Сделать пропуск в зону ато официальный сайт: как получить через официальный сайт СБУ?

Индипринт – официальный сайт для заказа фотокниг и фотоподарков

КАТАЛОГ
Как сделать заказ
Способы оплаты
Доставка
Отзывы
Новости
Для профи

КАТАЛОГКак сделать заказСпособы оплатыДоставка

Бонусная программа для клиентов!

Оплачивайте до 50% стоимости заказа

Подробнее

подарочный сертификат

Подарите то, что непременно понравится!

Купить подарочный сертификат

во взрослую жизнь

Красочные выпускные альбомы для школьников

и студентов сделанные с любовью

Создать выпускной альбом

радость на двоих!

Окунитесь в воспоминания того дня,
листая страницы свадебного альбома

Создать свадебный альбом

маленькое счастье

Сохраните светлые моменты первого года жизни малыша

Создать детскую фотокнигу

Хиты продаж

КАТАЛОГ
Как сделать заказ
Способы оплаты
Доставка
Отзывы
Новости
Для профи

от 2750 руб

Фотокартины

Ваши любимые фото на большом формате!

от 650 руб

от 200 руб

от 1960 руб

открытки

Дополнение к любому подарку!

от 150 руб

5

Рабочих дней на изготовление вашего подарка

10

Минут на создание собственного дизайна в удобном редакторе

20

Лет опыта изготовления печатной продукции

200+

Наименований различной продукции

∞

Бесконечно бережное отношение к нашим клиентам

Сделать заказ с нами проще простого!

Выберите товар из каталога

Выбор по разделам, поиск по названию, фильтр по теме и поводу облегчат поиск идеального подарка.
Примеры готового дизайна подcкажут идею оформления.

В карточке товара можно изменить характеристики изделия: формат, количество страниц, материал обложки и узнать стоимость.

Сделайте свой подарок уникальным

При помощи нашего онлайн-редактора вы можете сделать свой подарок неповторимым: загрузить фотографии из соцсети,
добавить любое изображение, написать поздравление и многое другое.

Дизайн подарка вы можете выбрать из множества готовых шаблонов или создать  с чистого листа.
Можно сохранить макет и вернуться к редактированию позже.

Оформите заказ и мы пришлем его вам

Чтобы сэкономить на доставке поместите в корзину все понравившиеся подарки:
стоимость доставки заказа не зависит от количества товаров.

Если у вас есть купон или промо-код, введите его в поле «Я знаю код на скидку».
Скидки для фотографов и постоянных покупателей, а также скидки
за тираж рассчитываются автоматически.

Выберите город и способ доставки. Вы можете оплатить заказ сразу или наложенным платежом при получении
(только курьерскими службами, +4% от стоимости заказа).

После поступление заказа в работу, вы получите смс-сообщение и письмо
на электронную почту.
В сообщении будет указан логистический номер заказа, по которому
вы сможете отслеживать доставку заказа на сайте курьерской службы.

Мне нужны подробные инструкции!

Способы оплаты

Наличными при получении

через курьерские службы

Банковскими картами

Интернет-банки

Платежные терминалы

Сотовые операторы

И другие способы оплаты

Способы доставки по всей России

Стоимость от 150 руб, срок доставки от 1 до 14 рабочих дней. Стоимость не зависит от размера и веса заказа.

почтой россии

Доставка по всей России

300 руб

до пункта выдачи

3213 пунктов выдачи в 905 городах

от 150 руб

доставка курьером

Курьерская доставка в 2715 городах

от 300 руб

Узнать сроки доставки, стоимость и адреса пунктов выдачи в вашем городе можно на странице доставки и оплаты.

Стоимость международных отправлений Почтой России зависит от веса (от 1500 руб).

Отзывы наших клиентов

• Андрей
  20 октября 2022 г. Королев

  Получил свой заказ — два альбома. Большое спасибо. Сделали быстро, доставили тоже быстро. Качество на уровне. Приятной неожиданностью была обратная связь от менеджера, который указал на несколько замеченных им моих «ляпов» в подписях к фотографиям. Поэтому общая оценка 5.

• Мария
  2 августа 2022 г. Ростов-на-Дону

  Из 5 возможных ставлю 5! Я очень рада, изготовление и доставка быстрая. Учли все мои пожелания, спасибо менеджеру! Надеюсь, этот подарочек понравится. Ведь заказывала как-то давно у вас, вы изменились в лучшую сторону. Буду рекомендовать, в следующий раз буду уверенно заказывать у вас. Спасибо!

