SecHard
5.6.4. NIST 800-53r5 Compliance
- seda peker
- Abdullah Can Çakar
Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından geliştirilen ve federal hükümete ait veya federal hükümetle sözleşme imzalayan kuruluşlar için bilgi sistemlerinin ve organizasyonlarının güvenlik ve gizlilik gereksinimlerini tanımlayan bir çerçeveye uyumluluk anlamına gelir. NIST 800-53r5, bilgi sistemlerinin ve organizasyonlarının siber saldırılara karşı korunmasına yardımcı olmak için tasarlanmıştır.
NIST 800-53r5 Compliance'ın amacı, federal hükümete ait veya federal hükümetle sözleşme imzalayan kuruluşlar için bilgi sistemlerinin ve organizasyonlarının güvenlik ve gizlilik gereksinimlerini belirlemek ve bu gereksinimleri karşılamak için gerekli olan kontrolleri tanımlamaktır.
NIST 800-53r5 Compliance, Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından çıkarılmıştır. NIST 800-53r5, 2023 yılında yayınlanmıştır.
NIST 800-53r5 Compliance, aşağıdaki kuruluşlar için zorunludur:
· Federal hükümete ait kuruluşlar
· Federal hükümetle sözleşme imzalayan kuruluşlar
Bu kuruluşlar, NIST 800-53r5'in gerekliliklerini yerine getirmek için bir plan geliştirmek ve bu planı uygulamak zorundadır.
NIST 800-53r5 Compliance'a uyum sağlamak için, kuruluşların aşağıdaki adımları atmaları gerekmektedir:
NIST 800-53r5'i inceleyin ve kuruluşunuz için önemli olan kontrolleri belirleyin.
Bu kontrolleri uygulamak için bir plan geliştirin.
Planı uygulayın ve etkinliğini değerlendirin.
NIST 800-53r5 Compliance, federal hükümete ait veya federal hükümetle sözleşme imzalayan kuruluşlar için bilgi sistemlerinin ve organizasyonlarının güvenlik ve gizlilik gereksinimlerini karşılamasına yardımcı olacak önemli bir araçtır.
NIST 800-53r5 compliance'ın temel gereksinimleri şunlardır:
· Risk yönetimi: Kuruluşların, bilgi sistemlerinin ve organizasyonlarının siber güvenlik risklerini tanımlaması, değerlendirmesi ve azaltması gerekir.
· Politikalar ve prosedürler: Kuruluşların, bilgi sistemlerinin ve organizasyonlarının siber güvenlik politikaları ve prosedürleri geliştirmesi gerekir.
· Teknik kontroller: Kuruluşların, bilgi sistemlerinin ve organizasyonlarının siber güvenlik risklerini azaltmak için teknik kontroller uygulaması gerekir.
· İnsan kaynakları: Kuruluşların, bilgi sistemlerinin ve organizasyonlarının siber güvenlik konusunda farkındalığı artırmak için insan kaynaklarına yatırım yapması gerekir.
· Sürekli gelişim: Kuruluşların, bilgi sistemlerinin ve organizasyonlarının siber güvenlik risklerini azaltmak için sürekli olarak geliştirme yapması gerekir.
NIST 800-53r5 Compliance, kuruluşların bilgi sistemlerinin ve organizasyonlarının güvenlik ve gizlilik gereksinimlerini karşılamasına yardımcı olacak çeşitli araç ve kaynakları da sağlamaktadır. Bu araçlar ve kaynaklar arasında, NIST 800-53r5 kılavuzları, eğitim materyalleri ve denetim hizmetleri yer almaktadır.
NIST 800-53r5 Compliance'ın, diğer siber güvenlik çerçevelerinden farkı, federal hükümete ait veya federal hükümetle sözleşme imzalayan kuruluşlar için özel olarak tasarlanmış olmasıdır. NIST 800-53r5, federal hükümete ait veya federal hükümetle sözleşme imzalayan kuruluşların siber güvenlik gereksinimlerini karşılamaları için gerekli olan kontrolleri tanımlamaktadır.
Madde | Sechard Tarafından Uygulanabilirlik |
|---|---|
AC-19 - Access Control for Mobile Devices | Uygulanabilir Değil |
AC-19(1) - Use of Writable and Portable Storage Devices | Uygulanabilir Değil |
AC-19(2) - Use of Personally Owned Portable Storage Devices | Uygulanabilir Değil |
AC-19(3) - Use of Portable Storage Devices with No Identifiable Owner | Uygulanabilir Değil |
AC-19(4) - Restrictions for Classified Information | Uygulanabilir |
AC-19(5) - Full Device or Container-based Encryption | Uygulanabilir Değil |
AC-3 - Access Enforcement | Uygulanabilir |
AC-3(1) - Restricted Access to Privileged Functions | Uygulanabilir |
AC-3(2) - Dual Authorization | Uygulanabilir Değil |
AC-3(3) - Mandatory Access Control | Uygulanabilir Değil |
AC-3(4) - Discretionary Access Control | Uygulanabilir |
AC-3(5) - Security-relevant Information | Uygulanabilir |
AC-3(6) - Protection of User and System Information | Uygulanabilir |
AC-3(7) - Role-based Access Control | Uygulanabilir |
AC-3(8) - Revocation of Access Authorizations | Uygulanabilir |
AC-3(9) - Controlled Release | Uygulanabilir Değil |
AC-3(10) - Audited Override of Access Control Mechanisms | Uygulanabilir Değil |
AC-3(11) - Restrict Access to Specific Information Types | Uygulanabilir Değil |
AC-3(12) - Assert and Enforce Application Access | Uygulanabilir Değil |
AC-3(13) - Attribute-based Access Control | Uygulanabilir Değil |
AC-3(14) - Individual Access | Uygulanabilir Değil |
AC-3(15) - Discretionary and Mandatory Access Control | Uygulanabilir Değil |
CM-5 - Access Restrictions for Change | Uygulanabilir |
CM-5(1) - Automated Access Enforcement and Audit Records | Uygulanabilir |
CM-5(2) - Review System Changes | Uygulanabilir Değil |
CM-5(3) - Signed Components | Uygulanabilir Değil |
CM-5(4) - Dual Authorization | Uygulanabilir Değil |
CM-5(5) - Privilege Limitation for Production and Operation | Uygulanabilir Değil |
CM-5(6) - Limit Library Privileges | Uygulanabilir Değil |
CM-5(7) - Automatic Implementation of Security Safeguards | Uygulanabilir |
PS-6 - Access Agreements | Uygulanabilir Değil |
