Аудиты и сертификация соответствия требованиям CJIS | Эксперты по политике безопасности CJIS ФБР - Lazarus Alliance. Звоните +1 (888) 896-7580 прямо сейчас

Официальные аудиты соответствия требованиям ФБР по защите информации и информации (CJIS) от Lazarus Alliance, аккредитованного A2LA (сертификат № 3822.01). Оценка пробелов, сертификация и постоянная поддержка с помощью IT Audit Machine™. Звоните +1 (888) 896-7580.

Федеральное бюро расследований (ФБР) создало Политика безопасности Службы информации об уголовном правосудии (CJIS) обеспечить защиту конфиденциальной информации уголовного правосудия (CJI) в правоохранительных органах и связанных с ними организациях. Lazarus Alliance, компания, аккредитованная по стандарту A2LA ISO/IEC 17020, напрямую сотрудничает с вашей организацией для планирования и проведения аудитов на соответствие требованиям CJIS.

Наши сертифицированные специалисты 3PAO Cybervisors™ оценят ваши средства безопасности на соответствие требованиям CJIS, адаптируя оценку к конкретным операционным потребностям вашей организации. После успешной демонстрации соответствия ваша организация получит сертификат политики безопасности CJIS, гарантирующий надежную защиту CJIS.

Cybervisors™ — высококвалифицированные специалисты по кибербезопасности из Lazarus Alliance, сертифицированные для проведения аудитов и оценок, включая оценку соответствия требованиям CJIS. Они сочетают глубокие познания в таких фреймворках безопасности, как NIST SP 800-53 и политика безопасности CJIS, с практическим опытом, помогая организациям в сложных процессах обеспечения соответствия требованиям. Используя такие инструменты, как Машина аудита ИТ (ITAM)Кибервизоры оптимизируют сбор доказательств, управление рисками и составление отчетов, обеспечивая точные и эффективные результаты, соответствующие потребностям каждого клиента.

Информационные службы уголовного правосудия (CJIS)

Политика безопасности Службы информации в области уголовного правосудия (CJIS) ФБР представляет собой комплексный набор стандартов, разработанных для защиты конфиденциальной информации в области уголовного правосудия (CJI), включая отпечатки пальцев, сведения о судимостях и данные проверки биографических данных, доступ к которым осуществляется через системы CJIS ФБР. Разработанная Отделом CJIS ФБР, эта политика обеспечивает конфиденциальность, целостность и доступность CJI для авторизованных пользователей, таких как правоохранительные органы, организации уголовного правосудия и утвержденные организации, не связанные с уголовным правосудием (например, поставщики услуг, проводящие проверку биографических данных).

Политика безопасности CJIS описывает 13 областей политики, основанных на NIST SP 800-53, в том числе:

  • Контроль доступа: ограничение доступа к системе для авторизованных пользователей с надлежащей аутентификацией (например, многофакторная аутентификация).
  • Осведомленность и обучение: Обязательное регулярное обучение по кибербезопасности для персонала, работающего с CJI.
  • Реакция на инцидент: Требование наличия планов по обнаружению, сообщению и устранению инцидентов безопасности.
  • Шифрование: Обеспечение защиты данных при передаче и хранении с использованием надежных криптографических стандартов.
  • Физическая охрана: Обеспечение безопасности объектов и систем, на которых хранятся или обрабатываются опасные для окружающей среды отходы.
  • Безопасность персонала: Обеспечение проведения проверок биографических данных и допусков к сведениям, составляющим государственную тайну, для лиц, имеющих доступ к CJI.

Соблюдение этих требований является обязательным для любой организации, получающей доступ к CJI, как напрямую (например, полицейские управления), так и косвенно (например, сторонние поставщики). Политика предусматривает проведение трёхгодичных аудитов, обычно проводимых аккредитованными компаниями, такими как Lazarus Alliance, для проверки соблюдения более 100 мер безопасности. Эти аудиты оценивают технические, административные и физические меры безопасности, часто с использованием автоматизированных инструментов, таких как Машина ИТ-аудита (ITAM) для эффективного сбора доказательств и анализа рисков.

Несоблюдение требований может привести к серьёзным последствиям, включая потерю доступа к системам CJIS, штрафы или правовые последствия, что может нарушить работу агентств или поставщиков. Политика также развивается в соответствии с возникающими угрозами, требуя от организаций быть в курсе изменений. Внедряя строгие стандарты, Политика безопасности CJIS обеспечивает защиту конфиденциальных данных, укрепляет доверие к системе уголовного правосудия и поддерживает безопасный обмен информацией между федеральными, региональными, местными и племенными органами власти.

