Аудит відповідності та сертифікація CJIS | Експерти ФБР з політики безпеки CJIS - Lazarus Alliance. Телефонуйте +1 (888) 896-7580 сьогодні.

Офіційні аудити відповідності ФБР вимогам CJIS, проведені акредитованим A2LA компанією Lazarus Alliance (сертифікат № 3822.01). Оцінка прогалин, сертифікація та постійна підтримка за допомогою IT Audit Machine™. Телефонуйте +1 (888) 896-7580.

Федеральне бюро розслідувань (ФБР) створило Політика безпеки Інформаційних служб кримінального правосуддя (CJIS) забезпечити захист конфіденційної інформації кримінального правосуддя (КІП) правоохоронними та пов’язаними з ними органами. Lazarus Alliance, фірма, акредитована A2LA ISO/IEC 17020, безпосередньо співпрацює з вашою організацією для планування та проведення аудитів відповідності CJIS.

Наші сертифіковані 3PAO Cybervisors™ оцінюють ваші засоби контролю безпеки на відповідність вимогам CJIS, адаптуючи оцінку до конкретних операційних потреб вашої організації. Після успішної демонстрації відповідності ваша організація отримає сертифікацію Політики безпеки CJIS, що забезпечить надійний захист CJI.

Cybervisors™ – це висококваліфіковані фахівці з кібербезпеки в Lazarus Alliance, сертифіковані для проведення аудитів та оцінок, включаючи оцінки відповідності CJIS. Вони поєднують глибокі знання в рамках безпеки, таких як NIST SP 800-53 та CJIS Security Policy, з практичним досвідом, щоб допомогти організаціям пройти складні процеси відповідності. Використовуючи такі інструменти, як Машина аудиту ІТ (ITAM), Кібервізори оптимізують збір доказів, управління ризиками та звітність, забезпечуючи точні та ефективні результати, адаптовані до потреб кожного клієнта.

Інформаційні служби кримінального правосуддя (CJIS)

Політика безпеки Інформаційних служб кримінального правосуддя (CJIS) ФБР – це комплексний набір стандартів, розроблених для захисту конфіденційної інформації кримінального правосуддя (CJI), включаючи відбитки пальців, кримінальне минуле та дані перевірки біографічних даних, доступ до яких здійснюється через системи CJIS ФБР. Розроблена Відділом CJIS ФБР, ця політика забезпечує конфіденційність, цілісність та доступність CJI для уповноважених користувачів, таких як правоохоронні органи, організації кримінального правосуддя та затверджені установи, що не пов'язані з кримінальним правосуддям (наприклад, постачальники, що проводять перевірки біографічних даних).

Політика безпеки CJIS окреслює 13 сфер політики, що походять з NIST SP 800-53, зокрема:

  • Управління доступомОбмеження доступу до системи для авторизованих користувачів з належною автентифікацією (наприклад, багатофакторна автентифікація).
  • Обізнаність і навчанняОбов'язкове регулярне навчання з кібербезпеки для персоналу, який працює з кримінальними протиправними актами.
  • Відповідь на випадокВимагає планів виявлення, звітування та пом'якшення інцидентів безпеки.
  • ШифруванняЗабезпечення захисту даних під час передачі та зберігання за допомогою надійних криптографічних стандартів.
  • Фізична безпекаЗахист об'єктів та систем, що зберігають або обробляють CJI.
  • Безпека персоналуЗабезпечення проведення перевірок біографічних даних та отримання допусків до секретної інформації для осіб, які мають доступ до CJI.

Дотримання вимог є обов'язковим для будь-якої організації, яка має доступ до CJI, як безпосередньо (наприклад, відділи поліції), так і опосередковано (наприклад, сторонні постачальники). Політика вимагає трирічних аудитів, які зазвичай проводяться акредитованими фірмами, такими як Lazarus Alliance, для перевірки дотримання понад 100 заходів безпеки. Ці аудити оцінюють технічні, адміністративні та фізичні засоби безпеки, часто використовуючи автоматизовані інструменти, такі як Машина ІТ-аудиту (ITAM) для ефективного збору доказів та аналізу ризиків.

Недотримання вимог може призвести до серйозних наслідків, включаючи втрату доступу до систем CJIS, штрафи або юридичні наслідки, що може порушити роботу агентств або постачальників. Політика також розвивається для реагування на нові загрози, вимагаючи від організацій бути в курсі змін. Забезпечуючи дотримання суворих стандартів, Політика безпеки CJIS забезпечує захист конфіденційних даних, сприяє довірі до екосистеми кримінального правосуддя та підтримує безпечний обмін інформацією між федеральними, державними, місцевими та племінними структурами.