PS-6(1) - Information Requiring Special Protection | Uygulanabilir Değil |
PS-6(2) - Classified Information Requiring Special Protection | Uygulanabilir Değil |
PS-6(3) - Post-employment Requirements | Uygulanabilir Değil |
AC-24 - Access Control Decisions | Uygulanabilir Değil |
AC-24(1) - Transmit Access Authorization Information | Uygulanabilir Değil |
AC-24(2) - No User or Process Identity | Uygulanabilir Değil |
PE-5 - Access Control for Output Devices | Uygulanabilir Değil |
PE-5(1) - Access to Output by Authorized Individuals | Uygulanabilir Değil |
PE-5(2) - Link to Individual Identity | Uygulanabilir Değil |
PE-5(3) - Marking Output Devices | Uygulanabilir Değil |
PE-4 - Access Control for Transmission | Uygulanabilir Değil |
AC-2 - Account Management | Uygulanabilir Değil |
AC-2(1) - Automated System Account Management | Uygulanabilir Değil |
AC-2(2) - Automated Temporary and Emergency Account Management | Uygulanabilir Değil |
AC-2(3) - Disable Accounts | Uygulanabilir Değil |
AC-2(4) - Automated Audit Actions | Uygulanabilir |
AC-2(5) - Inactivity Logout | Uygulanabilir Değil |
AC-2(6) - Dynamic Privilege Management | Uygulanabilir |
AC-2(7) - Privileged User Accounts | Uygulanabilir |
AC-2(8) - Dynamic Account Management | Uygulanabilir Değil |
AC-2(9) - Restrictions on Use of Shared and Group Accounts | Uygulanabilir Değil |
AC-2(10) - Shared and Group Account Credential Change | Uygulanabilir Değil |
AC-2(11) - Usage Conditions | Uygulanabilir Değil |
AC-2(12) - Account Monitoring for Atypical Usage | Uygulanabilir Değil |
AC-2(13) - Disable Accounts for High-risk Individuals | Uygulanabilir Değil |
PM-21 - Accounting of Disclosures | Uygulanabilir Değil |
SA-4 - Acquisition Process | Uygulanabilir Değil |
SA-4(1) - Functional Properties of Controls | Uygulanabilir Değil |
SA-4(2) - Design and Implementation Information for Controls | Uygulanabilir Değil |
SA-4(3) - Development Methods Techniques and Practices | Uygulanabilir Değil |
SA-4(4) - Assignment of Components to Systems | Uygulanabilir Değil |
SA-4(5) - System Component and Service Configurations | Uygulanabilir Değil |
SA-4(6) - Use of Information Assurance Products | Uygulanabilir Değil |
SA-4(7) - Niap-approved Protection Profiles | Uygulanabilir Değil |
SA-4(8) - Continuous Monitoring Plan for Controls | Uygulanabilir Değil |
SA-4(9) - Functions Ports Protocols and Services in Use | Uygulanabilir Değil |
SA-4(10) - Use of Approved PIV Products | Uygulanabilir Değil |
SA-4(11) - System of Records | Uygulanabilir Değil |
SA-4(12) - Data Ownership | Uygulanabilir Değil |
SR-5 - Acquisition Strategies Tools and Methods | Uygulanabilir Değil |
SR-5(1) - Adequate Supply | Uygulanabilir Değil |
SR-5(2) - Assessments Prior to Selection Acceptance Modification or Update | Uygulanabilir Değil |
IA-10 - Adaptive Authentication | Uygulanabilir Değil |
SA-2 - Allocation of Resources | Uygulanabilir Değil |
CP-6 - Alternate Storage Site | Uygulanabilir Değil |
CP-6(1) - Separation from Primary Site | Uygulanabilir Değil |
CP-6(2) - Recovery Time and Recovery Point Objectives | Uygulanabilir Değil |
CP-6(3) - Accessibility | Uygulanabilir Değil |
CP-7 - Alternate Processing Site | Uygulanabilir Değil |
CP-7(1) - Separation from Primary Site | Uygulanabilir Değil |
CP-7(2) - Accessibility | Uygulanabilir Değil |
CP-7(3) - Priority of Service | Uygulanabilir Değil |
CP-7(4) - Preparation for Use | Uygulanabilir Değil |
CP-7(5) - Equivalent Information Security Safeguards | Uygulanabilir Değil |
CP-7(6) - Inability to Return to Primary Site | Uygulanabilir Değil |
AU-15 - Alternate Audit Logging Capability | Uygulanabilir Değil |
PE-17 - Alternate Work Site | Uygulanabilir Değil |
SC-47 - Alternate Communications Paths | Uygulanabilir Değil |
CP-11 - Alternate Communications Protocols | Uygulanabilir Değil |
CP-13 - Alternative Security Mechanisms | Uygulanabilir Değil |
SC-22 - Architecture and Provisioning for Name/address Resolution Service | Uygulanabilir Değil |
PE-20 - Asset Monitoring and Tracking | Uygulanabilir |
AU-6 - Audit Record Review Analysis and Reporting | Uygulanabilir |
AU-6(1) - Automated Process Integration | Uygulanabilir Değil |
AU-6(2) - Automated Security Alerts | Uygulanabilir |
AU-6(3) - Correlate Audit Record Repositories | Uygulanabilir |
AU-6(4) - Central Review and Analysis | Uygulanabilir |
AU-6(5) - Integrated Analysis of Audit Records | Uygulanabilir |
AU-6(6) - Correlation with Physical Monitoring | Uygulanabilir Değil |
AU-6(7) - Permitted Actions | Uygulanabilir Değil |
AU-6(8) - Full Text Analysis of Privileged Commands | Uygulanabilir |
AU-6(9) - Correlation with Information from Nontechnical Sources | Uygulanabilir Değil |
AU-6(10) - Audit Level Adjustment | Uygulanabilir |
AU-12 - Audit Record Generation | Uygulanabilir |
AU-12(1) - System-wide and Time-correlated Audit Trail | Uygulanabilir Değil |
AU-12(2) - Standardized Formats | Uygulanabilir Değil |
AU-12(3) - Changes by Authorized Individuals | Uygulanabilir Değil |
AU-12(4) - Query Parameter Audits of Personally Identifiable Information | Uygulanabilir Değil |
AU-11 - Audit Record Retention | Uygulanabilir |
AU-11(1) - Long-term Retrieval Capability | Uygulanabilir Değil |
AU-7 - Audit Record Reduction and Report Generation | Uygulanabilir |
