Аудит та оцінювання, зосереджені на CNSSI 1253 та FISMA. виклик +1 (888) 896-7580 сьогодні!

Name: Lazarus Alliance, Inc.
Address: 27743 N 70th St, Ste 100, Arizona, 85266, US
Telephone: 1-888-896-7580
Price range: $$$$

Зміст

Інструкція Комітету з питань національних систем безпеки № 1253 (CNSSI 1253) під назвою Категоризація безпеки та вибір засобів контролю для систем національної безпеки, – це рекомендація федерального уряду США, видана Комітетом з національних систем безпеки (CNSS). Опублікована в поточній версії 1 серпня 2022 року, вона забезпечує стандартизовані процеси оцінки та захисту національних систем безпеки (NSS) – інформаційних систем, які обробляють секретну інформацію або підтримують критично важливі місії національної безпеки, такі як оборонні, розвідувальні та національні служби безпеки. Вона діє як доповнення до Спеціальної публікації NIST 800-53, але адаптує елементи керування спеціально для NSS, включаючи накладання для чутливих середовищ, таких як секретні системи.

Lazarus Alliance, сертифікована стороння оцінювальна організація (3PAO), співпрацюватиме безпосередньо з вашою організацією, щоб запланувати оцінку CNSSI 1253. Наші сертифіковані оцінювачі 3PAO допоможуть визначити відповідний рівень впливу на основі унікальних бізнес-вимог вашої компанії та державних вимог.

Інструкція Комітету з питань національних систем безпеки № 1253 (CNSSI 1253)

Головна мета полягає в забезпеченні конфіденційності, цілісності та доступності (тріади ЦРУ) NSS шляхом створення системи, що ґрунтується на оцінці ризиків. Це допомагає федеральним департаментам, агентствам та підрядникам:

Класифікуйте системи на основі потенційних рівнів впливу.
Виберіть та впровадьте відповідні засоби контролю безпеки.
Підтримувати дотримання ширших нормативних актів, таких як Закон про модернізацію федеральної інформаційної безпеки (FISMA) та Виконавчий наказ 14028. На відміну від загальних федеральних систем (що регулюються FIPS 199), CNSSI 1253 розглядає унікальні ризики NSS, такі як обробка інформації національної безпеки, яка може завдати серйозної шкоди у разі компрометації.

Основні компоненти

Категоризація безпекиСистеми оцінюються окремо за рівнем конфіденційності (C), цілісності (I) та доступності (A), кожен з яких оцінюється як низький, помірний або високий. Це призводить до гібридних базових рівнів, таких як «Помірний-Помірний-Високий», для відображення нюансованих ризиків. Наприклад, система може надавати пріоритет високій конфіденційності для секретних даних, але дозволяти нижчу доступність, якщо час простою є допустимим.
Контроль вибору: Спирається на базові стандарти NIST SP 800-53 з уточненнями, специфічними для CNSSI, включаючи явні асоціації CIA та накладання (наприклад, для промислових систем управління або класифікованих середовищ). Контрольні засоби охоплюють 20 сімейств, таких як контроль доступу (AC), аудит та підзвітність (AU) та оцінка ризиків (RA).
НакладеньДодаткові специфікації для спеціалізованих сценаріїв, таких як Оверлей класифікованої системи (CNSSI 1253E, Додаток 5), який додає вимоги щодо захисту класифікованих даних.

Процес аудиту CNSSI 1253

Аудит CNSSI 1253 – це структурована оцінка для перевірки відповідності, часто інтегрована в Структуру управління ризиками (RMF). Зазвичай її проводять акредитовані сторонні організації з оцінки (3PAO), такі як ті, що сертифіковані за стандартом A2LA ISO/IEC 17020 на предмет неупередженості. Процес включає:

Крок	Опис
1. Категоризація системи	Визначити рівні впливу CIA, використовуючи рекомендації CNSSI 1253, створюючи категоризацію, еквівалентну FIPS 199, для NSS.
2. Вибір контрольної групи та базовий рівень	Виберіть елементи керування NIST 800-53, адаптовані до категоризації, застосовуючи накладання CNSSI.
3. Розробка документації	Створіть ключові артефакти, такі як План безпеки системи (SSP), План оцінки безпеки (SAP), План дій у надзвичайних ситуаціях (CP) та План реагування на інциденти (IRP).
4. Оцінювання та тестування	Виконуйте сканування на вразливості, тестування на проникнення та контрольні перевірки за допомогою 3PAO.
5 Звітність	Створіть Звіт про оцінку безпеки (SAR) з детальним описом висновків, ризиків та заходів щодо усунення наслідків.
6. Авторизація та моніторинг	Отримати дозвіл на експлуатацію (ATO) від уповноваженої особи; запровадити постійний моніторинг для забезпечення дотримання вимог.