Хронология аудита Службы информации об уголовном правосудии (CJIS) от Lazarus Alliance. Позвоните по телефону +1 (888) 896-7580 сегодня.

Базовая хронология аудита CJIS с Lazarus Alliance

Lazarus Alliance — аккредитованная компания по кибербезопасности и соблюдению нормативных требований, специализирующаяся на аудитах политики безопасности CJIS (Управления информацией в сфере уголовного правосудия) ФБР, особенно для поставщиков услуг частного сектора, поставщиков облачных услуг и организаций, работающих с информацией в сфере уголовного правосудия (CJI). Компания использует проактивный подход с использованием инструментов. (включая нашу машину ИТ-аудита Continuum GRC или ITAM) Чтобы сделать процесс эффективным, минимально нарушающим работу и ориентированным на устойчивое соблюдение требований. Аудиты CJIS должны проводиться раз в три года для постоянного доступа к CJI.

Хотя точные сроки могут различаться в зависимости от размера вашей организации, сложности, готовности и любых существующих пробелов, ниже приведен типичный пошаговый график и то, чего следует ожидать при работе с Lazarus Alliance:

  1. Первоначальное взаимодействие и планирование (1–4 недели): Вы обращаетесь в Lazarus Alliance за консультацией. Они анализируют вашу текущую среду, требования CJIS и определяют объем аудита. Это включает в себя подписание соглашений и настройку доступа к их платформе ITAM для автоматизированного сбора доказательств. Ожидается обсуждение того, будет ли аудит удалённым, выездным или гибридным.
  2. Этап 1: Оценка пробелов/Обзор готовности (2–8 недель): Сертифицированные специалисты Cybervisors™ Lazarus Alliance проводят тщательный анализ пробелов в соответствии с политикой безопасности CJIS (соответствующей стандарту NIST SP 800-53). Используя ITAM, они автоматизируют большую часть сбора доказательств для раннего выявления недостатков. Этот этап определяет вашу готовность и помогает избежать неожиданностей в ходе формального аудита. Вы получите подробный отчет с указанием пробелов и рекомендуемыми мерами по их устранению.
  3. Восстановление и подготовка (продолжительность: 1–6 месяцев, в зависимости от пробелов): При обнаружении пробелов вы внедрите меры по их устранению (например, обновление политик, технические средства контроля, обучение). Lazarus Alliance предоставляет рекомендации, планы действий и контрольные точки (POA&M) и постоянную поддержку через ITAM для отслеживания прогресса. Это самый сложный этап: хорошо подготовленным организациям может потребоваться немного времени, в то время как другим потребуется более масштабная работа.
  4. Этап 2: Формальный аудит и сбор доказательств (2–6 недель): Проводится официальный аудит (удалённо или на месте). Аудиторы проверяют соблюдение технических, административных и физических требований, используя автоматизированные инструменты для минимизации сбоев. Собеседования, анализ документов и проверки систем проводятся эффективно.
  5. Отчетность, проверка и сертификация (2–4 недели): Вы получаете комплексный аудиторский отчёт. В случае соответствия требованиям Lazarus Alliance выдаёт сертификат/документацию, подтверждающую ваше соответствие требованиям CJIS (часто требуется для соглашений о дополнительных условиях безопасности CJIS). Любые незначительные оставшиеся проблемы быстро проверяются. Успешное прохождение гарантирует сохранение доступа к CJI.
  6. Текущий мониторинг и следующий цикл: После аудита вы получаете круглосуточный доступ к платформе ITAM для непрерывного мониторинга соответствия. Lazarus Alliance делает акцент на проактивном обслуживании для подготовки к следующему трёхгодичному аудиту.

Общая хронология: Для подготовленных организаций весь процесс может занять от 3 до 6 месяцев, от начала до сертификации. Организациям со значительными пробелами может потребоваться от 6 до 12 месяцев. Их автоматизированная, ориентированная на клиента методология (Proactive Cyber ​​Security®) обычно делает этот процесс быстрее и менее обременительным, чем традиционные аудиты.

Чтобы получить наиболее точный график, соответствующий вашей ситуации, свяжитесь с Lazarus Alliance напрямую по телефону +1 (888) 896-7580 или через наш веб-сайт (lazarusalliance.com). Мы обладаем обширным опытом работы с такими клиентами, как Cisco Systems, Scribbles Software, RestoreVault, VeriPic и другими, в обеспечении соответствия требованиям CJIS.