AU-7(1) - Automatic Processing | Uygulanabilir |
AU-7(2) - Automatic Sort and Search | Uygulanabilir |
AU-4 - Audit Log Storage Capacity | Uygulanabilir Değil |
AU-4(1) - Transfer to Alternate Storage | Uygulanabilir Değil |
IA-6 - Authentication Feedback | Uygulanabilir Değil |
IA-5 - Authenticator Management | Uygulanabilir Değil |
IA-5(1) - Password-based Authentication | Uygulanabilir |
IA-5(2) - Public Key-based Authentication | Uygulanabilir |
IA-5(3) - In-person or Trusted External Party Registration | Uygulanabilir Değil |
IA-5(4) - Automated Support for Password Strength Determination | Uygulanabilir |
IA-5(5) - Change Authenticators Prior to Delivery | Uygulanabilir Değil |
IA-5(6) - Protection of Authenticators | Uygulanabilir |
IA-5(7) - No Embedded Unencrypted Static Authenticators | Uygulanabilir Değil |
IA-5(8) - Multiple System Accounts | Uygulanabilir |
IA-5(9) - Federated Credential Management | Uygulanabilir |
IA-5(10) - Dynamic Credential Binding | Uygulanabilir Değil |
IA-5(11) - Hardware Token-based Authentication | Uygulanabilir Değil |
IA-5(12) - Biometric Authentication Performance | Uygulanabilir Değil |
IA-5(13) - Expiration of Cached Authenticators | Uygulanabilir |
IA-5(14) - Managing Content of PKI Trust Stores | Uygulanabilir Değil |
IA-5(15) - Gsa-approved Products and Services | Uygulanabilir Değil |
IA-5(16) - In-person or Trusted External Party Authenticator Issuance | Uygulanabilir Değil |
IA-5(17) - Presentation Attack Detection for Biometric Authenticators | Uygulanabilir Değil |
IA-5(18) - Password Managers | Uygulanabilir |
PT-2 - Authority to Process Personally Identifiable Information | Uygulanabilir Değil |
PT-2(1) - Data Tagging | Uygulanabilir Değil |
PT-2(2) - Automation | Uygulanabilir Değil |
CA-6 - Authorization | Uygulanabilir Değil |
CA-6(1) - Joint Authorization — Intra-organization | Uygulanabilir Değil |
CA-6(2) - Joint Authorization — Inter-organization | Uygulanabilir Değil |
PM-10 - Authorization Process | Uygulanabilir Değil |
AC-15 - Automated Marking | Uygulanabilir Değil |
PL-11 - Baseline Tailoring | Uygulanabilir Değil |
CM-2 - Baseline Configuration | Uygulanabilir |
CM-2(1) - Reviews and Updates | Uygulanabilir |
CM-2(2) - Automation Support for Accuracy and Currency | Uygulanabilir Değil |
CM-2(3) - Retention of Previous Configurations | Uygulanabilir Değil |
CM-2(4) - Unauthorized Software | Uygulanabilir Değil |
CM-2(5) - Authorized Software | Uygulanabilir Değil |
CM-2(6) - Development and Test Environments | Uygulanabilir Değil |
CM-2(7) - Configure Systems and Components for High-risk Areas | Uygulanabilir Değil |
PL-10 - Baseline Selection | Uygulanabilir Değil |
SC-7 - Boundary Protection | Uygulanabilir Değil |
SC-7(1) - Physically Separated Subnetworks | Uygulanabilir Değil |
SC-7(2) - Public Access | Uygulanabilir Değil |
SC-7(3) - Access Points | Uygulanabilir Değil |
SC-7(4) - External Telecommunications Services | Uygulanabilir Değil |
SC-7(5) - Deny by Default — Allow by Exception | Uygulanabilir Değil |
SC-7(6) - Response to Recognized Failures | Uygulanabilir Değil |
SC-7(7) - Split Tunneling for Remote Devices | Uygulanabilir Değil |
SC-7(8) - Route Traffic to Authenticated Proxy Servers | Uygulanabilir Değil |
SC-7(9) - Restrict Threatening Outgoing Communications Traffic | Uygulanabilir Değil |
SC-7(10) - Prevent Exfiltration | Uygulanabilir Değil |
SC-7(11) - Restrict Incoming Communications Traffic | Uygulanabilir Değil |
SC-7(12) - Host-based Protection | Uygulanabilir Değil |
SC-7(13) - Isolation of Security Tools Mechanisms and Support Components | Uygulanabilir Değil |
SC-7(14) - Protect Against Unauthorized Physical Connections | Uygulanabilir Değil |
SC-7(15) - Networked Privileged Accesses | Uygulanabilir Değil |
SC-7(16) - Prevent Discovery of System Components | Uygulanabilir Değil |
SC-7(17) - Automated Enforcement of Protocol Formats | Uygulanabilir Değil |
SC-7(18) - Fail Secure | Uygulanabilir Değil |
SC-7(19) - Block Communication from Non-organizationally Configured Hosts | Uygulanabilir Değil |
SC-7(20) - Dynamic Isolation and Segregation | Uygulanabilir Değil |
SC-7(21) - Isolation of System Components | Uygulanabilir Değil |
SC-7(22) - Separate Subnets for Connecting to Different Security Domains | Uygulanabilir Değil |
SC-7(23) - Disable Sender Feedback on Protocol Validation Failure | Uygulanabilir Değil |
SC-7(24) - Personally Identifiable Information | Uygulanabilir Değil |
SC-7(25) - Unclassified National Security System Connections | Uygulanabilir Değil |
SC-7(26) - Classified National Security System Connections | Uygulanabilir Değil |
SC-7(27) - Unclassified Non-national Security System Connections | Uygulanabilir Değil |
SC-7(28) - Connections to Public Networks | Uygulanabilir Değil |
SC-7(29) - Separate Subnets to Isolate Functions | Uygulanabilir Değil |
PL-9 - Central Management | Uygulanabilir |
SC-15 - Collaborative Computing Devices and Applications | Uygulanabilir Değil |
SC-15(1) - Physical or Logical Disconnect | Uygulanabilir Değil |
SC-15(2) - Blocking Inbound and Outbound Communications Traffic | Uygulanabilir Değil |
SC-15(3) - Disabling and Removal in Secure Work Areas | Uygulanabilir Değil |
SC-15(4) - Explicitly Indicate Current Participants | Uygulanabilir Değil |
PM-26 - Complaint Management | Uygulanabilir Değil |
