие нюансы рисков. Например, система может отдавать приоритет высокой конфиденциальности для секретных данных, но допускать более низкую доступность, если время простоя допустимо.
  • Выбор управления: Основано на базовых стандартах NIST SP 800-53 с уточнениями, специфичными для CNSSI, включая явные ассоциации и наложения CIA (например, для промышленных систем управления или секретных сред). Средства контроля охватывают 20 семейств, таких как контроль доступа (AC), аудит и подотчётность (AU) и оценка рисков (RA).
  • Наложений: Дополнительные спецификации для специализированных сценариев, такие как Наложение секретной системы (CNSSI 1253E, Приложение 5), которое добавляет требования к защите секретных данных.

Процесс аудита CNSSI 1253

Аудит по стандарту CNSSI 1253 — это структурированная оценка соответствия требованиям, часто интегрированная в систему управления рисками (RMF). Как правило, он проводится аккредитованными независимыми организациями по оценке (3PAO), например, сертифицированными по стандарту A2LA ISO/IEC 17020 на беспристрастность. Процесс включает в себя:

Шаг Описание
1. Категоризация системы Определите уровни воздействия CIA, используя рекомендации CNSSI 1253, создав эквивалентную FIPS 199 категоризацию для NSS.
2. Выбор контроля и исходные данные Выберите элементы управления NIST 800-53, соответствующие категоризации, применяя наложения CNSSI.
3. Разработка документации Создайте ключевые артефакты, такие как план безопасности системы (SSP), план оценки безопасности (SAP), план действий в чрезвычайных ситуациях (CP) и план реагирования на инциденты (IRP).
4. Оценка и тестирование Выполняйте сканирование уязвимостей, тестирование на проникновение и контрольные проверки с помощью 3PAO.
5. Составление отчетов Составьте отчет об оценке безопасности (SAR) с подробным описанием результатов, рисков и мер по устранению неполадок.
6. Авторизация и мониторинг Получите разрешение на эксплуатацию (ATO) от уполномоченного должностного лица; осуществляйте постоянный мониторинг для обеспечения постоянного соблюдения требований.

В ходе аудита особое внимание уделяется проактивной, постоянной оценке, а не периодическим проверкам, что позволяет снизить такие риски, как размывание границ, и обеспечить соответствие отчетности FISMA.

Отличия от смежных стандартов

  • По сравнению с NIST SP 800-53: CNSSI 1253 использует многомерные классификации CIA (например, «умеренный-низкий-высокий») вместо единой высшей точки и уточняет наложения для контекстов национальной безопасности.
  • По сравнению с FIPS 199: Применяется только к национальным государственным службам безопасности (секретным или критически важным), тогда как FIPS 199 охватывает общие федеральные системы.
  • Интеграция с другими стандартами CNSSI, такими как CNSSI 1015 для управления аудитом предприятия, повышает автоматизацию и зрелость аудита.

Преимущества и применимость

Аудиты по стандарту CNSSI 1253 позволяют организациям минимизировать операционные риски, получить аккредитацию для федеральных контрактов и автоматизировать соблюдение требований с помощью таких инструментов, как платформы GRC. Они крайне важны для подрядчиков, выходящих на государственные рынки, и обладают такими преимуществами, как ускоренная оценка (например, сокращение времени до 46%) и повышение уровня осведомленности о текущей ситуации. Для внедрения обратитесь к официальным документам CNSS или аккредитованным поставщикам услуг.

Эта структура развивается вместе с угрозами, как видно из последних обновлений, связанных с Меморандумом национальной безопасности № 8, направленных на улучшение состояния кибербезопасности.

Услуги аудита соответствия требованиям CNSSI 1253 и FISMA | Оценки 3PAO для FedRAMP

FAQ

Эти услуги идеально подходят для организаций частного и государственного секторов, особенно для поставщиков услуг, стремящихся выйти на государственные рынки или расширить свою деятельность на них. Они помогают минимизировать операционные риски и получить аккредитацию для ведения бизнеса с федеральными агентствами.

К основным преимуществам относится сокращение времени традиционной оценки на 46% благодаря ИТПМ SaaS-портал, экономия средств за счёт автоматизированных инструментов, круглосуточный доступ к клиентам и непрерывный аудит на базе Cybervisors™. Эта проактивная методология обеспечивает своевременное соблюдение требований без расширения объёма работ и ежегодного повышения цен.

Процесс начинается с планирования на основе ваших потребностей, за которым следует индивидуальная дорожная карта с использованием ITAM Continuum GRC Платформа и методология Proactive Cyber ​​Security™. Cybervisors™ руководит разработкой документации, оценкой уязвимостей и составлением отчётности, уделяя особое внимание непрерывному мониторингу, а не спешке в конце периода.