• Галина
  20 мая 2022 г. Москва

  Огромное спасибо за супер печать и прекрасное настроение, альбомы получились очень крутые!!!
  Отдельное спасибо за сроки сдачи — благодаря вам можно спать спокойно))) Буду вас бесконечно рекомендовать своим друзьям и знакомым!!!

• Дмитрий
  25 декабря 2018 г. Калининград

  Качество печати и бумаги на высшем уровне, приятно держать в руках. Просто супер, доволен на 100%.
  Сама задумка с возможностью создать свою книгу в фоторедакторе просто отличная! Новый редактор работает гораздо лучше и стабильней.

Новости

• 28 ДЕКАБРЯ

  Новогодняя скидка 2023: -30% на всё

• 14 ДЕКАБРЯ

  -35% на фотокниги и календари

• 7 ДЕКАБРЯ

  Последняя распродажа 2022: -40% на всё

• 30 НОЯБРЯ

  Готовимся к Новому году: скидки до 30%

• 23 НОЯБРЯ

  Чёрная пятница 2022: -40% на всё

• 8 НОЯБРЯ

  Скидка 35% на календари и не только

• 26 ОКТЯБРЯ

  До -35% на Хеллоуин

• 11 ОКТЯБРЯ

  Индипринт 9 лет: -40% на всё!

• 23 МАРТА

  Весенняя распродажа: скидки до 35%

• 22 ФЕВРАЛЯ

  -30% на подарки к 8 марта

• 25 ЯНВАРЯ

  Киберпонедельник: скидка 40% на всё

• 28 ДЕКАБРЯ

  Новогодняя распродажа: -30% на всё

• 15 ДЕКАБРЯ

  Скидки до 35% на фотокниги и календари

Наши партнеры

Geek Picnic

Крупнейший научно-популярный фестиваль Восточной Европы, посвящённый современным технологиям, науке и творчеству.

PITERSTORY

Интернет-журнал о жизни Петербурга. Новости, анонсы событий, обзоры новых мест, интервью с интересными людьми и полезные материалы.

бессмертный полк

Общественная акция, проводящаяся в России и ряде стран ближнего и дальнего зарубежья в День Победы.

Адъютант

Российский производитель ежедневников и изделий для планирования.

Балтика

Транспортная компания.

FOTOGENICO

Онлайн каталог фотостудий, фотографов, визажистов и фотомоделей.

СПбГИК

Санкт-Петербургский Государственный Институт Культуры.

Форум Москва-Мир

Транспортная компания.

Renault — форум Рено

Хорошему подарку повод найдется!

Выбрать тему для подарка

Фотокниги и путешествия

Отпуск – это всегда невероятно ожидаемое и приятное событие в жизни каждого человека. Пожалуй, путешествия оставляют в нашей жизни одни из самых сильных и ярких впечатлений. Создание и печать фотокниг о совместных приключениях – увлекательный процесс, а наш онлайн редактор фотоизображений позволяет сделать его быстрым и легким. Ежедневник, записная книжка, блокнот с индивидуальной фотообложкой напомнят об отпуске в суете трудовых будней и здорово пригодятся в каждодневных делах.

Семейные фотокниги и фотоальбомы

Самые важные и счастливые моменты хочется сохранить на всю жизнь. Свадебный фотоальбом или фотокнига о появлении малыша станут прекрасным подарком вашим родным и близким и началом долгой и интересной фото истории вашей семьи. Вы можете создавать её все вместе в режиме онлайн, добавлять фотографии и комментарии, придумывать подписи, вспоминать смешные случаи, оживляя, таким образом, каждую страницу вашей фотокниги.

Фотоколлажи и памятные даты

Выбирая подарок для дорогих нам людей, мы всегда стремимся сделать его особенным, подчеркнуть свое теплое отношение. Подарки с фото – это как раз тот случай, когда ваши идеи и задумки воплотятся в неповторимом изделии. Памятные даты, юбилеи и годовщины – отличный повод сделать коллаж из фотографий с подписями, который пронесёт воспоминания сквозь годы. Макет коллажа создается вами в онлайн редакторе, а после его можно скачать либо заказать печать у нас.

Фотоподарки и календарные праздники

Подарки с фирменной символикой – это эффективный инструмент продвижения компании, который решает целый ряд маркетинговых задач. Сегодня рекламные сувениры задействованы на всех уровнях взаимодействия с целевыми аудиториями бизнеса, поэтому важно сделать их не только функциональными, но и идейными. Фотокалендари, блокноты или постеры с корпоративной айдентикой надежно закрепят образ вашей компании среди клиентов и партнеров.