SA-19 - Component Authenticity | Uygulanabilir Değil |
SA-19(1) - Anti-counterfeit Training | Uygulanabilir Değil |
SA-19(2) - Configuration Control for Component Service and Repair | Uygulanabilir Değil |
SA-19(3) - Component Disposal | Uygulanabilir Değil |
SA-19(4) - Anti-counterfeit Scanning | Uygulanabilir Değil |
SR-11 - Component Authenticity | Uygulanabilir Değil |
SR-11(1) - Anti-counterfeit Training | Uygulanabilir Değil |
SR-11(2) - Configuration Control for Component Service and Repair | Uygulanabilir Değil |
SR-11(3) - Anti-counterfeit Scanning | Uygulanabilir Değil |
SR-12 - Component Disposal | Uygulanabilir Değil |
PE-22 - Component Marking | Uygulanabilir Değil |
PT-8 - Computer Matching Requirements | Uygulanabilir Değil |
SC-30 - Concealment and Misdirection | Uygulanabilir Değil |
SC-30(1) - Virtualization Techniques | Uygulanabilir Değil |
SC-30(2) - Randomness | Uygulanabilir Değil |
SC-30(3) - Change Processing and Storage Locations | Uygulanabilir Değil |
SC-30(4) - Misleading Information | Uygulanabilir Değil |
SC-30(5) - Concealment of System Components | Uygulanabilir Değil |
PL-7 - Concept of Operations | Uygulanabilir Değil |
AC-10 - Concurrent Session Control | Uygulanabilir Değil |
CM-9 - Configuration Management Plan | Uygulanabilir Değil |
CM-9(1) - Assignment of Responsibility | Uygulanabilir Değil |
CM-3 - Configuration Change Control | Uygulanabilir Değil |
CM-3(1) - Automated Documentation Notification and Prohibition of Changes | Uygulanabilir Değil |
CM-3(2) - Testing Validation and Documentation of Changes | Uygulanabilir Değil |
CM-3(3) - Automated Change Implementation | Uygulanabilir Değil |
CM-3(4) - Security and Privacy Representatives | Uygulanabilir Değil |
CM-3(5) - Automated Security Response | Uygulanabilir Değil |
CM-3(6) - Cryptography Management | Uygulanabilir Değil |
CM-3(7) - Review System Changes | Uygulanabilir Değil |
CM-3(8) - Prevent or Restrict Configuration Changes | Uygulanabilir Değil |
CM-6 - Configuration Settings | Uygulanabilir Değil |
CM-6(1) - Automated Management Application and Verification | Uygulanabilir |
CM-6(2) - Respond to Unauthorized Changes | Uygulanabilir |
CM-6(3) - Unauthorized Change Detection | Uygulanabilir |
CM-6(4) - Conformance Demonstration | Uygulanabilir Değil |
PT-4 - Consent | Uygulanabilir Değil |
PT-4(1) - Tailored Consent | Uygulanabilir Değil |
PT-4(2) - Just-in-time Consent | Uygulanabilir Değil |
PT-4(3) - Revocation | Uygulanabilir Değil |
AT-5 - Contacts with Security Groups and Associations | Uygulanabilir Değil |
AU-3 - Content of Audit Records | Uygulanabilir Değil |
AU-3(1) - Additional Audit Information | Uygulanabilir Değil |
AU-3(2) - Centralized Management of Planned Audit Record Content | Uygulanabilir Değil |
AU-3(3) - Limit Personally Identifiable Information Elements | Uygulanabilir Değil |
CP-4 - Contingency Plan Testing | Uygulanabilir Değil |
CP-4(1) - Coordinate with Related Plans | Uygulanabilir Değil |
CP-4(2) - Alternate Processing Site | Uygulanabilir Değil |
CP-4(3) - Automated Testing | Uygulanabilir Değil |
CP-4(4) - Full Recovery and Reconstitution | Uygulanabilir Değil |
CP-4(5) - Self-challenge | Uygulanabilir Değil |
CP-3 - Contingency Training | Uygulanabilir Değil |
CP-3(1) - Simulated Events | Uygulanabilir Değil |
CP-3(2) - Mechanisms Used in Training Environments | Uygulanabilir Değil |
CP-2 - Contingency Plan | Uygulanabilir Değil |
CP-2(1) - Coordinate with Related Plans | Uygulanabilir Değil |
CP-2(2) - Capacity Planning | Uygulanabilir Değil |
CP-2(3) - Resume Mission and Business Functions | Uygulanabilir Değil |
CP-2(4) - Resume All Mission and Business Functions | Uygulanabilir Değil |
CP-2(5) - Continue Mission and Business Functions | Uygulanabilir Değil |
CP-2(6) - Alternate Processing and Storage Sites | Uygulanabilir Değil |
CP-2(7) - Coordinate with External Service Providers | Uygulanabilir Değil |
CP-2(8) - Identify Critical Assets | Uygulanabilir Değil |
CP-5 - Contingency Plan Update | Uygulanabilir Değil |
CA-7 - Continuous Monitoring | Uygulanabilir Değil |
CA-7(1) - Independent Assessment | Uygulanabilir Değil |
CA-7(2) - Types of Assessments | Uygulanabilir Değil |
CA-7(3) - Trend Analyses | Uygulanabilir Değil |
CA-7(4) - Risk Monitoring | Uygulanabilir Değil |
CA-7(5) - Consistency Analysis | Uygulanabilir Değil |
CA-7(6) - Automation Support for Monitoring | Uygulanabilir Değil |
PM-31 - Continuous Monitoring Strategy | Uygulanabilir Değil |
CA-2 - Control Assessments | Uygulanabilir Değil |
CA-2(1) - Independent Assessors | Uygulanabilir Değil |
CA-2(2) - Specialized Assessments | Uygulanabilir Değil |
CA-2(3) - Leveraging Results from External Organizations | Uygulanabilir Değil |
MA-2 - Controlled Maintenance | Uygulanabilir Değil |
MA-2(1) - Record Content | Uygulanabilir Değil |
MA-2(2) - Automated Maintenance Activities | Uygulanabilir Değil |
SC-31 - Covert Channel Analysis | Uygulanabilir Değil |
SC-31(1) - Test Covert Channels for Exploitability | Uygulanabilir Değil |
SC-31(2) - Maximum Bandwidth | Uygulanabilir Değil |
SC-31(3) - Measure Bandwidth in Operational Environments | Uygulanabilir Değil |
PM-8 - Critical Infrastructure Plan | Uygulanabilir Değil |
RA-9 - Criticality Analysis | Uygulanabilir Değil |
SA-14 - Criticality Analysis | Uygulanabilir Değil |