Аудити наголошують на проактивній, безперервній оцінці, а не на періодичних перевірках, зменшуючи ризики, такі як розширення сфери діяльності, та забезпечуючи відповідність звітності FISMA.

Відмінності від пов'язаних стандартів

Проти NIST SP 800-53CNSSI 1253 використовує багатовимірні категоризації ЦРУ (наприклад, помірний-низький-високий) замість єдиного позначки максимуму та уточнює накладання для контекстів національної безпеки.
Проти FIPS 199Стосується лише NSS (секретних або критично важливих), тоді як FIPS 199 охоплює загальні федеральні системи.
Інтеграція з іншими CNSSI, такими як CNSSI 1015 для управління корпоративним аудитом, підвищує автоматизацію аудиту та його зрілість.

Переваги та застосовність

Аудити CNSSI 1253 дозволяють організаціям мінімізувати операційні ризики, отримати акредитацію для федеральних контрактів та автоматизувати дотримання вимог за допомогою таких інструментів, як платформи GRC. Вони є важливими для підрядників, які виходять на державні ринки, і мають такі переваги, як швидша оцінка (наприклад, скорочення часу до 46%) та покращена ситуаційна обізнаність. Для впровадження зверніться до офіційних документів CNSS або акредитованих постачальників.

Ця структура розвивається разом із загрозами, як видно з нещодавніх оновлень, пов’язаних із Меморандумом національної безпеки №8 для покращення стану кібербезпеки.

Поширені запитання

Що таке аудиторські послуги, орієнтовані на CNSSI 1253 та FISMA?

Ці послуги забезпечують комплексні аудити та оцінки відповідно до принципів авторизації CNSSI 1253 та вимог FISMA. Вони включають оцінку NIST, DIACAP та засоби контролю DCID 6/3, тестування на вразливості, тестування на проникнення та розробка важливої документації, такої як Плани безпеки системи (SSP), Плани дій у надзвичайних ситуаціях (CP) та Плани реагування на інциденти (IRP), для забезпечення відповідності федеральним вимогам.

Хто має право на отримання цих аудиторських послуг?

Ці послуги ідеально підходять для організацій приватного та державного секторів, зокрема для постачальників послуг, які прагнуть вийти на державні ринки або розширити їх. Вони допомагають мінімізувати операційні ризики та підтримують акредитацію для ведення бізнесу з федеральними агентствами.

Які основні переваги використання Lazarus Alliance для цих аудитів?

Ключові переваги включають скорочення часу традиційного оцінювання на 46% завдяки ІТАМ Портал SaaS, економія коштів завдяки автоматизованим інструментам, цілодобовий доступ для клієнтів та безперервний підхід до аудиту на базі Cybervisors™. Ця проактивна методологія забезпечує своєчасне дотримання вимог без розширення обсягу робіт або щорічного підвищення цін.

Як працює процес аудиту з Lazarus Alliance?

Процес починається з планування на основі ваших потреб, а потім розробляється індивідуальна дорожня карта з використанням Континуум GRC ITAM платформа та методологія Proactive Cyber Security™. Cybervisors™ керують розробкою документації, оцінкою вразливостей та звітністю, зосереджуючись на постійному моніторингу, а не на термінових заходах наприкінці періоду.

Яка документація входить до пакету документів на відповідність стандарту CNSSI 1253?

Пакет охоплює такі критично важливі документи, як План безпеки системи (SSP), План дій у надзвичайних ситуаціях (CP), План реагування на інциденти (IRP), План управління конфігурацією (CMP), Оцінка впливу на конфіденційність (PIA), категоризація безпеки FIPS 199 та політики/процедури для таких областей, як контроль доступу, підзвітність аудиту та оцінка ризиків.

Як Lazarus Alliance забезпечує дотримання вимог FISMA за допомогою цих послуг?