Фотосувениры и фирменный стиль

Самые важные и счастливые моменты хочется сохранить на всю жизнь. Свадебный фотоальбом или фотокнига о появлении малыша станут прекрасным подарком вашим родным и близким и началом долгой и интересной фото истории вашей семьи. Вы можете создавать её все вместе в режиме онлайн, добавлять фотографии и комментарии, придумывать подписи, вспоминать смешные случаи, оживляя, таким образом, каждую страницу вашей фотокниги.

Фотосувениры в корпоративных коммуникациях

Важные для компании даты, мероприятия: тимбилдинги, приезд иностранных гостей, посещение отраслевых форумов или конкурсов, участие в выставках, корпоративный туризм, дни рождения коллег и топ-менеджмента и другие значимые события в жизни компании можно интересно обыграть в фото подарках. Фотокнига, фотоальбом и фотоблокнот напомнят партнёрам и клиентам о совместных путешествиях и праздниках. Еженедельник с индивидуальной фотообложкой станет неожиданно приятным подарком для руководителя вашего отдела, а открытки с личным фотопоздравлением коллег укрепят корпоративную культуру.

ИНДИвидуальная
полиграфия

Фотокниги

Сувениры

Архив статей и новостей — RuBaltic.ru

Не гоните волну: фестиваль «Новая волна» как мнимая угроза латышской идентичности

• 17. 01.2013  •
• Культура

Фестиваль поп-музыки «Новая волна» в Юрмале как мнимая угроза латышской идентичности.

Встретит ли мягкая сила России жесткий ответ Европы?

• 16.01.2013  •
• Культура

Россия пересматривает механизмы взаимодействия с внешнеполитическими партнерами. Важная задача в новых условиях — эффективное использование своего культурного влияния за рубежом.

Политолог Кармо Тюйр: «В Эстонии спорные с РФ территории видят оккупированными лишь маргиналы»

• 15.01.2013  •
• Политика

Восприятие России в Эстонии на общественном уровне существенно отличается от того мнения, которое определяет действия правящих властных групп: существенная часть населения выступает за развитие отношений с большим восточным соседом.

«Россия заинтересована в научном диалоге с балтийскими странами»

• 15. 01.2013  •
• Образование и наука

Насколько эффективно развивается научно-техническое, инновационное сотрудничество России со странами Балтийского региона?

Калининградские ученые будут «мониторить» русский язык в Прибалтике

• 14.01.2013  •
• Образование и наука

Электронный атлас «Культурный ландшафт Прибалтики» появится в БФУ им. И.Канта, где также займутся анализом того, как меняется русский язык в странах Балтии.

Русский язык и единое пространство высшего образования СНГ и Балтии

• 11.01.2013  •
• Образование и наука

Интерес к русскому языку на пространстве СНГ и Восточной Европы растет, но почему вместе с этим снижается уровень его господдержки?

Страны Балтии: буфер или мост между Россией и ЕС?

• 10.01.2013  •
• Экономика

Балтийский регион в диалоге с Россией не единое целое: далекая Германия оказывается политически ближе и понятнее, чем соседствующая с РФ Эстония.

Эксперт: «У Литвы, Латвии и Эстонии нет денег на строительство АЭС»

• 09.01.2013  •
• Энергетика и транспорт

О строительстве Висагинской АЭС в Литве обычно говорят как о политическом проекте, который призван объединить энергосистемы Литвы, Латвии и Эстонии, обеспечить их энергетическую самостоятельность.

Согласен ли «Центр Согласия» быть «русской партией» Латвии?

• 09.01.2013  •
• Политика

На муниципальных выборах 2013 г. в Латвии «Центр Согласия» может укрепить свои позиции в регионах страны. Но отразится ли возможный успех «партии с русским ярлыком» на положении нацменьшинств в республике?

Хенрик Лакс: «Страны Балтии могут стать мостом между Россией и ЕС»

• 09.01.2013  •
• Политика

Финский политик, экс-депутат Европейского парламента, многолетний депутат парламента Финляндии оценил взаимодействие РФ и ЕС в Балтийском регионе.

Член-корр РАН: «Только вместе Россия и ЕС смогут стать мощным блоком»

• 08.01.2013  •
• Образование и наука

Член-корреспондент РАН, директор Института экономики РАН Руслан ГРИНБЕРГ — о роли стран Балтии в отношениях с Россией и о строительстве «общеевропейского дома».

Александр Рар: «Прибалтам надо переступить через свои фобии»

• 07.01.2013  •
• Энергетика и транспорт

Энергодиалог России и Европейского союза – особая сфера отношений, в которой политика и экономика переплетаются, пожалуй, наиболее тесно. Какую роль в этом диалоге играют страны Балтии, ставшие частью ЕС менее 10 лет назад?