SA-14(1) - Critical Components with No Viable Alternative Sourcing | Uygulanabilir Değil |
SC-46 - Cross Domain Policy Enforcement | Uygulanabilir Değil |
AU-16 - Cross-organizational Audit Logging | Uygulanabilir Değil |
AU-16(1) - Identity Preservation | Uygulanabilir Değil |
AU-16(2) - Sharing of Audit Information | Uygulanabilir Değil |
AU-16(3) - Disassociability | Uygulanabilir Değil |
SC-12 - Cryptographic Key Establishment and Management | Uygulanabilir |
SC-12(1) - Availability | Uygulanabilir Değil |
SC-12(2) - Symmetric Keys | Uygulanabilir Değil |
SC-12(3) - Asymmetric Keys | Uygulanabilir Değil |
SC-12(4) - PKI Certificates | Uygulanabilir Değil |
SC-12(5) - PKI Certificates / Hardware Tokens | Uygulanabilir Değil |
SC-12(6) - Physical Control of Keys | Uygulanabilir Değil |
SC-13 - Cryptographic Protection | Uygulanabilir Değil |
SC-13(1) - Fips-validated Cryptography | Uygulanabilir Değil |
SC-13(2) - Nsa-approved Cryptography | Uygulanabilir Değil |
SC-13(3) - Individuals Without Formal Access Approvals | Uygulanabilir Değil |
SC-13(4) - Digital Signatures | Uygulanabilir Değil |
IA-7 - Cryptographic Module Authentication | Uygulanabilir Değil |
SA-20 - Customized Development of Critical Components | Uygulanabilir Değil |
AC-23 - Data Mining Protection | Uygulanabilir Değil |
PM-23 - Data Governance Body | Uygulanabilir Değil |
CM-13 - Data Action Mapping | Uygulanabilir Değil |
PM-24 - Data Integrity Board | Uygulanabilir Değil |
SI-19 - De-identification | Uygulanabilir Değil |
SI-19(1) - Collection | Uygulanabilir Değil |
SI-19(2) - Archiving | Uygulanabilir Değil |
SI-19(3) - Release | Uygulanabilir Değil |
SI-19(4) - Removal Masking Encryption Hashing or Replacement of Direct Identifiers | Uygulanabilir Değil |
SI-19(5) - Statistical Disclosure Control | Uygulanabilir Değil |
SI-19(6) - Differential Privacy | Uygulanabilir Değil |
SI-19(7) - Validated Algorithms and Software | Uygulanabilir Değil |
SI-19(8) - Motivated Intruder | Uygulanabilir Değil |
SC-26 - Decoys | Uygulanabilir Değil |
SC-26(1) - Detection of Malicious Code | Uygulanabilir Değil |
PE-16 - Delivery and Removal | Uygulanabilir Değil |
SC-5 - Denial-of-service Protection | Uygulanabilir Değil |
SC-5(1) - Restrict Ability to Attack Other Systems | Uygulanabilir Değil |
SC-5(2) - Capacity Bandwidth and Redundancy | Uygulanabilir Değil |
SC-5(3) - Detection and Monitoring | Uygulanabilir Değil |
SC-44 - Detonation Chambers | Uygulanabilir Değil |
SA-17 - Developer Security and Privacy Architecture and Design | Uygulanabilir Değil |
SA-17(1) - Formal Policy Model | Uygulanabilir Değil |
SA-17(2) - Security-relevant Components | Uygulanabilir Değil |
SA-17(3) - Formal Correspondence | Uygulanabilir Değil |
SA-17(4) - Informal Correspondence | Uygulanabilir Değil |
SA-17(5) - Conceptually Simple Design | Uygulanabilir Değil |
SA-17(6) - Structure for Testing | Uygulanabilir Değil |
SA-17(7) - Structure for Least Privilege | Uygulanabilir Değil |
SA-17(8) - Orchestration | Uygulanabilir Değil |
SA-17(9) - Design Diversity | Uygulanabilir Değil |
SA-10 - Developer Configuration Management | Uygulanabilir Değil |
SA-10(1) - Software and Firmware Integrity Verification | Uygulanabilir Değil |
SA-10(2) - Alternative Configuration Management | Uygulanabilir Değil |
SA-10(3) - Hardware Integrity Verification | Uygulanabilir Değil |
SA-10(4) - Trusted Generation | Uygulanabilir Değil |
SA-10(5) - Mapping Integrity for Version Control | Uygulanabilir Değil |
SA-10(6) - Trusted Distribution | Uygulanabilir Değil |
SA-10(7) - Security and Privacy Representatives | Uygulanabilir Değil |
SA-11 - Developer Testing and Evaluation | Uygulanabilir Değil |
SA-11(1) - Static Code Analysis | Uygulanabilir Değil |
SA-11(2) - Threat Modeling and Vulnerability Analyses | Uygulanabilir Değil |
SA-11(3) - Independent Verification of Assessment Plans and Evidence | Uygulanabilir Değil |
SA-11(4) - Manual Code Reviews | Uygulanabilir Değil |
SA-11(5) - Penetration Testing | Uygulanabilir Değil |
SA-11(6) - Attack Surface Reviews | Uygulanabilir Değil |
SA-11(7) - Verify Scope of Testing and Evaluation | Uygulanabilir Değil |
SA-11(8) - Dynamic Code Analysis | Uygulanabilir Değil |
SA-11(9) - Interactive Application Security Testing | Uygulanabilir Değil |
SA-21 - Developer Screening | Uygulanabilir Değil |
SA-21(1) - Validation of Screening | Uygulanabilir Değil |
SA-16 - Developer-provided Training | Uygulanabilir Değil |
SA-15 - Development Process Standards and Tools | Uygulanabilir Değil |
SA-15(1) - Quality Metrics | Uygulanabilir Değil |
SA-15(2) - Security and Privacy Tracking Tools | Uygulanabilir Değil |
SA-15(3) - Criticality Analysis | Uygulanabilir Değil |
SA-15(4) - Threat Modeling and Vulnerability Analysis | Uygulanabilir Değil |
SA-15(5) - Attack Surface Reduction | Uygulanabilir Değil |
SA-15(6) - Continuous Improvement | Uygulanabilir Değil |
SA-15(7) - Automated Vulnerability Analysis | Uygulanabilir Değil |
SA-15(8) - Reuse of Threat and Vulnerability Information | Uygulanabilir Değil |
SA-15(9) - Use of Live Data | Uygulanabilir Değil |
SA-15(10) - Incident Response Plan | Uygulanabilir Değil |
SA-15(11) - Archive System or Component | Uygulanabilir Değil |
SA-15(12) - Minimize Personally Identifiable Information | Uygulanabilir Değil |