Графік аудиту інформаційних служб кримінального правосуддя (CJIS) від Lazarus Alliance. Зателефонуйте за номером +1 (888) 896-7580 сьогодні.

Базовий графік аудиту CJIS з Lazarus Alliance

Lazarus Alliance – це акредитована фірма з кібербезпеки та дотримання вимог, що спеціалізується на аудитах політики безпеки ФБР CJIS (служб кримінального правосуддя), зокрема для постачальників приватного сектору, провайдерів хмарних послуг та організацій, що обробляють інформацію кримінального правосуддя (CJI). Вони використовують проактивний підхід з використанням інструментів. (включно з нашою машиною для проведення IT-аудиту Continuum GRC або ITAM) щоб зробити процес ефективним, мінімально руйнівним та зосередженим на сталому дотриманні вимог. Аудит CJIS вимагається кожні три роки (кожні три роки) для постійного доступу до CJI.

Хоча точні терміни залежать від розміру, складності, готовності та будь-яких існуючих прогалин вашої організації, ось типовий покроковий графік і те, чого очікувати від співпраці з Lazarus Alliance:

Фаза Діяльності Типова тривалість Ключові результати та нотатки
1. Початкова взаємодія та планування Консультація, огляд обсягу робіт, підписання угоди та налаштування платформи ITAM для автоматизованого збору доказів 1-4 тижнів Підписані угоди, план проекту та доступ до платформи ITAM
2. Етап 1: Оцінка прогалин / Огляд готовності Ретельний аналіз прогалин у порівнянні з контролем політики безпеки CJIS за допомогою автоматизованих інструментів та підтримки Cybervisor™ 2-8 тижнів Детальний звіт про прогалини з пріоритетними рекомендаціями щодо усунення недоліків
3. Відновлення та підготовка Впровадження необхідних виправлень політики, технічних та навчальних питань з відстеженням POA&M 1–6 місяців (змінна) Виправлені прогалини, оновлені політики, перевірені засоби контролю через ITAM
4. Етап 2: Формальний аудит та збір доказів Офіційний аудит, включаючи перевірку документів, співбесіди та тестування систем (дистанційне або виїзне) 2-6 тижнів Завершений пакет аудиторських доказів та попередні висновки
5. Звітність, перевірка та сертифікація Заключний аудиторський звіт, перевірка будь-яких решти пунктів та видача сертифіката відповідності CJIS 2-4 тижнів Заключний звіт, документація щодо сертифікації та продовження схвалення доступу CJI
6. Поточний моніторинг та наступний цикл Цілодобовий доступ до платформи ITAM для постійного моніторингу відповідності та підготовки до наступного трирічного аудиту Постійна Проактивна панель моніторингу та стабільне дотримання вимог CJIS

Загальна хронологіяДля підготовлених організацій повний процес може тривати 3–6 місяців від початку до сертифікації. Організаціям зі значними прогалинами може знадобитися 6–12 місяців. Їхня автоматизована, орієнтована на клієнта методологія (Proactive Cyber ​​Security®) зазвичай робить його швидшим та менш обтяжливим, ніж традиційні аудити.

Щоб отримати найточніший графік, адаптований до вашої ситуації, зверніться безпосередньо до Lazarus Alliance за номером +1 (888) 896-7580 або через наш веб-сайт (lazarusalliance.com). Ми маємо великий досвід роботи з такими клієнтами, як Cisco Systems, Scribbles Software, RestoreVault, VeriPic та іншими, що дозволяє нам досягати відповідності вимогам CJIS.

Послуги аудиту інформаційних служб кримінального правосуддя (CJIS) від Lazarus Alliance. Зателефонуйте за номером +1 (888) 896-7580 сьогодні.

Поширені запитання

Будь-яка організація, яка має доступ до CJI, безпосередньо (наприклад, відділи поліції, органи кримінального правосуддя) або опосередковано (наприклад, сторонні постачальники, що проводять перевірки біографічних даних), повинна дотримуватися вимог. Це включає установи, що не пов'язані з кримінальним правосуддям, схвалені державними агентствами систем CJIS (CSA), з обов'язковими трирічними аудитами для перевірки дотримання понад 100 заходів безпеки.