Литву удерживает от безвизового режима с Калининградом страх контрабанды

• 04.01.2013  •
• Экономика

Член Сейма Литвы от Социал-демократической партии Гедре ПУРВАНЕЦКЕНЕ рассказала порталу «ruBALTIC. ru», что мешает либерализации визового режима с Калининградской областью.

Больше статей

Политика

Абсолютный ноль: Россия зафиксировала уровень отношений со странами Прибалтики

Экономика

«Несуществующая страна»: в Европе отказали Украине в государственности

Экономика

Исход «лучших людей»: какие задачи стоят перед IT-отраслью России и Беларуси

Политика

Ядерная пыль в глаза: поставка урановых боеприпасов на Украину — психологическая атака Запада

Политика

Режим Майи Санду уже проиграл выборы в Гагаузии

Офицер по борьбе с терроризмом

Офицер по борьбе с терроризмом

Перейти к основному содержанию (нажмите Enter).

Перед развертыванием или поездками в страны или районы в зоне действия USPACOM, не являющиеся частью Соединенных Штатов, их территорий или владений, подразделения и отдельные лица должны выполнить требования AT перед развертыванием. Весь персонал должен следовать всем инструкциям на официальном веб-сайте военных поездок Тихоокеанского командования США, чтобы получить разрешение на выезд из OCONUS.
 

Свяжитесь с офицером по борьбе с терроризмом NAS Lemoore для получения разрешения на все поездки OCONUS по телефону (559) 998-4794.

В рамках подготовки семей военнослужащих и в соответствии с DoDI 1342.22 антитеррористическое обучение I уровня доступно для членов семей военнослужащих.
Членам семьи настоятельно рекомендуется пройти ознакомительный курс AT Level I. Обучение
AT Level I доступно в Интернете по адресу https://jko.jten.mil/courses/AT-level1/launch.html, или свяжитесь с офицером по борьбе с терроризмом NAS Lemoore по телефону (559) 998-4794.

Отказ от ответственности за перевод Google

• Google Translate, сторонняя служба, предоставляемая Google, выполняет все переводы напрямую и динамически.
• Командир военно-морского флота Северо-Запада, cnrnw.cnic.navy.mil не контролирует возможности, функции или производительность службы Google Translate.
• Автоматизированные переводы не следует считать точными, и их следует использовать только как приближение к оригинальному содержанию на английском языке.
• Эта услуга предназначена исключительно для помощи пользователям веб-сайта с ограниченным знанием английского языка.
• Командующий Северо-Западным военно-морским регионом, cnrnw.cnic.navy.mil не гарантирует точность, надежность или своевременность любой переведенной информации.
• Некоторые элементы не могут быть переведены, включая, помимо прочего, кнопки изображений, раскрывающиеся меню, графику, фотографии или переносимые форматы документов (pdf).
• Commander, Navy Region Northwest, cnrnw.cnic.navy.mil напрямую не поддерживает Google Translate и не подразумевает, что это единственное решение для языкового перевода, доступное пользователям.
• Все посетители сайта могут использовать аналогичные инструменты для перевода. Любые лица или стороны, которые используют контент Commander, Navy Region Northwest, cnrnw.cnic.navy.mil в переведенной форме, будь то с помощью Google Translate или любых других служб перевода, делают это на свой страх и риск.
• Пользователи IE: Обратите внимание, что Google Translate может неправильно отображать текст при использовании Internet Explorer. Пользователям рекомендуется использовать браузер MS Edge, Safari, Chrome или Firefox, чтобы в полной мере воспользоваться функцией Google Translate.
• Официальным текстом контента на этом сайте является английская версия, найденная на этом сайте. При возникновении вопросов, связанных с достоверностью информации, содержащейся в переведенном тексте, обращайтесь к англоязычной версии на этом сайте, она является официальной версией.

Навигация по процессу ATO федерального правительства США для специалистов по ИТ-безопасности

Особенности

Автор: Джо Анна Беннерсон, CISA, CGEIT, CPA, ITILv3, PMP

Дата публикации: 6 марта 2017 г.
Загрузить PDF

Специалисты по ИТ-безопасности, такие как менеджеры по управлению рисками и менеджеры по информационной безопасности, обслуживают информационную систему федерального правительственного агентства США, используя Федеральный закон об управлении информационной безопасностью (FISMA) способом, уникальным для федеральное правительство США. Для этого они сталкиваются с процессом авторизации безопасности Управления по эксплуатации (ATO), который предназначен для обеспечения безопасности информационных систем агентства.