IA-3 - Device Identification and Authentication | Uygulanabilir Değil |
IA-3(1) - Cryptographic Bidirectional Authentication | Uygulanabilir Değil |
IA-3(2) - Cryptographic Bidirectional Network Authentication | Uygulanabilir Değil |
IA-3(3) - Dynamic Address Allocation | Uygulanabilir Değil |
IA-3(4) - Device Attestation | Uygulanabilir Değil |
AC-11 - Device Lock | Uygulanabilir Değil |
AC-11(1) - Pattern-hiding Displays | Uygulanabilir Değil |
PM-20 - Dissemination of Privacy Program Information | Uygulanabilir Değil |
PM-20(1) - Privacy Policies on Websites Applications and Digital Services | Uygulanabilir Değil |
SC-36 - Distributed Processing and Storage | Uygulanabilir Değil |
SC-36(1) - Polling Techniques | Uygulanabilir Değil |
SC-36(2) - Synchronization | Uygulanabilir Değil |
PE-21 - Electromagnetic Pulse Protection | Uygulanabilir Değil |
PE-10 - Emergency Shutoff | Uygulanabilir Değil |
PE-10(1) - Accidental and Unauthorized Activation | Uygulanabilir Değil |
PE-11 - Emergency Power | Uygulanabilir Değil |
PE-11(1) - Alternate Power Supply — Minimal Operational Capability | Uygulanabilir Değil |
PE-11(2) - Alternate Power Supply — Self-contained | Uygulanabilir Değil |
PE-12 - Emergency Lighting | Uygulanabilir Değil |
PE-12(1) - Essential Mission and Business Functions | Uygulanabilir Değil |
PM-7 - Enterprise Architecture | Uygulanabilir Değil |
PM-7(1) - Offloading | Uygulanabilir Değil |
PE-14 - Environmental Controls | Uygulanabilir Değil |
PE-14(1) - Automatic Controls | Uygulanabilir Değil |
PE-14(2) - Monitoring with Alarms and Notifications | Uygulanabilir Değil |
SI-11 - Error Handling | Uygulanabilir Değil |
AU-2 - Event Logging | Uygulanabilir Değil |
AU-2(1) - Compilation of Audit Records from Multiple Sources | Uygulanabilir Değil |
AU-2(2) - Selection of Audit Events by Component | Uygulanabilir Değil |
AU-2(3) - Reviews and Updates | Uygulanabilir Değil |
AU-2(4) - Privileged Functions | Uygulanabilir Değil |
SA-9 - External System Services | Uygulanabilir Değil |
SA-9(1) - Risk Assessments and Organizational Approvals | Uygulanabilir Değil |
SA-9(2) - Identification of Functions Ports Protocols and Services | Uygulanabilir Değil |
SA-9(3) - Establish and Maintain Trust Relationship with Providers | Uygulanabilir Değil |
SA-9(4) - Consistent Interests of Consumers and Providers | Uygulanabilir Değil |
SA-9(5) - Processing Storage and Service Location | Uygulanabilir Değil |
SA-9(6) - Organization-controlled Cryptographic Keys | Uygulanabilir Değil |
SA-9(7) - Organization-controlled Integrity Checking | Uygulanabilir Değil |
SA-9(8) - Processing and Storage Location — U.s. Jurisdiction | Uygulanabilir Değil |
SC-35 - External Malicious Code Identification | Uygulanabilir Değil |
PS-7 - External Personnel Security | Uygulanabilir Değil |
PE-23 - Facility Location | Uygulanabilir Değil |
SC-24 - Fail in Known State | Uygulanabilir Değil |
SI-17 - Fail-safe Procedures | Uygulanabilir Değil |
MA-7 - Field Maintenance | Uygulanabilir Değil |
PE-13 - Fire Protection | Uygulanabilir Değil |
PE-13(1) - Detection Systems – Automatic Activation and Notification | Uygulanabilir Değil |
PE-13(2) - Suppression Systems – Automatic Activation and Notification | Uygulanabilir Değil |
PE-13(3) - Automatic Fire Suppression | Uygulanabilir Değil |
PE-13(4) - Inspections | Uygulanabilir Değil |
SI-2 - Flaw Remediation | Uygulanabilir Değil |
SI-2(1) - Central Management | Uygulanabilir Değil |
SI-2(2) - Automated Flaw Remediation Status | Uygulanabilir Değil |
SI-2(3) - Time to Remediate Flaws and Benchmarks for Corrective Actions | Uygulanabilir Değil |
SI-2(4) - Automated Patch Management Tools | Uygulanabilir Değil |
SI-2(5) - Automatic Software and Firmware Updates | Uygulanabilir Değil |
SI-2(6) - Removal of Previous Versions of Software and Firmware | Uygulanabilir Değil |
SC-51 - Hardware-based Protection | Uygulanabilir Değil |
SC-49 - Hardware-enforced Separation and Policy Enforcement | Uygulanabilir Değil |
SC-29 - Heterogeneity | Uygulanabilir Değil |
SC-29(1) - Virtualization Techniques | Uygulanabilir Değil |
IA-8 - Identification and Authentication (non-organizational Users) | Uygulanabilir Değil |
IA-8(1) - Acceptance of PIV Credentials from Other Agencies | Uygulanabilir Değil |
IA-8(2) - Acceptance of External Authenticators | Uygulanabilir Değil |
IA-8(3) - Use of Ficam-approved Products | Uygulanabilir Değil |
IA-8(4) - Use of Defined Profiles | Uygulanabilir Değil |
IA-8(5) - Acceptance of PIV-I Credentials | Uygulanabilir Değil |
IA-8(6) - Disassociability | Uygulanabilir Değil |
IA-2 - Identification and Authentication (organizational Users) | Uygulanabilir |
IA-2(1) - Multi-factor Authentication to Privileged Accounts | Uygulanabilir |
IA-2(2) - Multi-factor Authentication to Non-privileged Accounts | Uygulanabilir |
IA-2(3) - Local Access to Privileged Accounts | Uygulanabilir |
IA-2(4) - Local Access to Non-privileged Accounts | Uygulanabilir |
IA-2(5) - Individual Authentication with Group Authentication | Uygulanabilir |
IA-2(6) - Access to Accounts — Separate Device | Uygulanabilir |
IA-2(7) - Access to Non-privileged Accounts — Separate Device | Uygulanabilir |
IA-2(8) - Access to Accounts — Replay Resistant | Uygulanabilir |
IA-2(9) - Network Access to Non-privileged Accounts — Replay Resistant | Uygulanabilir Değil |