Сервіси інтегрують щорічні оцінки FISMA, постійний моніторинг та контроль по всьому NIST фреймворки. Як акредитована організація A2LA ISO/IEC 17020 (серт. №3822.01), ми проводимо ретельні, перевірені аудити, що відповідають федеральним стандартам інформаційної безпеки та управління ризиками.

Чим підхід Lazarus Alliance відрізняється від інших аудиторських компаній?

На відміну від реактивних аудитів наприкінці періоду, ми використовуємо безперервну модель з Cybervisors™ для підтримки на рівні консьєржа, що є найвищим рейтингом. SaaS-платформа ITAM для автоматизації та провідної в галузі технічної точності. Це призводить до швидших та економічно ефективніших результатів без прихованих платежів чи розширення сфери застосування.

Як я можу розпочати користуватися цими аудиторськими послугами?

Зверніться до нашої команди за номером +1 (888) 896-7580, щоб поспілкуватися з кібервізором™ NIST 800-53. Ми заплануємо початкову консультацію, щоб оцінити ваші потреби, надати індивідуальний план дій та забезпечити цілодобовий доступ до ІТАМ портал для негайного прогресу.

Поговоріть з одним із наших експертів

Наші команди Lazarus Alliance Cybervisor™ мають досвід проведення тисяч оцінок для організацій, що надають послуги клієнтам у всьому світі.

Ми тут, щоб відповісти на будь-які ваші запитання.

Огляд CNSSI 1253

Lazarus Alliance надає надійну дорожню карту для ваших вимог до оцінювання CNSSI 1253 за допомогою нашої провідної технології на базі Континуум GRC ITAM SaaS-платформа у поєднанні з нашою методологією обслуговування Proactive Cyber Security™.

Система цілісно складається з технологій, людей, процесів і даних, які використовуються для надання послуг. Авторизація CNSSI 1253 призначена для комфортного використання таких коротко описаних принципів:

Управління доступом: Це контрольне середовище вимірює функції безпеки межі системи, які контролюють права доступу та ресурси. Області, які потрібно перевірити, включають, але не обмежуються: керування обліковим записом, контроль доступу, невдалі спроби входу, сповіщення про використання системи, дозволені дії, дозволені дії без ідентифікації/авторизації, віддалений доступ, бездротовий доступ, контроль доступу для мобільних пристроїв, використання зовнішні інформаційні системи та загальнодоступний контент.
Обізнаність і навчання: Це контрольне середовище вимірює навчання з питань безпеки, яке проводить організація, щодо меж системи. Сфери, які необхідно перевірити, включають, але не обмежуються: обізнаність з безпекою, навчання з безпеки та записи про навчання з безпеки.
Аудит і звітність: Це контрольне середовище вимірює наявні ресурси для вимірювання та утримання підзвітних практик аудиту за межами системи. Сфери, які необхідно перевірити, включають, але не обмежуються: події аудиту, вміст записів аудиту, зберігання та ємність аудиту, реагування на збої в обробці аудиту, процес перевірки аудиту, мітки часу та захист інформації аудиту, збереження записів аудиту та аудит покоління.
Авторизація та моніторинг оцінки: це контрольне середовище вивчає, як організації оцінюють засоби контролю в системах і середовищах, в яких ці системи працюють, як частину початкових і поточних авторизацій, безперервного моніторингу, щорічних оцінок FISMA, проектування та розробки системи, розробки системи безпеки, розробки конфіденційності та розробки системи. життєвий цикл.
Керування конфігурацією: Це середовище контролю перевіряє конфігурації навколо межі системи. Області, які необхідно перевірити, включають, але не обмежуються: базовими конфігураціями, аналізом впливу на безпеку, параметрами конфігурації, найменшою функціональністю, інвентаризацією компонентів інформаційної системи, обмеженнями використання програмного забезпечення та програмним забезпеченням, встановленим користувачем.
Планування на випадок непередбачених ситуацій: Це контрольне середовище вивчає процеси організації щодо непередбачених обставин. Сфери, які необхідно перевірити, включають, але не обмежуються: планом на випадок надзвичайних ситуацій, навчанням на випадок надзвичайних ситуацій, тестуванням плану, резервним копіюванням інформаційної системи, а також відновленням і реконструкцією інформаційної системи.
Ідентифікація та автентифікація: У цій області контролю перевіряються процедури та інструменти для ідентифікації та автентифікації користувачів, яким надано доступ до межі системи. Сфери, які необхідно перевірити, включають, але не обмежуються: ідентифікація та автентифікація, керування ідентифікаторами, керування автентифікатором, зворотний зв’язок із автентифікатором та автентифікація криптографічного модуля.
Реакція на інцидент: Ця контрольна область вивчає процес і практики, що застосовуються для обробки та реагування на інциденти в межах системи. Сфери, які необхідно перевірити, включають, але не обмежуються: навчання реагування на інциденти, поводження, моніторинг, звітність, допомогу в реагуванні та план реагування на інциденти.
Технічне обслуговування: Ця область контролю досліджує процеси та процедури, що підтримують контрольоване технічне обслуговування в межах системи. Області, що підлягають дослідженню, включають, але не обмежуються: контрольоване технічне обслуговування, нелокальний технічний огляд та персонал з технічного обслуговування.
Захист медіа: Ця область контролю досліджує процеси та процедури, що забезпечують належний захист медіа-активів системи. До сфер, що підлягають перевірці, належать, але не обмежуються: доступ до медіа, санітарна обробка та утилізація.
Фізичні та екологічні: Ця область контролю досліджує наявні процеси та процедури, які підтримують належний фізичний та екологічний захист на межі системи. Області, що підлягають перевірці, включають, але не обмежуються, фізичний контроль доступу та авторизації, моніторинг фізичного доступу, записи доступу відвідувачів, аварійне освітлення, протипожежний захист, контроль температури та вологості, захист від пошкодження водою, а також доставку та видалення.
Планування: Ця область контролю досліджує процеси, що стосуються належного планування меж системи. Області, що підлягають перевірці, включають, але не обмежуються: План безпеки системи та правила поведінки.
Керування програмою: Це контрольне середовище вимірює статус організації в розробці та впровадженні загальноорганізаційної програми інформаційної безпеки для забезпечення інформаційної безпеки для інформації та інформаційних систем, які підтримують операції та активи організації, включно з тими, що надаються або керуються іншою організацією, підрядником або інше джерело.
Безпека персоналу: Це контрольне середовище вимірює існуючі практики та процеси, які перевіряють, перевіряють та переглядають персонал, призначений до межі системи. Сфери, що підлягають перевірці, включають, але не обмежуються: визначення ризику посади; перевірка персоналу, звільнення та переведення; угоди про доступ, персонал третіх сторін та санкції щодо персоналу.
Обробка та прозорість інформації, що дозволяє ідентифікувати особу: Це контрольне середовище вимірює особисту інформацію; Будь-яке представлення інформації, яке дозволяє обґрунтовано встановити особу особи, якої стосується ця інформація, прямими чи непрямими засобами.
Оцінка ризику: Ця контрольна область перевіряє діючі процеси та процедури, які вимірюють ризики та вразливі місця на межі системи. Сфери, які необхідно перевірити, включають, але не обмежуються: категоризація безпеки, оцінка ризиків і сканування вразливостей.
Системні послуги та придбання: Це керуюче середовище вимірює практики та процеси, що діють для розвитку меж системи. Області, які необхідно перевірити, включають, але не обмежуються: розподілом ресурсів, життєвим циклом розробки системи, процесом придбання, документацією інформаційної системи та послугами зовнішньої інформаційної системи.
Захист системи та зв'язку: Ця область контролю досліджує діючі процеси та процедури, які вимірюють захист межі системи. Області, що підлягають дослідженню, включають, але не обмежуються, захистом від відмови в обслуговуванні, захистом меж, встановленням криптографічних ключів, захистом та управлінням, пристроями спільної роботи з обчисленнями, пристроями безпечного розв'язання імен/адрес, архітектурою забезпечення та ізоляцією процесів.
Цілісність системи та інформації: Це контрольне середовище вимірює практики та процеси, що діють для забезпечення цілісності меж системи. Сфери, які необхідно перевірити, включають, але не обмежуються: усунення недоліків, захист від зловмисного коду, моніторинг інформаційної системи, а також обробка та збереження інформації.
Управління ризиками ланцюга поставок: Це контрольне середовище вимірює практику та процеси, що застосовуються для виявлення, оцінки та пом’якшення ризиків у ланцюзі постачання ІКТ на всіх рівнях організації.