ATO — это полномочный орган по принятию решений, кульминацией которого является процесс авторизации безопасности системы информационных технологий в федеральном правительстве США, что является уникальной отраслью, требующей специализированных практик. Рисунок 1. предоставляет информацию об ATO.

В этой статье обсуждаются подходы к расширению знаний специалиста по информационной безопасности о процессе авторизации безопасности ATO федерального правительства США и его обязанностях в узкой отрасли федерального правительства США.

Процесс обеспечения безопасности ATO используется для того, чтобы федеральное правительственное агентство определило, следует ли предоставить разрешение на работу конкретной информационной системы в течение определенного периода времени, оценив, можно ли принять риск мер безопасности. Процесс ATO:

• Не является аудитом и не может называться аудитом ATO
• Документирует принятые меры безопасности и процесс обеспечения безопасности для федеральных правительственных учреждений США, сосредоточив внимание на конкретной системе
• Создает документацию, которую иногда можно использовать в качестве доказательства в другой оценке, такой как внутренний аудит, например, путем обмена копиями запросов на управление изменениями, которые можно использовать. Совместно используемая документация часто может использоваться как часть интегрированного процесса подтверждения.
• Часто привлекает специалистов из разных областей различных федеральных агентств для контроля безопасности и конфиденциальности. Никакой квалификации для вовлеченных в процесс АТО не прописано. Например, кого-то из бюджетного отдела могут спросить о документах на закупку, системного администратора могут попросить предоставить процедуру предоставления доступа, или руководителя проекта могут попросить представить план проекта, в котором указаны сроки выполнения корректирующих действий. реализованы в системе.
• Текущего пробела в навыках нет, и это не указывает на необходимость специальных глобальных сертификатов. Тем не менее, сертифицированный аудитор информационных систем (CISA), сертифицированный специалист по управлению рисками и информационными системами (CRISC), сертифицированный менеджер по информационной безопасности (CISM), сертифицированный в области управления корпоративными ИТ (CGEIT) или другой сертификат и опыт ИТ-специалиста, скорее всего, будут получены быстрее. вовлеките одного в процесс ATO.

Этапы процесса ATO и знание принципов управления ИТ

Чтобы понять процесс ATO, нужно понять структуру управления ИТ. Необходимые шаги для проведения процесса авторизации безопасности ATO:

1. Классифицировать информационные системы в организации, т. е. определить критичность информационной системы на основе потенциального неблагоприятного воздействия на бизнес.
2. Выберите базовые элементы управления безопасностью.
3. Внедрите эти меры безопасности, т. е. внедрите меры безопасности в корпоративную архитектуру агентства.
4. Оцените меры безопасности, чтобы определить их эффективность.
5. Авторизуйте систему.
6. Следите за системой.

Специалист по информационной безопасности работает над сбором документации по результатам системного проекта на этапах (планирование, требования, проектирование, разработка, тестирование, внедрение и обслуживание) жизненного цикла разработки программного обеспечения (SDLC) ⁸ или жизненного цикла системного проектирования Цикл (SELC) ⁹ рамок. Эта информация необходима в качестве документации в процессе ATO и свидетельствует о категоризации, выборе, внедрении и оценке шагов при одновременном выполнении заявленных схем управления ИТ.

Рис. 2 представляет собой краткий обзор управления ИТ-безопасностью федерального правительства США.

Просмотреть увеличенное изображение .

Ключевыми сотрудниками в процессе ATO, с которыми следует быстро ознакомиться, являются санкционирующее должностное лицо (AO), сотрудник по безопасности информационных систем (ISSO) и эксперт по безопасности. ¹⁰ Часто уполномоченным должностным лицом выступает директор по информационной безопасности (CISO) и/или сотрудник по вопросам конфиденциальности. Это лицо называется старшим должностным лицом по информационной безопасности агентства (SAISO), которое является контактным лицом в федеральном правительственном агентстве и отвечает за безопасность его информационной системы. ¹¹

Просмотреть увеличенное изображение .

ISSO работает с владельцем системы, выступая в качестве главного консультанта по всем вопросам, связанным с безопасностью ИТ-системы. ISSO обладает подробными знаниями и опытом, необходимыми для управления аспектами безопасности.

Оценщик безопасности проводит всестороннюю оценку управленческих, операционных и технических мер безопасности и усовершенствований мер, используемых в информационной системе или унаследованных ею, чтобы определить общую эффективность мер безопасности (т. е. степень, в которой меры безопасности реализованы правильно , работающий по назначению и обеспечивающий желаемый результат в отношении соответствия требованиям безопасности).