IA-2(10) - Single Sign-on | Uygulanabilir Değil |
IA-2(11) - Remote Access — Separate Device | Uygulanabilir Değil |
IA-2(12) - Acceptance of PIV Credentials | Uygulanabilir Değil |
IA-2(13) - Out-of-band Authentication | Uygulanabilir Değil |
IA-4 - Identifier Management | Uygulanabilir Değil |
IA-4(1) - Prohibit Account Identifiers as Public Identifiers | Uygulanabilir Değil |
IA-4(2) - Supervisor Authorization | Uygulanabilir Değil |
IA-4(3) - Multiple Forms of Certification | Uygulanabilir Değil |
IA-4(4) - Identify User Status | Uygulanabilir Değil |
IA-4(5) - Dynamic Management | Uygulanabilir Değil |
IA-4(6) - Cross-organization Management | Uygulanabilir Değil |
IA-4(7) - In-person Registration | Uygulanabilir Değil |
IA-4(8) - Pairwise Pseudonymous Identifiers | Uygulanabilir Değil |
IA-4(9) - Attribute Maintenance and Protection | Uygulanabilir Değil |
IA-12 - Identity Proofing | Uygulanabilir Değil |
IA-12(1) - Supervisor Authorization | Uygulanabilir Değil |
IA-12(2) - Identity Evidence | Uygulanabilir Değil |
IA-12(3) - Identity Evidence Validation and Verification | Uygulanabilir Değil |
IA-12(4) - In-person Validation and Verification | Uygulanabilir Değil |
IA-12(5) - Address Confirmation | Uygulanabilir Değil |
IA-12(6) - Accept Externally-proofed Identities | Uygulanabilir Değil |
CM-4 - Impact Analyses | Uygulanabilir Değil |
CM-4(1) - Separate Test Environments | Uygulanabilir Değil |
CM-4(2) - Verification of Controls | Uygulanabilir Değil |
IR-4 - Incident Handling | Uygulanabilir Değil |
IR-4(1) - Automated Incident Handling Processes | Uygulanabilir Değil |
IR-4(2) - Dynamic Reconfiguration | Uygulanabilir |
IR-4(3) - Continuity of Operations | Uygulanabilir Değil |
IR-4(4) - Information Correlation | Uygulanabilir Değil |
IR-4(5) - Automatic Disabling of System | Uygulanabilir Değil |
IR-4(6) - Insider Threats | Uygulanabilir Değil |
IR-4(7) - Insider Threats — Intra-organization Coordination | Uygulanabilir Değil |
IR-4(8) - Correlation with External Organizations | Uygulanabilir Değil |
IR-4(9) - Dynamic Response Capability | Uygulanabilir Değil |
IR-4(10) - Supply Chain Coordination | Uygulanabilir Değil |
IR-4(11) - Integrated Incident Response Team | Uygulanabilir Değil |
IR-4(12) - Malicious Code and Forensic Analysis | Uygulanabilir Değil |
IR-4(13) - Behavior Analysis | Uygulanabilir Değil |
IR-4(14) - Security Operations Center | Uygulanabilir Değil |
IR-4(15) - Public Relations and Reputation Repair | Uygulanabilir Değil |
IR-10 - Incident Analysis | Uygulanabilir Değil |
IR-7 - Incident Response Assistance | Uygulanabilir Değil |
IR-7(1) - Automation Support for Availability of Information and Support | Uygulanabilir Değil |
IR-7(2) - Coordination with External Providers | Uygulanabilir Değil |
IR-3 - Incident Response Testing | Uygulanabilir Değil |
IR-3(1) - Automated Testing | Uygulanabilir Değil |
IR-3(2) - Coordination with Related Plans | Uygulanabilir Değil |
IR-3(3) - Continuous Improvement | Uygulanabilir Değil |
IR-6 - Incident Reporting | Uygulanabilir Değil |
IR-6(1) - Automated Reporting | Uygulanabilir Değil |
IR-6(2) - Vulnerabilities Related to Incidents | Uygulanabilir Değil |
IR-6(3) - Supply Chain Coordination | Uygulanabilir Değil |
IR-2 - Incident Response Training | Uygulanabilir Değil |
IR-2(1) - Simulated Events | Uygulanabilir Değil |
IR-2(2) - Automated Training Environments | Uygulanabilir Değil |
IR-2(3) - Breach | Uygulanabilir Değil |
IR-8 - Incident Response Plan | Uygulanabilir Değil |
IR-8(1) - Breaches | Uygulanabilir Değil |
IR-5 - Incident Monitoring | Uygulanabilir Değil |
IR-5(1) - Automated Tracking Data Collection and Analysis | Uygulanabilir Değil |
AC-4 - Information Flow Enforcement | Uygulanabilir Değil |
AC-4(1) - Object Security and Privacy Attributes | Uygulanabilir Değil |
AC-4(2) - Processing Domains | Uygulanabilir Değil |
AC-4(3) - Dynamic Information Flow Control | Uygulanabilir Değil |
AC-4(4) - Flow Control of Encrypted Information | Uygulanabilir Değil |
AC-4(5) - Embedded Data Types | Uygulanabilir Değil |
AC-4(6) - Metadata | Uygulanabilir Değil |
AC-4(7) - One-way Flow Mechanisms | Uygulanabilir Değil |
AC-4(8) - Security and Privacy Policy Filters | Uygulanabilir Değil |
AC-4(9) - Human Reviews | Uygulanabilir Değil |
AC-4(10) - Enable and Disable Security or Privacy Policy Filters | Uygulanabilir Değil |
AC-4(11) - Configuration of Security or Privacy Policy Filters | Uygulanabilir Değil |
AC-4(12) - Data Type Identifiers | Uygulanabilir Değil |
AC-4(13) - Decomposition into Policy-relevant Subcomponents | Uygulanabilir Değil |
AC-4(14) - Security or Privacy Policy Filter Constraints | Uygulanabilir Değil |
AC-4(15) - Detection of Unsanctioned Information | Uygulanabilir Değil |
AC-4(16) - Information Transfers on Interconnected Systems | Uygulanabilir Değil |
AC-4(17) - Domain Authentication | Uygulanabilir Değil |
AC-4(18) - Security Attribute Binding | Uygulanabilir Değil |
AC-4(19) - Validation of Metadata | Uygulanabilir Değil |
AC-4(20) - Approved Solutions | Uygulanabilir Değil |
AC-4(21) - Physical or Logical Separation of Information Flows | Uygulanabilir Değil |
AC-4(22) - Access Only | Uygulanabilir Değil |
AC-4(23) - Modify Non-releasable Information | Uygulanabilir Değil |