Аудит услуг по информации в сфере уголовного правосудия (CJIS) от Lazarus Alliance. Позвоните сегодня по телефону +1 (888) 896-7580.

FAQ

Любая организация, получающая доступ к данным CJIS, как напрямую (например, полицейские управления, органы уголовного правосудия), так и косвенно (например, сторонние поставщики, проводящие проверку биографических данных), обязана соблюдать эти требования. Это относится и к организациям, не связанным с уголовным правосудием, одобренным государственными агентствами по системам CJIS (CSA), которые проходят обязательные трёхлетние аудиты для проверки соблюдения более 100 мер безопасности.

Соблюдение требований защищает конфиденциальные данные от утечек, обеспечивает бесперебойный доступ к системам CJIS ФБР и позволяет избежать строгих санкций, таких как штрафы, судебные иски или потеря доступа. Кроме того, это укрепляет доверие партнеров, снижает риски, связанные с возникающими угрозами, и обеспечивает конкурентное преимущество поставщикам, работающим с правоохранительными органами.

Уровень воздействияБазовые контроли (приблизительно)Ключевые случаи использованияОбласть повторного использования
Низкий~125 NIST 800-53 Низкий контрольПубличные/низкоконфиденциальные данные (например, общие веб-сайты)SLED-организации по всей стране
Низкий+Улучшенный низкий (~150 элементов управления)Немного повышенный уровень данных с низким уровнем риска (например, базовые инструменты администрирования)SLED-организации по всей стране
Средняя~325 NIST 800-53 Умеренный контроль + наложенияКонфиденциальные данные (например, личные данные, финансовые записи)SLED-организации по всей стране
Высокий~421 NIST 800-53 Высокие элементы управления + накладкиВысокочувствительные данные (например, критическая инфраструктура)SLED-организации по всей стране
Основные (Введено в мае 2025 г.)60 основных умеренных элементов управления (сопоставлены MITRE ATT&CK)Валидация начального уровня для развивающихся продуктовШирокий доступ к предварительной авторизации для SLED
  • Комплексная оценка Cybervisor™ с использованием передового программного обеспечения для исходных уровней низкого, среднего и высокого воздействия.
  • Постоянный проактивный мониторинг и круглосуточный доступ к платформе аудита.

Несоблюдение требований может привести к немедленной потере доступа к системам CJIS, сбоям в работе, финансовым штрафам, юридическим последствиям и ущербу репутации. Чтобы избежать этих проблем, организациям необходимо быть в курсе изменений политики (например, версии 5.9.2), поскольку политика постоянно совершенствуется в соответствии с новыми угрозами кибербезопасности.

В качестве Компания, аккредитованная по стандарту A2LA ISO/IEC 17020 (сертификат № 3822.01), Lazarus Alliance предлагает услуги по оценке пробелов, официальным аудитам и поддержке сертификации с использованием сертифицированных 3PAO Cybervisors™. Для сбора доказательств и управления рисками используются такие инструменты, как IT Audit Machine (ITAM), в соответствии с методологией Proactive Cyber ​​Security®, которая оптимизирует процесс и обеспечивает устойчивое соответствие требованиям.

Cybervisors™ от Lazarus Alliance выполняют индивидуальные оценки в соответствии с элементами управления CJIS, собирая доказательства с помощью автоматизированных инструментов, таких как ИТПМ для минимизации сбоев. Процесс включает анализ пробелов, выездные или удалённые аудиты, планирование мер по устранению неполадок с помощью Планов действий и этапов (POA&M) и проверку, которая приводит к официальному сертификату соответствия после успешной демонстрации.

Они используют Машина аудита ИТ (ITAM) для автоматизированного сбора доказательств, анализа рисков и составления отчетов; Policy Machine для разработки стандартов безопасности; и проверенный план проекта, основанный на НИСТ СП 800-53 и Proactive Cyber ​​Security®. Эти инструменты сокращают время аудита и обеспечивают постоянный мониторинг для обеспечения долгосрочного соответствия требованиям.

Процесс включает в себя: (1) понимание требований и проведение оценки пробелов; (2) внедрение таких элементов управления, как многофакторная аутентификация, шифрование и обучение; (3) привлечение аккредитованных аудиторов для проверки доказательств; (4) устранение проблем с помощью POA&M; (5) получение сертификации; и (6) поддержание путем регулярных внутренних проверок, обновлений изменений политики и трехгодичных повторных аудитов.

Репутация, на которую вы можете положиться

Американская ассоциация по аккредитации лабораторий (A2LA) аккредитованный номер сертификата ISO/IEC 17020 3822.01.