Как правило, ISSO работает с ИТ-группой над подготовкой необходимых документов — плана безопасности системы (SSP), анализа порога конфиденциальности (PTA), плана действий в чрезвычайных ситуациях (CP) и т. д. Затем эксперт по безопасности оценивает информацию и готовит отчет. отчет об оценке безопасности (SAR). Когда все завершено, AO предоставляет ATO. Часто аудиторы могут использовать эту информацию для своих аудитов.

Обеспечение безопасности с помощью ЦРУ

Общая цель программы информационной безопасности состоит в том, чтобы защитить информацию и системы, которые поддерживают операции и активы агентства, с помощью целей безопасности, показанных на рисунке 3 :

• Конфиденциальность санкционированные ограничения на доступ к информации и ее раскрытие
• Целостность — Защита от несанкционированного изменения или уничтожения информации
• Доступность — Обеспечение своевременного и надежного доступа к информации и ее использования

Понимание NIST Risk Management Framework (RMF) ¹⁷ закладывает основу для понимания того, как осуществляется и оценивается жизненный цикл безопасности ИТ-системы. Из инвентарного списка своих ИТ-систем агентство будет использовать свои собственные критерии, чтобы определить, какая система может быть частью аудита FISMA, следовательно, система, подлежащая отчетности FISMA. Это, как правило, системы финансовой отчетности, системы общей поддержки (GSS) и основные приложения (MA). Для выполнения авторизации безопасности ATO необходимо выполнить шесть шагов в RMF ( рисунок 4 ):

1. Категоризация — Каков общий уровень риска системы на основе целей безопасности, таких как конфиденциальность, целостность и доступность? Было ли оно классифицировано как сильное, умеренное или слабое воздействие? Это GSS, MA, второстепенное приложение или подсистема? Ключевым моментом является определение и документирование границ системы. ¹⁸
2. Выберите —Используя классификацию системы, был ли выбран соответствующий уровень контроля? Системы будут оцениваться на уровне операционной системы, приложений и баз данных. Какие средства контроля выбираются для снижения риска? На этом шаге находятся базовые средства управления безопасностью используемых мер безопасности или контрмер и определение минимальных требований гарантии.
3. Реализовать —Внедрены или запланированы отдельные средства контроля, или существуют компенсирующие меры? Унаследованы ли элементы управления от другой системы или от общих элементов управления, или они специфичны для системы или являются гибридными? Что может продемонстрировать элементы управления?
4. Оценка —Посредством проверки доказательств средства контроля тестируются, чтобы определить, находятся ли они на месте и работают ли они должным образом.
5. Авторизация — Документы передаются АО, который либо принимает, либо отрицает риск системы в решении об аккредитации. Пакет аккредитации состоит из: ¹⁹
   • Письмо-решение об аккредитации
   • План безопасности системы (SSP) — предоставлены критерии, когда план следует обновлять
   • Отчет об оценке безопасности (SAR) — обновляется на постоянной основе для внесения изменений либо в меры безопасности в этой информационной системе, либо в унаследованные общие меры безопасности
   • План действий и основные этапы (POAM) для любого оставшегося исправления нерешенных проблем или недостатков
6. Монитор — NIST заявляет, что цель программы непрерывного мониторинга состоит в том, чтобы определить, продолжает ли полный набор запланированных, требуемых и развернутых мер безопасности в информационной системе или унаследованных системой быть эффективным с течением времени в свете неизбежных происходящие изменения. POAM адресуют изменения в системе; ²⁰ NIST SP, 800-137 предоставляет рекомендации ( рисунок 5 ). ²¹

Элементы управления безопасностью

На рис. 6 показаны шаги NIST RMF для ATO. Существует три класса мер безопасности: управленческие, операционные и технические (ТО). Эти элементы управления разделены на 18 семейств элементов управления. На рисунке 7 показаны семейства мер безопасности и средства управления MOT.

Просмотреть увеличенное изображение .

Участие в процессе ATO

На этапе оценки необходимо ответить на следующие вопросы:

• Является ли система GSS или MA, второстепенным приложением или подсистемой?
• Изучение его истории, ролей и обязанностей, текущего состояния, границ его системы, а также того, какие средства контроля действуют или планируются?
• Кто выполняет элементы управления и где можно получить доказательства, такие как IP-адреса и списки доступа пользователей (ACL)?
• Кто предоставляет доступ, когда выполняется сканирование и как обрабатываются отчеты об инцидентах?
• Кто контакт?
• Что свидетельствует о других средствах контроля ИТ (включая письменную документацию, т. е. политики, стандартные операционные процедуры [СОП], соглашения об уровне обслуживания [SLA], делегирование полномочий, общие средства контроля, URL-адреса, снимки экрана)?
• Каков уровень конфиденциальности, включая PII?

