Commissione per i sistemi di sicurezza nazionale istruzione no.Committee on National Security Systems Instruction No. 1253 (CNSSI 1253)1253 (CNSSI 1253)

Informazioni su CNSS Instruction 1253About CNSS Instruction 1253

La Commissione per i sistemi di sicurezza nazionale (CNSS) è un'organizzazione governativa che definisce la politica Cybersecurity nazionale per i reparti governativi e le agenzie degli Stati Uniti.The Committee on National Security Systems (CNSS) is a governmental organization that sets national cybersecurity policy for US government departments and agencies. L' istruzione CNSS n. 1253, "categorizzazione della sicurezza e selezione dei controlli per i sistemi di sicurezza nazionali", fornisce indicazioni sugli standard di sicurezza che le agenzie federali dovrebbero applicare per categorizzare le informazioni e i sistemi di sicurezza nazionali a livelli di sicurezza adeguati.The CNSS Instruction No. 1253, “Security Categorization and Control Selection for National Security Systems,” provides guidance on the security standards that federal agencies should apply to categorize national security information and systems at appropriate security levels.

CNSSI 1253 si basa su NIST SP 800-53, che fornisce la linea di base del controllo per l'autorizzazione High FedRAMP.The CNSSI 1253 builds on NIST SP 800-53, which provides the control baseline for the FedRAMP High authorization. Tuttavia, esistono alcune differenze fondamentali tra le pubblicazioni di CNSSI 1253 e NIST.There are, however, some key differences between the CNSSI 1253 and NIST publications.

Ad esempio, l'approccio di CNSSI 1253 definisce in modo esplicito le associazioni di riservatezza, integrità e disponibilità con i controlli di sicurezza e affina l'utilizzo delle sovrapposizioni dei controlli di sicurezza per la community di sicurezza nazionale.For example, the CNSSI 1253 approach explicitly defines the associations of Confidentiality, Integrity, and Availability with security controls, and refines the use of security control overlays for the national security community. CNSS utilizza una categoria bassa, media e alta separata per ognuno di questi tre obiettivi di sicurezza.The CNSS uses a separate Low, Medium, and High category for each of these three security objectives. In questo modo vengono ottenute categorizzazioni come moderato-moderato-basso-riservatezza moderata, integrità moderata e bassa disponibilità.This results in categorizations such as Moderate-Moderate-Low — Moderate Confidentiality, Moderate Integrity, and Low Availability. CNSSI 1253 fornisce quindi le linee di base di sicurezza appropriate per ogni possibile categorizzazione del sistema utilizzando i controlli di NIST SP 800-53.CNSSI 1253 then provides the appropriate security baselines for each possible system categorization using controls from NIST SP 800-53.

Microsoft e CNSSI 1253Microsoft and CNSSI 1253

Un'organizzazione di valutazione di terze parti di FedRAMP (3PAO), Kratos SecureInfo, ha convalidato in modo indipendente la conformità del sistema di amministrazione di Microsoft Azure con la linea di base High-High-High di CNSSI 1253.A FedRAMP-approved third-party assessment organization (3PAO), Kratos SecureInfo, has independently validated the compliance of the Microsoft Azure Government system with the CNSSI 1253 High-High-High Baseline. Kratos SecureInfo attesta che il CNSSI 1253 Security Assessment Report (SAR) di Azure Government fornisce una valutazione completa dei controlli di sicurezza applicabili stipulati nel piano di valutazione della sicurezza (SAP).Kratos SecureInfo attests that the CNSSI 1253 Security Assessment Report (SAR) of Azure Government provides a complete assessment of the applicable security controls stipulated in the Security Assessment Plan (SAP). Il SAR documenta i test condotti per convalidare Azure Government in base a una selezione di controlli di sicurezza di CNSSI 1253 per sistemi che richiedono elevata riservatezza, elevata integrità e disponibilità elevata.The SAR documents the testing conducted to validate Azure Government against a selection of CNSSI 1253 security controls for systems requiring High Confidentiality, High Integrity, and High Availability.

Il governo di Azure attualmente possiede una FedRAMP High provvisoria authorization to operate (P-ATO) emesso dall'organo di autorizzazione comune (JAB) e un Department of Defense Provisional Authorization (PA) al livello di impatto 5 del Cloud Computing Security Requirements Guide (SRG).Azure Government currently possesses a FedRAMP High Provisional Authorization to Operate (P-ATO) issued by the Joint Authorization Board (JAB), and a Department of Defense Provisional Authorization (PA) at Impact Level 5 of the Cloud Computing Security Requirements Guide (SRG). Usando queste autorizzazioni, Kratos SecureInfo ha analizzato i controlli di sicurezza che sono stati testati nelle valutazioni precedenti per determinare quali controlli di sicurezza aggiuntivi di CNSSI 1253 testare per garantire la conformità con la linea di base High-High-High di CNSSI 1253.Using these authorizations, Kratos SecureInfo analyzed the security controls that were tested in the previous assessments to determine which additional CNSSI 1253 security controls to test to ensure compliance with the CNSSI 1253 High-High-High baseline. Kratos SecureInfo ha esaminato le prove e le interviste condotte per convalidare la corretta implementazione dei 43 controlli di sicurezza applicabili e ha pubblicato i risultati dei test completi in CNSSI 1253 SAR.Kratos SecureInfo examined evidence and conducted interviews to validate the successful implementation of 43 applicable security controls and published the results of its complete testing in the CNSSI 1253 SAR.

La conformità di Azure Government con i requisiti esigenti di CNSSI 1253 significa che Azure può offrire ai clienti del settore pubblico negli Stati Uniti una vasta gamma di servizi conformi a CNSSI 1253, consentendo loro di usufruire dei risparmi sui costi e sulla sicurezza rigorosa del cloud Microsoft.The compliance of Azure Government with the demanding CNSSI 1253 requirements means that Azure can offer public sector customers in the United States a rich array of services compliant with CNSSI 1253, enabling them to benefit from the cost savings and rigorous security of the Microsoft Cloud.

Servizi cloud Microsoft inclusi nell'ambitoMicrosoft in-scope cloud services

Controlli, report e certificatiAudits, reports, and certificates

Azure Government CNSSI 1253 Attestation of Compliance to the CNSSI 1253 High-High-higher BaselineAzure Government CNSSI 1253 attestation of compliance with the CNSSI 1253 High-High-High baseline

Come eseguire l'implementazioneHow to implement

Domande frequentiFrequently asked questions

A chi si applica CNSSI 1253?To whom does CNSSI 1253 apply?

I clienti con sistemi di sicurezza nazionali (NSS) devono essere conformi ai requisiti e ai controlli di CNSSI 1253.Customers with national security systems (NSS) must comply with CNSSI 1253 requirements and controls.

Quali ambienti Azure sono stati testati con i controlli di sicurezza di CNSSI 1253?Which Azure environments have been tested against CNSSI 1253 security controls?

Azure Government (FedRAMP Package ID F1603087869) è stato nuovamente testato questi controlli.Azure Government (FedRAMP package ID F1603087869) has been tested again these controls.

RisorseResources