Пакет охватывает такие важные документы, как план безопасности системы (SSP), план действий в чрезвычайных ситуациях (CP), план реагирования на инциденты (IRP), план управления конфигурацией (CMP), оценка воздействия на конфиденциальность (PIA), категоризация безопасности FIPS 199, а также политики/процедуры для таких областей, как контроль доступа, подотчетность аудита и оценка рисков.

Услуги интегрируют ежегодные оценки FISMA, непрерывный мониторинг и контроль по всем NIST фреймворков. Как организация, аккредитованная по стандарту A2LA ISO/IEC 17020 (сертификат №3822.01), мы проводим строгие, проверяемые аудиты, соответствующие федеральным стандартам информационной безопасности и управления рисками.

В отличие от реактивных проверок, проводимых в конце периода, мы используем непрерывную модель с Cybervisors™ для поддержки на уровне консьержа, что является самым высоко оцененным SaaS-платформа ITAM для автоматизации и передовой в отрасли технической строгости. Это обеспечивает более быстрые и экономичные результаты без скрытых платежей и расширения объема работ.

Свяжитесь с нашей командой по телефону +1 (888) 896-7580, чтобы поговорить с Cybervisor™, сертифицированным NIST 800-53. Мы назначим первичную консультацию, чтобы оценить ваши потребности, разработать индивидуальный план действий и предоставить круглосуточный доступ к ИТПМ портал для немедленного прогресса.

Поговорите с одним из наших экспертов

Наши команды Lazarus Alliance Cybervisor™ имеют опыт проведения тысяч оценок для организаций, предоставляющих услуги клиентам по всему миру.

Мы здесь, чтобы ответить на любые ваши вопросы.

Загрузите брошюру нашей компании.

Услуги аудита соответствия требованиям CNSSI 1253 и FISMA | Оценки 3PAO для FedRAMP

Обзор CNSSI 1253

Lazarus Alliance предоставляет надежную дорожную карту для ваших требований к оценке CNSSI 1253 с помощью нашей ведущей технологии на основе ITAM Continuum GRC Платформа SaaS в сочетании с нашей методологией обслуживания Proactive Cyber Security™.

Система целостно состоит из Технологии, Людей, Процессов и Данных, используемых для завершения предоставляемых услуг. Авторизация CNSSI 1253 разработана для обеспечения комфорта по следующим принципам, описанным вкратце:

  • Контроль доступа: Эта контрольная среда измеряет функции безопасности системной границы, которые контролируют права доступа и ресурсы. Области, которые необходимо изучить, включают, но не ограничиваются: управление учетными записями, обеспечение доступа, неудачные попытки входа, уведомление об использовании системы, разрешенные действия, разрешенные действия без идентификации/авторизации, удаленный доступ, беспроводной доступ, контроль доступа для мобильных устройств, использование внешних информационных систем и общедоступный контент.
  • Информированность и обучение: Эта контрольная среда измеряет обучение по безопасности, которое организация имеет в отношении границ системы. Области, которые следует изучить, включают, но не ограничиваются: осведомленность по безопасности, обучение по безопасности и записи обучения по безопасности.
  • Аудит и подотчетность: Эта контрольная среда измеряет имеющиеся ресурсы для измерения и поддержания подотчетных аудиторских практик на границе системы. Области, которые необходимо изучить, включают, но не ограничиваются: события аудита, содержание записей аудита, хранилище и емкость аудита, реагирование на сбои в обработке аудита, процесс проверки аудита, временные метки и защита информации аудита, сохранение записей аудита и генерация аудита.
  • Оценка, авторизация и мониторинг: Эта контрольная среда изучает, как организации оценивают средства контроля в системах и средах, в которых эти системы работают в рамках первоначальных и текущих авторизаций, постоянного мониторинга, ежегодных оценок FISMA, проектирования и разработки систем, проектирования безопасности систем, проектирования конфиденциальности и жизненного цикла разработки систем.
  • Управление конфигурацией: Эта контрольная среда проверяет конфигурации вокруг границы системы. Области, которые необходимо проверить, включают, но не ограничиваются: базовые конфигурации, анализ влияния на безопасность, параметры конфигурации, минимальная функциональность, инвентаризация компонентов информационной системы, ограничения использования программного обеспечения и программное обеспечение, установленное пользователем.
  • Планирование на случай непредвиденных: Эта контрольная среда проверяет процессы организации вокруг непредвиденных обстоятельств. Области, которые необходимо проверить, включают, но не ограничиваются: план действий в непредвиденных обстоятельствах, обучение действиям в непредвиденных обстоятельствах, тестирование плана, резервное копирование информационной системы, а также восстановление и переустройство информационной системы.
  • Идентификация и аутентификация: Эта область контроля проверяет процедуры и инструменты, используемые для идентификации и аутентификации пользователей, которым предоставлен доступ к границе системы. Области, которые необходимо проверить, включают, но не ограничиваются: идентификацией и аутентификацией, управлением идентификаторами, управлением аутентификаторами, обратной связью аутентификаторов и аутентификацией криптографических модулей.
  • Реакция на инцидент: Эта область контроля изучает процесс и практику на месте для обработки и реагирования на инциденты в границах системы. Области, которые должны быть проверены, включают, но не ограничиваются: обучение реагированию на инциденты, обработку, мониторинг, отчетность, помощь в реагировании и план реагирования на инциденты.
  • Техническое обслуживание: В этой области контроля анализируются процессы и процедуры, обеспечивающие контролируемое обслуживание в рамках системы. К рассматриваемым областям относятся, помимо прочего, контролируемое обслуживание, нелокальное обслуживание и обслуживающий персонал.
  • Защита СМИ: В этой области контроля проверяются процессы и процедуры, обеспечивающие надлежащую защиту системных носителей информации. К проверяемым областям относятся, помимо прочего, доступ к носителям, их очистка и утилизация.
  • Физические и экологические: В этой области контроля проверяются действующие процессы и процедуры, обеспечивающие надлежащую физическую и экологическую защиту границ системы. К проверяемым областям относятся, помимо прочего, контроль и авторизация физического доступа, мониторинг физического доступа, учёт доступа посетителей, аварийное освещение, противопожарная защита, контроль температуры и влажности, защита от затопления, а также доставка и вывоз.
  • Планирование: В этой области контроля анализируются процессы, применяемые для надлежащего планирования границ системы. К рассматриваемым областям относятся, помимо прочего, план безопасности системы и правила поведения.
  • Программа управления: Эта контрольная среда измеряет статус организации в разработке и внедрении общеорганизационной программы информационной безопасности для решения вопросов информационной безопасности информации и информационных систем, которые поддерживают операции и активы организации, включая те, которые предоставляются или управляются другой организацией, подрядчиком или другим источником.
  • Кадровая безопасность: Эта контрольная среда измеряет существующие практики и процессы, которые проверяют, отбирают и оценивают персонал, назначенный на периметр системы. Области, подлежащие проверке, включают, помимо прочего: определение рисков, связанных с должностью; проверку, увольнение и перевод персонала; соглашения о доступе, сторонний персонал и кадровые санкции.
  • Обработка и прозрачность персонально идентифицируемой информации: Данная контрольная среда измеряет Персонально идентифицируемую информацию; любое представление информации, позволяющее обоснованно установить личность лица, к которому относится эта информация, прямыми или косвенными способами.
  • Оценка рисков: Эта область контроля проверяет процесс и процедуры на месте, которые измеряют риск и уязвимости границы системы. Области, которые необходимо проверить, включают, но не ограничиваются: категоризацией безопасности, оценкой риска и сканированием уязвимостей.
  • Системные услуги и приобретение: Эта контрольная среда измеряет практики и процессы, имеющиеся для разработки границ системы. Области, которые должны быть проверены, включают, но не ограничиваются: распределением ресурсов, жизненным циклом разработки системы, процессом приобретения, документацией информационной системы и внешними службами информационной системы.
  • Защита системы и коммуникаций: В этой области контроля анализируются используемые процессы и процедуры, которые измеряют уровень защиты границ системы. К рассматриваемым областям относятся, помимо прочего, защита от отказа в обслуживании, защита границ, создание, защита и управление криптографическими ключами, устройства для совместной работы, устройства для безопасного разрешения имён/адресов, архитектура обеспечения и изоляция процессов.
  • Целостность системы и информации: Эта контрольная среда измеряет практики и процессы на месте для обеспечения целостности границ системы. Области, которые должны быть проверены, включают, но не ограничиваются: устранение недостатков, защита от вредоносного кода, мониторинг информационной системы, а также обработка и сохранение информации.
  • Управление рисками цепочки поставок: Эта контрольная среда измеряет существующие практики и процессы для выявления, оценки и снижения рисков в цепочке поставок ИКТ на всех уровнях организаций.