Следует запросить или установить значительное время для начала сбора информации для предварительного или чернового варианта того, что исторически называлось запросом аудитора, списка предоставленных клиентом (PBC), графиков, документов, вопросов, запрошенных электронных таблиц или чтения -доступ только к определенным репозиториям или системам.

Таким образом, следует в полной мере использовать NIST 800-53, редакция 4, «Управление безопасностью и конфиденциальностью для федеральных информационных систем и организаций», в котором особое внимание уделяется контролю безопасности и конфиденциальности. ³⁴ Затем используйте NIST 800-53A, «Оценка мер безопасности и конфиденциальности в федеральных информационных системах и организациях: построение эффективных планов оценки», чтобы оценить меры. ³⁵ В федеральном правительстве обычно есть:

• ISSO или команда ISSO
• Отдельная независимая группа по оценке (оценщики безопасности), которая проверяет, что сделала команда ISSO

Эти две команды подготавливают все для пакета авторизации в процессе авторизации безопасности C&A или A&A.

Уполномоченное должностное лицо рассматривает пакет для принятия решения УУО о предоставлении или отказе в разрешении на эксплуатацию системы в течение трех лет. Если в систему внесены существенные изменения, ее необходимо будет повторно авторизовать. ³⁶ Помните о непрерывном мониторинге и думайте о POAM.

Заключение

Как специалист по информационной безопасности, можно быстро ориентироваться в отраслевых практиках федерального правительства США, понимая процесс ATO. Используя традиционные знания в области ИТ-безопасности и ознакомившись с управлением ИТ федеральным правительством США, можно понять процесс, в результате которого принимается решение об ATO. Это решение, которое АО федерального агентства специалистов по информационной безопасности принимает на себя риск ИТ-системы. У ISSO и групп оценщиков безопасности есть документация, разработанная в рамках процесса безопасности C&A или A&A агентства.

При выполнении работы с точки зрения FISMA следует также узнать больше о NIST RMF и о том, как планируются и внедряются средства контроля для снижения риска с помощью рекомендаций NIST — FIPS 199, FIPS 200, SP 800-53 Rev.4 и SP. 800- 53А. Эти знания не только послужат прочной вводной основой, но и послужат базовым протоколом для руководства по ИТ-безопасности федерального правительства.