Дотримання вимог захищає конфіденційні дані від порушень, забезпечує безперебійний доступ до систем ФБР CJIS та дозволяє уникнути серйозних санкцій, таких як штрафи, судові позови або втрата доступу. Це також зміцнює довіру з партнерами, зменшує ризики, пов'язані з новими загрозами, та забезпечує конкурентну перевагу для постачальників, які співпрацюють з правоохоронними органами.

Рівень впливу Базові контрольні показники (приблизно) Ключові випадки використання Область повторного використання
низький ~125 NIST 800-53 Низькі контролі Публічні/низькоконфіденційні дані (наприклад, загальні вебсайти) Суб'єкти SLED по всій країні
Низький+ Покращений низький рівень (~150 контролів) Дещо підвищений рівень низькоризикових даних (наприклад, базові інструменти адміністрування) Суб'єкти SLED по всій країні
Помірна ~325 NIST 800-53 Помірні контролі + накладання Конфіденційні дані (наприклад, особиста інформація, фінансові записи) Суб'єкти SLED по всій країні
Високий ~421 NIST 800-53 Високі контролі + накладання Дані високої чутливості (наприклад, критична інфраструктура) Суб'єкти SLED по всій країні
Core (Представлено у травні 2025 року) 60 базових контрольних пунктів помірного рівня (зображені на карті MITRE ATT&CK) Валідація початкового рівня для продуктів, що розвиваються Широкий доступ до попередньої авторизації для SLED
  • Комплексні оцінки Cybervisor™ з використанням передового програмного забезпечення для базових показників низького, помірного та високого впливу.
  • Постійний проактивний моніторинг та цілодобовий доступ до платформи аудиту.

Недотримання вимог може призвести до негайної втрати доступу до систем CJIS, порушення роботи, фінансових штрафів, юридичних наслідків та шкоди репутації. Організації повинні бути в курсі змін у політиці (наприклад, версії 5.9.2), щоб уникнути цих проблем, оскільки політика розвивається для вирішення нових загроз кібербезпеці.

Як Фірма, акредитована за стандартом A2LA ISO/IEC 17020 (сертифікація № 3822.01), Lazarus Alliance пропонує оцінку прогалин, офіційні аудити та підтримку сертифікації, використовуючи сертифікованих 3PAO Cybervisors™. Вони використовують такі інструменти, як IT Audit Machine (ITAM), для збору доказів та управління ризиками, дотримуючись методології Proactive Cyber ​​Security® для оптимізації процесу та забезпечення сталого дотримання вимог.

Кібервізори™ від Lazarus Alliance виконують індивідуальні оцінки на відповідність контролям CJIS, збираючи докази за допомогою автоматизованих інструментів, таких як ІТАМ щоб мінімізувати збої. Процес включає аналіз прогалин, аудит на місці або дистанційний аудит, планування коригувальних заходів за допомогою Планів дій та етапів (POA&M), а також верифікацію, що призводить до офіційної сертифікації відповідності після успішної демонстрації.

Вони використовують Машина аудиту ІТ (ITAM) для автоматизованого збору доказів, аналізу ризиків та звітності; Policy Machine для розробки стандартів безпеки; та перевірений план проекту, заснований на NIST SP 800-53 та проактивна кібербезпека®. Ці інструменти скорочують час аудиту та підтримують постійний моніторинг для забезпечення довгострокового дотримання вимог.

Процес включає: (1) розуміння вимог та проведення оцінки прогалин; (2) впровадження таких заходів контролю, як багатофакторна автентифікація, шифрування та навчання; (3) залучення акредитованих аудиторів для перевірки доказів; (4) усунення проблем за допомогою POA&M; (5) отримання сертифікації; та (6) підтримку шляхом регулярних внутрішніх перевірок, оновлень відповідно до змін у політиці та трирічних повторних аудитів.

Довідки, на які ви можете покластися

Номер сертифікації Американської асоціації з акредитації лабораторій (A2LA) ISO/IEC 17020 3822.01.

У будь-якій юрисдикції та в усіх галузях. Ми є вашим глобальним партнером у сфері відповідності, ризиків, політики, тестування безпеки, фінансового аудиту та послуг Cybervisor®.

Поговоріть з одним із наших експертів

Наші команди Lazarus Alliance Cybervisor™ мають досвід проведення тисяч оцінок для організацій, що надають послуги клієнтам у всьому світі.

Ми тут, щоб відповісти на будь-які ваші запитання.

Завантажте брошуру нашої компанії.