Служба підтримки клієнтів Lazarus Alliance CNSSI 1253 спланує для нашої команди пріоритезацію цієї взаємодії на основі потреб наших клієнтів та забезпечить своєчасне надання необхідного пакету документів щодо відповідності, за умови наявності ресурсів клієнта.

Основні переваги відповідності стандарту CNSSI 1253

Досягнення та підтримка відповідності CNSSI 1253 забезпечує значні стратегічні, операційні та фінансові переваги, особливо для організацій, які займаються системами національної безпеки (NSS) або укладають контракти з Міністерством оборони, розвідувальним співтовариством чи іншими агентствами національної безпеки.

#	Користь	Пояснення
1	Право на участь у контрактах національної безпеки	Стандарт CNSSI 1253 є обов'язковим для будь-якої системи, що обробляє секретну інформацію або підтримує критично важливі місії національної безпеки. Відповідність вимогам є необхідною умовою для отримання дозволу на експлуатацію (ATO) та отримання або утримання контрактів DoD/IC.
2	Точна, ризик-орієнтована безпека	На відміну від підходу FISMA з використанням максимально можливих рівнів впливу, CNSSI 1253 використовує окремі рівні впливу CIA (наприклад, високий-помірний-помірний). Це запобігає надмірному контролю над районами з низьким впливом і забезпечує зосередження ресурсів там, де потенційна шкода є найбільшою.
3	Спрощена авторизація за RMF	Правильна категоризація CNSSI 1253 та вибір контролю безпосередньо впливають на кроки 1 та 2 моделі RMF NIST, що значно зменшує кількість переробок та пришвидшує шлях до ATO.
4	Посилений захист секретної інформації та інформації, що не підпадає під контроль користувача	Такі накладання, як накладання класифікованої інформації та накладання космічної платформи, додають суворі заходи безпеки (наприклад, TEMPEST, COMSEC, міждоменні рішення), що перевищують стандартні базові рівні NIST 800-53.
5	Покращена сумісність та взаємність	Багато агентств та командувань бойових сил визнають пакети, що відповідають стандарту CNSSI 1253, що забезпечує швидшу взаємність та зменшує дублювання оцінок під час роботи через кордони Міністерства оборони США/Інспекційної комісії.
6	Економія коштів та часу завдяки постійному моніторингу	У поєднанні із сучасними платформами GRC (наприклад, Continuum GRC ITAM), організації повідомляють про скорочення часу оцінювання до 46% та уникнення «критичних моментів» аудиту наприкінці року завдяки постійному збору доказів.
7	Покращена кіберстійкість	Обов'язковий постійний моніторинг, управління POA&M та планування реагування на інциденти призводять до більш раннього виявлення та швидшого усунення вразливостей.
8	Конкурентна перевага на федеральному ринку	Продемонстрована відповідність стандарту CNSSI 1253 сигналізує про зрілість генеральним підрядникам та посадовим особам агентств з закупівель, надаючи організаціям, що дотримуються вимог, чітку перевагу у виборі джерел постачання та повторній конкуренції.
9	Узгодження з ширшими федеральними ініціативами	Відповідає вимогам Виконавчого розпорядження 14028, Меморандуму національної безпеки 10 (NSM-10), Обов'язкових оперативних директив CISA та мандатів архітектури нульової довіри.
10	Зниження юридичних та репутаційних ризиків	Недотримання вимог NSS може призвести до втрати спонсорства на оформлення документів, розірвання контракту або цивільної/неправдивої відповідальності. Повне дотримання зменшує ці ризики.

У Резюме

Відповідність стандарту CNSSI 1253 — це не просто прапорець, а стратегічний інструмент, який відкриває двері до високоцінної роботи у сфері національної безпеки, водночас забезпечуючи більш ефективну, адаптовану та стійку програму безпеки, ніж лише стандартні підходи FISMA/NIST. Організації, які інвестують у це, позиціонують себе як надійних партнерів для національної безпеки США.

Lazarus Alliance використовує Машина для аудиту ІТ Continuum GRC, методологія Security Trifecta та Policy Machine для забезпечення міжнародно визнаних «найкращих практик» для встановлення стандартів та засобів контролю безпеки організації. Вони підтримують відповідність аудиторським сертифікаціям та оцінкам на основі NIST 800-53.

Ми хочемо бути вашим партнером та обраним оцінювачем аудиту відповідності CNSSI 1253! Для отримання додаткової інформації, будь ласка, зателефонуйте. 1-888-896-7580.