Примечания

¹ Исполнительный аппарат президента США, Административно-бюджетное управление, «M-03-22, Руководство OMB по реализации положений о конфиденциальности Закона об электронном правительстве 2002 г.», 26 сентября 2003
² Национальное партнерство за переосмысление правительства, Архив, «Резюме: Закон о реформе управления информационными технологиями от 1996 г. », http://govinfo.library.unt.edu/npr/library/misc/itref.html
³ Национальный институт стандартов и технологий, Федеральный закон об управлении информационной безопасностью от 2002 г., «Подробный обзор», США, 25 августа 2016 г., http://csrc.nist.gov/groups/SMA/fisma/overview.html
⁴ Там же .
⁵ Исполнительная канцелярия президента США, Административно-бюджетное управление, «Пересмотренный циркуляр № A-130», 28 ноября 2000 г.
⁶ Опубликовано, Национальный институт стандартов и технологий, 25 августа 2016 г.
⁷ Национальный институт стандартов и технологий, «Специальные публикации NIST (SP)», США, 8 апреля 2016 г., http://csrc.nist .gov/publications/PubsSPs.html
⁸ ComputerWorld , «Жизненный цикл разработки системы», 14 мая 2001 г., www.computerworld.com/article/2576450/app-development/app-development-system-development-life -cycle.html
⁹ Министерство внутренней безопасности, Управление генерального инспектора, «Сильные стороны и проблемы управления информационными технологиями CBP», США, июнь 2012 г. , рис. 4, с. 12, www.oig.dhs.gov/assets/Mgmt/2012/OIG_12-95_Jun12.pdf
¹⁰ Национальный институт стандартов и технологий, «Руководство по применению структуры управления рисками к федеральным информационным системам: подход к жизненному циклу безопасности, редакция 1», NIST SP 800-37, США, февраль 2010 г., приложение D , http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-37r1.pdf
¹¹ Департамент внутренней безопасности, «Политика DHS в отношении чувствительных систем, Директива 4300A, версия 11.0», США, 14 января 2015 г., www.dhs.gov/xlibrary/assets/foia/mgmt_directive_4300a_policy_v8.pdf
¹² Министерство внутренней безопасности, «Федеральный закон о модернизации информационной безопасности (FISMA)», США, 3 октября 2016 г., www.dhs.gov/fisma
¹³ Там же .
¹⁴ Департамент внутренней безопасности, Группа готовности к компьютерным чрезвычайным ситуациям США, «О нас», США, www.us-cert. gov/about-us
¹⁵ процесса сертификации и аккредитации в области обеспечения информационной безопасности (DIACAP)», США
¹⁶ Управление общих служб, «Федеральная программа управления рисками и авторизацией FedRAMP», США, www.gsa.gov/portal/category/102371
¹⁷ Опубликовано , Национальный институт стандартов и технологий, февраль 2010 г.
¹⁸ Опубликовано , Министерство внутренней безопасности, 14 января 2015 г.
¹⁹ Там же .
²⁰ Национальный институт стандартов и технологий, «Часто задаваемые вопросы, непрерывный мониторинг», США, http://csrc.nist.gov/groups/SMA/fisma/documents/faq-continuous-monitoring.pdf
²¹ Национальный институт стандартов и технологий, «Непрерывный мониторинг информационной безопасности (ISCM) для федеральных информационных систем и организаций», NIST SP 800-137, США, сентябрь 2011 г., http://nvlpubs.nist.gov/nistpubs/ Legacy/SP/nistspecialpublication800-137. pdf
²² Опубликовано , Национальный институт стандартов и технологий, 8 апреля 2016 г.
²³ Национальный институт стандартов и технологий, «FIPS Publications», США, 16 октября 2015 г., http://csrc.nist.gov/publications/PubsFIPS.html
²⁴ Опубликовано , Национальный институт стандартов и технологий, февраль 2010 г.
²⁵ Национальный институт стандартов и технологий, «Стандарты для классификации безопасности федеральных информационных и информационных систем», Публикация FIPS 199, США, февраль 2004 г. , http://csrc.nist.gov/publications/fips/fips199/FIPS-PUB-199-final.pdf
²⁶ Национальный институт стандартов и технологий, «Том I: Руководство по сопоставлению типов информации и информационных систем». к категориям безопасности», СП 800-60 т. I, ред. 1, США, август 2008 г., http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-60v1r1.pdf
²⁷ Национальный институт стандартов и технологий, «Том II: Приложения к руководству по сопоставлению типов информации и информационных систем с категориями безопасности», SP 800-60 vol. II, ред. 1, США, август 2008 г., http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-60v2r1.pdf
²⁸ Национальный институт стандартов и технологий, «Стандарты категоризации безопасности федеральных Информация и информационные системы», Публикация FIPS 199, США, март 2006 г.
²⁹ Национальный институт стандартов и технологий, «Управление безопасностью и конфиденциальностью для федеральных информационных систем и организаций», NIST SP 800-53, редакция 4, США, апрель 2013 г., http://nvlpubs.nist.gov/nistpubs/SpecialPublications /NIST.SP.800-53r4.pdf
³⁰ Национальный институт стандартов и технологий, «Оценка мер безопасности и конфиденциальности в федеральных информационных системах и организациях», NIST SP 800-53A, редакция 4, США, декабрь 2014 г., http: //nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53Ar4.pdf
³¹ Опубликовано , Национальный институт стандартов и технологий, февраль 2010 г.
³² Национальный институт стандартов и технологий, «Дополнительное руководство по текущей авторизации: переход к управлению рисками в режиме, близком к реальному времени», США, июнь 2014 г. , http://csrc.nist.gov/publications/nistpubs/800-37-rev1/nist_oa_guidance.pdf
³³ Опубликовано , Национальный институт стандартов и технологий, сентябрь 2011 г.
³⁴ Опубликовано , Национальный институт стандартов и технологий, апрель 2013 г.
³⁵ Опубликовано , Национальный институт стандартов и технологий, декабрь 2014 г.
³⁶ Департамент внутренней безопасности, «Руководство по авторизации безопасности DHS, версия 11. 1, ” США, март 2015 г., www.dhs.gov/publication/dhs-security-authorization-process-guide

Джо Анна Беннерсон , CISA, CGEIT, CPA, ITILv3, PMP
Имеет более 20 лет опыта работы в качестве консультант в роли офицера по безопасности информационных систем в федеральных правительственных учреждениях США, начав свою карьеру в качестве сертифицированного бухгалтера и менеджера проектов, работающего в сфере финансовых услуг.