Ausschuss für nationale Sicherheitssysteme – Anweisung Nr.Committee on National Security Systems Instruction No. 1253 (CNSSI 1253)1253 (CNSSI 1253)

Informationen zur CNSS-Anweisung 1253About CNSS Instruction 1253

Der Ausschuss für nationale Sicherheitssysteme (CNSS) ist eine Regierungsorganisation, die die nationale Cyber-Richtlinie für US-Regierungsabteilungen und-Agenturen festlegt.The Committee on National Security Systems (CNSS) is a governmental organization that sets national cybersecurity policy for US government departments and agencies. Die CNSS-Anweisung Nr. 1253, "Sicherheits Kategorisierung und Kontroll Auswahl für nationale Sicherheitssysteme", enthält Anleitungen zu den Sicherheitsstandards, die Bundesbehörden anwenden sollten, um nationale Sicherheitsinformationen und-Systeme auf geeigneten Sicherheitsebenen zu kategorisieren.The CNSS Instruction No. 1253, “Security Categorization and Control Selection for National Security Systems,” provides guidance on the security standards that federal agencies should apply to categorize national security information and systems at appropriate security levels.

Das CNSSI 1253 baut auf NIST SP 800-53 auf, das die Basislinie für die FedRAMP-hohe Autorisierung bereitstellt.The CNSSI 1253 builds on NIST SP 800-53, which provides the control baseline for the FedRAMP High authorization. Es gibt jedoch einige wichtige Unterschiede zwischen den Publikationen CNSSI 1253 und NIST.There are, however, some key differences between the CNSSI 1253 and NIST publications.

Beispielsweise definiert der CNSSI 1253-Ansatz explizit die Zuordnungen von Vertraulichkeit, Integrität und Verfügbarkeit mit Sicherheitskontrollen und verdeutlicht die Verwendung von Sicherheits Kontroll Überlagerungen für die nationale Sicherheitscommunity.For example, the CNSSI 1253 approach explicitly defines the associations of Confidentiality, Integrity, and Availability with security controls, and refines the use of security control overlays for the national security community. Für jedes dieser drei Sicherheitsziele wird für das CNSS eine separate niedrige, mittlere und hohe Kategorie verwendet.The CNSS uses a separate Low, Medium, and High category for each of these three security objectives. Dies führt zu Kategorisierungen wie moderate-moderate-Low – moderate Vertraulichkeit, mäßige Integrität und niedrige Verfügbarkeit.This results in categorizations such as Moderate-Moderate-Low — Moderate Confidentiality, Moderate Integrity, and Low Availability. CNSSI 1253 bietet dann die entsprechenden Sicherheitsbasislinien für jede mögliche System Kategorisierung mithilfe von Steuerelementen von NIST SP 800-53.CNSSI 1253 then provides the appropriate security baselines for each possible system categorization using controls from NIST SP 800-53.

Microsoft und CNSSI 1253Microsoft and CNSSI 1253

Eine von FedRAMP anerkannte Drittanbieter-Bewertungs Organisation (3PAO), Kratos SecureInfo, hat die Kompatibilität des Microsoft Azure Regierungssystems mit der CNSSI 1253 High-High-High-Baseline unabhängig überprüft.A FedRAMP-approved third-party assessment organization (3PAO), Kratos SecureInfo, has independently validated the compliance of the Microsoft Azure Government system with the CNSSI 1253 High-High-High Baseline. Kratos SecureInfo bescheinigt, dass der CNSSI 1253-SAR (Security Assessment Report) von Azure Government eine vollständige Bewertung der anwendbaren Sicherheitskontrollen im Sicherheits Bewertungs Plan (SAP) vorsieht.Kratos SecureInfo attests that the CNSSI 1253 Security Assessment Report (SAR) of Azure Government provides a complete assessment of the applicable security controls stipulated in the Security Assessment Plan (SAP). Der SAR dokumentiert die durchgeführten Tests zur Validierung von Azure Government anhand einer Auswahl von CNSSI 1253-Sicherheitssteuerelementen für Systeme, die eine hohe Vertraulichkeit, hohe Integrität und hohe Verfügbarkeit erfordern.The SAR documents the testing conducted to validate Azure Government against a selection of CNSSI 1253 security controls for systems requiring High Confidentiality, High Integrity, and High Availability.

Azure Government besitzt derzeit eine FedRAMP hohe provisorische Autorisierung für den Betrieb (P-ATO), die vom Joint Authorization Board (Jab) ausgestellt wurde, und ein Department of Defense provisorische Autorisierung (PA) auf der Impact Level 5 des Cloud Computing Security Requirements Guide (SRG).Azure Government currently possesses a FedRAMP High Provisional Authorization to Operate (P-ATO) issued by the Joint Authorization Board (JAB), and a Department of Defense Provisional Authorization (PA) at Impact Level 5 of the Cloud Computing Security Requirements Guide (SRG). Mithilfe dieser Berechtigungen analysierte Kratos SecureInfo die Sicherheitskontrollen, die in den vorherigen Bewertungen getestet wurden, um zu ermitteln, welche zusätzlichen CNSSI 1253-Sicherheitssteuerelemente getestet werden, um die Kompatibilität mit der High-High-Basislinie CNSSI 1253 sicherzustellen.Using these authorizations, Kratos SecureInfo analyzed the security controls that were tested in the previous assessments to determine which additional CNSSI 1253 security controls to test to ensure compliance with the CNSSI 1253 High-High-High baseline. Kratos SecureInfo untersuchte Beweise und führte Interviews durch, um die erfolgreiche Implementierung von 43 geltenden Sicherheitskontrollen zu validieren und die Ergebnisse der vollständigen Tests im CNSSI 1253 SAR veröffentlicht.Kratos SecureInfo examined evidence and conducted interviews to validate the successful implementation of 43 applicable security controls and published the results of its complete testing in the CNSSI 1253 SAR.

Die Compliance von Azure Government mit den anspruchsvollen Anforderungen an CNSSI 1253 bedeutet, dass Azure Kunden aus dem öffentlichen Sektor in den USA eine umfassende Palette von Diensten bietet, die mit CNSSI 1253 kompatibel sind, sodass Sie von den Kosteneinsparungen und der strengen Sicherheit der Microsoft-Cloud profitieren können.The compliance of Azure Government with the demanding CNSSI 1253 requirements means that Azure can offer public sector customers in the United States a rich array of services compliant with CNSSI 1253, enabling them to benefit from the cost savings and rigorous security of the Microsoft Cloud.

Microsoft Cloud Services im LeistungsumfangMicrosoft in-scope cloud services

Audits, Berichte und ZertifikateAudits, reports, and certificates

Azure Government CNSSI 1253 Bescheinigung der Einhaltung der CNSSI 1253 High-High-High-BaselineAzure Government CNSSI 1253 attestation of compliance with the CNSSI 1253 High-High-High baseline

ImplementierungHow to implement

Häufig gestellte FragenFrequently asked questions

Für wen gilt CNSSI 1253?To whom does CNSSI 1253 apply?

Kunden mit nationalen Sicherheitssystemen (NSS) müssen CNSSI 1253-Anforderungen und-Kontrollen entsprechen.Customers with national security systems (NSS) must comply with CNSSI 1253 requirements and controls.

Welche Azure-Umgebungen wurden mit CNSSI 1253-Sicherheitssteuerelementen getestet?Which Azure environments have been tested against CNSSI 1253 security controls?

Azure Government (FedRAMP Package ID F1603087869) wurde erneut getestet diese Steuerelemente.Azure Government (FedRAMP package ID F1603087869) has been tested again these controls.

RessourcenResources