Служба поддержки клиентов Lazarus Alliance CNSSI 1253 составит график работы нашей команды таким образом, чтобы определить приоритеты этого взаимодействия на основе потребностей наших клиентов и обеспечить своевременную доставку требуемого пакета мер по обеспечению соответствия при условии наличия у клиента ресурсов.

Услуги Lazarus Alliance

Основные преимущества соответствия CNSSI 1253

Достижение и поддержание соответствия стандарту CNSSI 1253 обеспечивает значительные стратегические, операционные и финансовые преимущества, особенно для организаций, которые работают с системами национальной безопасности (NSS) или заключают контракты с Министерством обороны, разведывательным сообществом или другими агентствами национальной безопасности.

# Польза объяснение
1 Право на контракты в сфере национальной безопасности Стандарт CNSSI 1253 является обязательным для любой системы, обрабатывающей секретную информацию или поддерживающей критически важные миссии национальной безопасности. Соблюдение этого стандарта является обязательным условием для получения разрешения на эксплуатацию (ATO) и заключения или сохранения контрактов с Министерством обороны США и Министерством внутренней безопасности США.
2 Точная позиция безопасности, основанная на оценке рисков В отличие от подхода FISMA, основанного на максимальном уровне воздействия, CNSSI 1253 использует отдельные уровни воздействия CIA (например, высокий-умеренный-умеренный). Это предотвращает чрезмерный контроль над территориями с низким уровнем воздействия и обеспечивает концентрацию ресурсов там, где потенциальный ущерб наибольший.
3 Упрощенная авторизация в рамках RMF Правильная категоризация и выбор элементов управления CNSSI 1253 напрямую соответствуют этапам 1 и 2 NIST RMF, значительно сокращая объем доработок и ускоряя путь к ATO.
4 Более надежная защита секретной и конфиденциальной информации Такие наложения, как Classified Information Overlay и Space Platform Overlay, добавляют строгие меры безопасности (например, TEMPEST, COMSEC, междоменные решения), которые превосходят стандартные базовые показатели NIST 800-53.
5 Улучшенная совместимость и взаимность Многие агентства и боевые командования признают пакеты, соответствующие стандарту CNSSI 1253, что позволяет ускорить взаимодействие и сократить число дублирующих оценок при работе в разных подразделениях Министерства обороны и IC.
6 Экономия средств и времени благодаря постоянному мониторингу При использовании современных платформ GRC (например, Continuum GRC ITAM) организации сообщают о сокращении времени оценки до 46% и избегании «сжатых сроков» аудита в конце года за счет непрерывного сбора доказательств.
7 Повышенная киберустойчивость Обязательный непрерывный мониторинг, управление POA&M и планирование реагирования на инциденты приводят к более раннему обнаружению и более быстрому устранению уязвимостей.
8 Конкурентное преимущество на федеральном рынке Продемонстрированное соответствие стандарту CNSSI 1253 является для генеральных подрядчиков и должностных лиц агентств по закупкам сигналом о зрелости, предоставляя организациям, соблюдающим требования, явное преимущество при выборе источника поставок и повторных конкурсах.
9 Согласование с более широкими федеральными инициативами Соответствует требованиям Указа президента 14028, Меморандума о национальной безопасности № 10 (NSM-10), Обязательных оперативных директив CISA и мандатов архитектуры Zero Trust.
10 Снижение правовых и репутационных рисков Несоблюдение требований NSS может привести к потере спонсорства в связи с очисткой, расторжению контракта или гражданской/ложной ответственности. Полное соблюдение этих рисков снижает эти риски.

В итоге

Соответствие стандарту CNSSI 1253 — это не просто галочка, а стратегический инструмент, открывающий путь к важной работе в сфере национальной безопасности, обеспечивая при этом более эффективную, индивидуализированную и устойчивую программу безопасности, чем стандартные подходы FISMA/NIST. Организации, инвестирующие в эту программу, позиционируют себя как надежные партнеры национальной безопасности США.

Репутация, на которую вы можете положиться

Услуги проактивной кибербезопасности, аккредитации и оценки Lazarus Alliance.

Американская ассоциация по аккредитации лабораторий (A2LA) аккредитованный номер сертификата ISO/IEC 17020 3822.01.

Lazarus Alliance использует Машина ИТ-аудита Continuum GRC, методология Security Trifecta и Policy Machine для предоставления международно признанных «передовых практик» по внедрению стандартов и средств контроля безопасности в организациях. Они обеспечивают соответствие требованиям аудита, сертификации и оценки на основе NIST 800-53.

Мы хотим стать вашим партнёром и оценщиком соответствия требованиям CNSSI 1253! Для получения дополнительной информации позвоните нам. 1-888-896-7580 .