Рівні впливу Політики безпеки CJIS та базові показники контролю 2025 – Lazarus Alliance
Послуги Альянсу Лазаря

Переваги відповідності вимогам CJIS

Відповідність вимогам CJIS, що передбачено Політикою безпеки інформаційних служб кримінального правосуддя ФБР, пропонує кілька ключових переваг для організацій, що обробляють інформацію кримінального правосуддя (CJI):

  1. Підвищена безпека данихВідповідність забезпечує надійні засоби захисту конфіденційної інформації про кримінальні правопорушення (CJI), зменшуючи ризик витоків даних, несанкціонованого доступу або кіберзагроз.
  2. Доступ до критично важливих системОрганізації, що відповідають вимогам, отримують авторизований доступ до систем ФБР CJIS, що забезпечує безперебійну взаємодію з базами даних кримінального правосуддя, необхідними для правоохоронних органів та операцій з перевірки біографічних даних.
  3. Дотримання законодавства та нормативних актівДотримання вимог CJIS дозволяє уникнути штрафів, юридичної відповідальності або втрати доступу до CJI, забезпечуючи безперебійну роботу агентств та постачальників.
  4. Покращена довіра та репутаціяДемонстрація відповідності вимогам сигналізує про відданість безпеці, зміцнення довіри з партнерами, клієнтами та зацікавленими сторонами в екосистемі кримінального правосуддя.
  5. Пом'якшення ризиківРегулярні аудити та контрольні заходи, що вимагаються CJIS, виявляють вразливості, що дозволяє проактивно керувати ризиками та посилювати кібербезпеку.
  6. Експлуатаційна ефективністьОптимізовані процеси, часто підтримувані такими інструментами, як ITAM Continuum GRC, зменшити складність та час, необхідний для підтримки відповідності.
  7. конкурентні перевагиДля постачальників та організацій, що не пов’язані з кримінальним правосуддям, дотримання вимог CJIS може виділити вашу організацію, відкриваючи можливості для співпраці з правоохоронними та державними органами.

Досягаючи та підтримуючи відповідність вимогам CJIS, організації захищають конфіденційні дані, забезпечують безперервність операційної діяльності та зміцнюють свою довіру до роботи з CJI.

Процес сертифікації CJIS

Процес сертифікації CJIS, що регулюється Політикою безпеки інформаційних служб кримінального правосуддя (CJIS) ФБР, гарантує, що організації, які обробляють інформацію кримінального правосуддя (CJI), відповідають суворим стандартам безпеки. Хоча офіційної «сертифікації CJIS», виданої як окремого посвідчення, не існує, дотримання Політики безпеки CJIS перевіряється за допомогою структурованого процесу оцінювання та аудиту. Нижче наведено детальний огляд відповідних кроків:

  1. Розуміння вимог CJIS:
    • Організації повинні ознайомитися з Політикою безпеки CJIS (версія 6 з останніх оновлень), яка окреслює 13 сфер політики, включаючи контроль доступу, шифрування, реагування на інциденти, безпеку персоналу та фізичну безпеку, пов'язану з NIST SP 800-53 контролю.
    • Визначте обсяг доступу Суду Верховного суду, чи то прямий (наприклад, правоохоронні органи), чи непрямий (наприклад, постачальники або органи, що не займаються кримінальним правосуддям, такі як ті, що здійснюють перевірку біографічних даних).
  2. Проведіть оцінку прогалин:
    • Проведіть внутрішній огляд, щоб виявити розбіжності між чинними методами безпеки та вимогами CJIS. Це включає оцінку технічних засобів контролю (наприклад, брандмауери, шифрування), адміністративних політик (наприклад, навчання, плани реагування на інциденти) та фізичних заходів безпеки (наприклад, безпечні приміщення).
    • Багато організацій залучають акредитовані фірми, такі як Lazarus Alliance, для проведення попередньої оцінки, використовуючи такі інструменти, як Машина для аудиту ІТ Continuum GRC (ITAM) для автоматизованого збору доказів та аналізу прогалин.
  3. Впровадити засоби контролю безпеки:
    • Усунути виявлені прогалини шляхом впровадження необхідних заходів контролю, таких як:
      • Багатофакторна автентифікація (MFA) для доступу до системи.
      • Шифрування даних під час передачі та в стані спокою (наприклад, алгоритми, що відповідають стандарту FIPS 140-2).
      • Перевірка біографічних даних персоналу з доступом до CJI.
      • Навчання з питань безпеки для всіх співробітників.
    • Розробити або оновити політики та процедури для узгодження зі стандартами CJIS, включаючи плани реагування на інциденти та протоколи контролю доступу.
  4. Залучіть акредитованого аудитора:
    • Для організацій, що підлягають трирічному аудиту (зазвичай це державні, місцеві або племінні установи з прямим доступом до CJIS), найміть акредитовану фірму, таку як Lazarus Alliance, для проведення офіційного аудиту відповідності.
    • Органи, що не займаються кримінальним правосуддям (наприклад, постачальники), можуть вимагати оцінювання як частину свого дозволу на доступ до кримінальної правосуддя, часто координованого через державу. Агентство систем CJIS (CSA) або орган, що укладає контракт.
  5. Аудит та збір доказів:
    • Аудит включає комплексний огляд стану безпеки організації, включаючи документацію, конфігурації системи та заходи фізичної безпеки.
    • Аудитори збирають докази для перевірки дотримання вимог контролю CJIS, часто використовуючи автоматизовані інструменти для оптимізації процесу та забезпечення точності.
    • Наприклад, Cybervisors™ від Lazarus Alliance використовують ITAM для збору та аналізу доказів, скорочуючи час аудиту та мінімізуючи збої в роботі.
  6. Виявлення недоліків та усунення недоліків:
    • Якщо виявлено проблеми з невідповідністю, організація отримує звіт із детальним описом недоліків та рекомендованими коригувальними діями.
    • Розробити план дій та етапів (POA&M) для вирішення виявлених недоліків у встановлені терміни, зазвичай узгоджені з аудиторами державної служби безпеки даних (CSA) або FBI CJIS.
    • Для підтвердження коригувальних заходів може знадобитися повторна оцінка.
  7. Отримати підтвердження відповідності:
    • Після успішного аудиту та усунення недоліків організація вважається такою, що відповідає Політиці безпеки CJIS. Для агентств це документується через державний CSA або Відділ CJIS ФБР. Для постачальників відповідність часто пов'язана з певними контрактами або угодами.
    • Статус відповідності дозволяє постійний доступ до систем та даних CJIS за умови постійного моніторингу та трирічних повторних аудитів.
  8. Підтримувати постійну відповідність:
    • Організації повинні постійно контролювати та підтримувати відповідність вимогам шляхом регулярного навчання, оновлень системи та звітності про інциденти.
    • Будьте в курсі оновлень Політики безпеки CJIS, оскільки вимоги розвиваються для реагування на нові кіберзагрози.
    • Періодично проводити внутрішні перевірки або залучати сторонні фірми для забезпечення готовності до трирічних аудитів.

    Співпрацюючи з досвідченими аудиторами, такими як Lazarus Alliance, організації можуть оптимізувати процес, використовуючи досвід та інструменти для ефективного досягнення та підтримки відповідності вимогам CJIS.

    Послуги від Lazarus Alliance - Proactive Cyber ​​Security®

    Покупець Обережно!

    Інформаційні служби кримінального правосуддя (CJIS) базуються на структурі відповідності NIST SP 800-53, яка є складною та широкою за обсягом. Дуже мало постачальників насправді кваліфіковані для належного проведення оцінки інформаційних служб кримінального правосуддя (CJIS).

    Lazarus Alliance є однією з небагатьох акредитованих сторонніх оціночних організацій (3PAO) від Номер сертифікації ISO/IEC 17020 Американської асоціації з акредитації лабораторій (A2LA) 3822.01Ми також є визнаним Програма управління державними документами та доступом (GovRAMP - StateRAMP) акредитована стороння організація з оцінювання (3PAO).

    Будь-які інформаційні служби кримінального правосуддя (CJIS), які не можуть підтвердити, що вони також є Акредитована стороння оціночна організація (3PAO), така як Lazarus Alliance, не зможе отримати повну авторизацію вашої організації відповідно до new program.

    Для послуг CJIS, які зменшують витрати та використовують програмне забезпечення для аудиту CJIS, що посідає перше місце та ТІЛЬКИ GovRAMP | Авторизовано FedRAMP платформа оцінювання, дзвінок +1 (888) 896-7580  щоб розпочати. ​​— Майкл Пітерс, Генеральний директор та засновник

    Ми хочемо бути вашим партнером та обраним оцінювачем відповідності вимогам Інформаційних служб кримінального правосуддя (CJIS)! Для отримання додаткової інформації телефонуйте + 1 (888) 896-7580.