В любой юрисдикции и во всех отраслях. Мы ваш глобальный партнер в области соответствия, рисков, политик, тестирования безопасности, финансового аудита и услуг Cybervisor®.

Поговорите с одним из наших экспертов

Наши команды Lazarus Alliance Cybervisor™ имеют опыт проведения тысяч оценок для организаций, предоставляющих услуги клиентам по всему миру.

Мы здесь, чтобы ответить на любые ваши вопросы.

Загрузите брошюру нашей компании.

Уровни воздействия политики безопасности CJIS и базовые показатели контроля 2025 г. – Lazarus Alliance
Услуги Lazarus Alliance

Преимущества соответствия требованиям CJIS

Соблюдение требований CJIS, предписанное Политикой безопасности информационных служб уголовного правосудия ФБР, обеспечивает ряд ключевых преимуществ для организаций, обрабатывающих информацию уголовного правосудия (CJI):

  1. Повышенная безопасность данных: Соблюдение требований обеспечивает надежную защиту конфиденциальной информации CJI, снижая риск утечек данных, несанкционированного доступа или киберугроз.
  2. Доступ к критически важным системам: Соответствующие требованиям организации получают авторизованный доступ к системам ФБР CJIS, что обеспечивает бесперебойное взаимодействие с базами данных уголовного правосудия, необходимыми для правоохранительных органов и операций по проверке биографических данных.
  3. Соблюдение юридических и нормативных требований: Соблюдение требований CJIS позволяет избежать штрафов, юридической ответственности или потери доступа к CJI, обеспечивая бесперебойную работу для агентств и поставщиков.
  4. Повышение доверия и репутации: Демонстрация соответствия требованиям свидетельствует о приверженности безопасности, построении доверия с партнерами, клиентами и заинтересованными сторонами в экосистеме уголовного правосудия.
  5. Снижение рисков: Регулярные аудиты и контроль, предписанные CJIS, выявляют уязвимости, обеспечивая проактивное управление рисками и более сильную позицию по кибербезопасности.
  6. Операционная эффективность: Оптимизированные процессы, часто поддерживаемые такими инструментами, как ITAM Continuum GRC, уменьшить сложность и время, необходимые для поддержания соответствия.
  7. Конкурентное преимущество: Для поставщиков и организаций, не связанных с уголовным правосудием, соответствие требованиям CJIS может выделить вашу организацию, открывая возможности для сотрудничества с правоохранительными органами и государственными учреждениями.

Достигая и поддерживая соответствие требованиям CJIS, организации защищают конфиденциальные данные, обеспечивают непрерывность работы и укрепляют свою репутацию в сфере управления CJI.

Процесс сертификации CJIS

Процесс сертификации CJIS, регулируемый Политикой безопасности Службы информации в сфере уголовного правосудия (CJIS) ФБР, гарантирует, что организации, работающие с информацией в сфере уголовного правосудия (CJI), соответствуют строгим стандартам безопасности. Хотя официальной сертификации CJIS, выдаваемой как отдельное удостоверение, не существует, соответствие Политике безопасности CJIS проверяется посредством структурированной оценки и аудита. Ниже представлен подробный обзор необходимых этапов:

  1. Понять требования CJIS:
    • Организации должны ознакомиться с политикой безопасности CJIS (версия 6 по последним обновлениям), в которой изложены 13 областей политики, включая контроль доступа, шифрование, реагирование на инциденты, безопасность персонала и физическую безопасность, сопоставленные с НИСТ СП 800-53 управления.
    • Определите объем доступа CJI, будь то прямой (например, правоохранительные органы) или косвенный (например, поставщики или учреждения, не связанные с уголовным правосудием, например, те, которые обрабатывают проверки биографических данных).
  2. Провести оценку пробелов:
    • Проведите внутренний анализ для выявления несоответствий между текущими методами обеспечения безопасности и требованиями CJIS. Это включает в себя оценку технических средств контроля (например, межсетевых экранов, шифрования), административных политик (например, обучения, планов реагирования на инциденты) и физических мер безопасности (например, защищённых помещений).
    • Многие организации привлекают аккредитованные фирмы, такие как Lazarus Alliance, для проведения предварительной оценки, используя такие инструменты, как Continuum GRC Машина ИТ-аудита (ITAM) для автоматизированного сбора доказательств и анализа пробелов.
  3. Внедрить меры безопасности:
    • Устраните выявленные пробелы путем внедрения необходимых мер контроля, таких как:
      • Многофакторная аутентификация (MFA) для доступа к системе.
      • Шифрование данных при передаче и хранении (например, алгоритмы, соответствующие FIPS 140-2).
      • Проверка биографических данных персонала, имеющего доступ к CJI.
      • Обучение по вопросам безопасности для всего персонала.
    • Разработать или обновить политики и процедуры для соответствия стандартам CJIS, включая планы реагирования на инциденты и протоколы контроля доступа.
  4. Привлечь аккредитованного аудитора:
    • Для организаций, подлежащих трехгодичным проверкам (обычно это государственные, местные или племенные агентства с прямым доступом к CJIS), наймите аккредитованную фирму, например Lazarus Alliance, для проведения официального аудита соответствия.
    • Не связанные с уголовным правосудием организации (например, поставщики) могут требовать проведения оценок в рамках своего разрешения на доступ к CJI, часто координируемых через государственный орган. Агентство систем CJIS (CSA) или закупающая организация.
  5. Аудит и сбор доказательств:
    • Аудит включает в себя всестороннюю проверку состояния безопасности организации, включая документацию, конфигурации систем и меры физической безопасности.
    • Аудиторы собирают доказательства для проверки соблюдения мер контроля CJIS, часто используя автоматизированные инструменты для оптимизации процесса и обеспечения точности.
    • Например, Cybervisors™ от Lazarus Alliance используют ITAM для сбора и анализа доказательств, сокращая время аудита и сводя к минимуму перебои.
  6. Результаты поиска и исправления:
    • В случае выявления несоответствий организация получает отчет с подробным описанием недостатков и рекомендуемыми корректирующими действиями.
    • Разработайте План действий и основных этапов (POA&M) для устранения выявленных нарушений в течение определенного периода времени, обычно координируемого с аудиторами CSA штата или CJIS ФБР.
    • Для подтверждения устранения неполадок могут потребоваться повторные оценки.
  7. Получить подтверждение соответствия:
    • После успешного аудита и устранения нарушений организация считается соответствующей Политике безопасности Службы судебной информации (CJIS). Для агентств это документируется через Отдел государственной службы безопасности (CSA) или Отдел CJIS ФБР. Для поставщиков соответствие часто связано с конкретными контрактами или соглашениями.
    • Статус соответствия позволяет продолжать доступ к системам и данным CJIS при условии постоянного мониторинга и трехгодичных повторных проверок.
  8. Поддерживать постоянное соответствие требованиям:
    • Организации должны постоянно контролировать и поддерживать соответствие требованиям посредством регулярного обучения, обновлений системы и сообщений об инцидентах.
    • Будьте в курсе обновлений Политики безопасности CJIS, поскольку требования по борьбе с новыми киберугрозами меняются.
    • Периодически проводите внутренние проверки или привлекайте сторонние фирмы для обеспечения готовности к трехгодичным аудитам.

    Сотрудничая с опытными аудиторами, такими как Lazarus Alliance, организации могут оптимизировать процесс, используя опыт и инструменты для эффективного достижения и поддержания соответствия требованиям CJIS.

    Услуги от Lazarus Alliance - Proactive Cyber ​​Security®

    Предостережение для покупателя!

    Информационные службы уголовного правосудия (CJIS) основаны на стандарте соответствия NIST SP 800-53, который является сложным и обширным. Лишь немногие поставщики услуг имеют квалификацию для надлежащего проведения оценки информационных служб уголовного правосудия (CJIS).

    Lazarus Alliance — одна из немногих организаций по оценке третьей стороны (3PAO), аккредитованных Номер сертификации ISO/IEC 17020 Американской ассоциации по аккредитации лабораторий (A2LA) 3822.01. Мы также являемся признанным Программа управления государственными записями и доступом (GovRAMP - StateRAMP) аккредитованная независимая организация по оценке (3ПАО).

    Любые службы информации об уголовном правосудии (CJIS), которые не могут подтвердить, что они также являются Аккредитованная независимая организация по оценке (3PAO), такая как Lazarus Alliance, не сможет полностью авторизовать вашу организацию в соответствии с новая программа.

    Для услуг CJIS, которые снижают затраты и используют преимущества номер один в рейтинге программного обеспечения для аудита CJIS и ТОЛЬКО авторизовано GovRAMP | FedRAMP платформа оценки, вызов +1 (888) 896-7580  для начала. — Майкл Питерс, генеральный директор и основатель

    Мы хотим стать вашим партнёром и оценщиком аудита соответствия требованиям Службы информации уголовного правосудия (CJIS)! Для получения дополнительной информации позвоните нам. +1 (888) 896-7580.