AC-4(24) - Internal Normalized Format | Uygulanabilir Değil |
AC-4(25) - Data Sanitization | Uygulanabilir Değil |
AC-4(26) - Audit Filtering Actions | Uygulanabilir Değil |
AC-4(27) - Redundant/independent Filtering Mechanisms | Uygulanabilir Değil |
AC-4(28) - Linear Filter Pipelines | Uygulanabilir Değil |
AC-4(29) - Filter Orchestration Engines | Uygulanabilir Değil |
AC-4(30) - Filter Mechanisms Using Multiple Processes | Uygulanabilir Değil |
AC-4(31) - Failed Content Transfer Prevention | Uygulanabilir Değil |
AC-4(32) - Process Requirements for Information Transfer | Uygulanabilir Değil |
CM-12 - Information Location | Uygulanabilir Değil |
CM-12(1) - Automated Tools to Support Information Location | Uygulanabilir Değil |
SI-12 - Information Management and Retention | Uygulanabilir Değil |
SI-12(1) - Limit Personally Identifiable Information Elements | Uygulanabilir Değil |
SI-12(2) - Minimize Personally Identifiable Information in Testing Training and Research | Uygulanabilir Değil |
SI-12(3) - Information Disposal | Uygulanabilir Değil |
SC-4 - Information in Shared System Resources | Uygulanabilir Değil |
SC-4(1) - Security Levels | Uygulanabilir Değil |
SC-4(2) - Multilevel or Periods Processing | Uygulanabilir Değil |
IR-9 - Information Spillage Response | Uygulanabilir Değil |
IR-9(1) - Responsible Personnel | Uygulanabilir Değil |
IR-9(2) - Training | Uygulanabilir Değil |
IR-9(3) - Post-spill Operations | Uygulanabilir Değil |
IR-9(4) - Exposure to Unauthorized Personnel | Uygulanabilir Değil |
SI-10 - Information Input Validation | Uygulanabilir Değil |
SI-10(1) - Manual Override Capability | Uygulanabilir Değil |
SI-10(2) - Review and Resolve Errors | Uygulanabilir Değil |
SI-10(3) - Predictable Behavior | Uygulanabilir Değil |
SI-10(4) - Timing Interactions | Uygulanabilir Değil |
SI-10(5) - Restrict Inputs to Trusted Sources and Approved Formats | Uygulanabilir Değil |
SI-10(6) - Injection Prevention | Uygulanabilir Değil |
PM-3 - Information Security and Privacy Resources | Uygulanabilir Değil |
PM-2 - Information Security Program Leadership Role | Uygulanabilir Değil |
SI-21 - Information Refresh | Uygulanabilir Değil |
CA-3 - Information Exchange | Uygulanabilir Değil |
CA-3(1) - Unclassified National Security System Connections | Uygulanabilir Değil |
CA-3(2) - Classified National Security System Connections | Uygulanabilir Değil |
CA-3(3) - Unclassified Non-national Security System Connections | Uygulanabilir Değil |
CA-3(4) - Connections to Public Networks | Uygulanabilir Değil |
CA-3(5) - Restrictions on External System Connections | Uygulanabilir Değil |
CA-3(6) - Transfer Authorizations | Uygulanabilir Değil |
CA-3(7) - Transitive Information Exchanges | Uygulanabilir Değil |
SI-22 - Information Diversity | Uygulanabilir Değil |
AC-21 - Information Sharing | Uygulanabilir Değil |
AC-21(1) - Automated Decision Support | Uygulanabilir Değil |
AC-21(2) - Information Search and Retrieval | Uygulanabilir Değil |
SI-15 - Information Output Filtering | Uygulanabilir Değil |
PE-19 - Information Leakage | Uygulanabilir Değil |
PE-19(1) - National Emissions and Tempest Policies and Procedures | Uygulanabilir Değil |
SI-9 - Information Input Restrictions | Uygulanabilir Değil |
PM-1 - Information Security Program Plan | Uygulanabilir Değil |
SI-23 - Information Fragmentation | Uygulanabilir Değil |
PM-12 - Insider Threat Program | Uygulanabilir Değil |
SR-10 - Inspection of Systems or Components | Uygulanabilir Değil |
CA-9 - Internal System Connections | Uygulanabilir Değil |
CA-9(1) - Compliance Checks | Uygulanabilir Değil |
CM-7 - Least Functionality | Uygulanabilir Değil |
CM-7(1) - Periodic Review | Uygulanabilir Değil |
CM-7(2) - Prevent Program Execution | Uygulanabilir Değil |
CM-7(3) - Registration Compliance | Uygulanabilir Değil |
CM-7(4) - Unauthorized Software | Uygulanabilir Değil |
CM-7(5) - Authorized Software | Uygulanabilir Değil |
CM-7(6) - Confined Environments with Limited Privileges | Uygulanabilir Değil |
CM-7(7) - Code Execution in Protected Environments | Uygulanabilir Değil |
CM-7(8) - Binary or Machine Executable Code | Uygulanabilir Değil |
CM-7(9) - Prohibiting The Use of Unauthorized Hardware | Uygulanabilir Değil |
AC-6 - Least Privilege | Uygulanabilir |
AC-6(1) - Authorize Access to Security Functions | Uygulanabilir Değil |
AC-6(2) - Non-privileged Access for Nonsecurity Functions | Uygulanabilir |
AC-6(3) - Network Access to Privileged Commands | Uygulanabilir Değil |
AC-6(4) - Separate Processing Domains | Uygulanabilir Değil |
AC-6(5) - Privileged Accounts | Uygulanabilir |
AC-6(6) - Privileged Access by Non-organizational Users | Uygulanabilir |
AC-6(7) - Review of User Privileges | Uygulanabilir |
AC-6(8) - Privilege Levels for Code Execution | Uygulanabilir |
AC-6(9) - Log Use of Privileged Functions | Uygulanabilir |
AC-6(10) - Prohibit Non-privileged Users from Executing Privileged Functions | Uygulanabilir |
AT-2 - Literacy Training and Awareness | Uygulanabilir Değil |
AT-2(1) - Practical Exercises | Uygulanabilir Değil |
AT-2(2) - Insider Threat | Uygulanabilir Değil |
AT-2(3) - Social Engineering and Mining | Uygulanabilir Değil |
AT-2(4) - Suspicious Communications and Anomalous System Behavior | Uygulanabilir Değil |
AT-2(5) - Advanced Persistent Threat | Uygulanabilir Değil |
AT-2(6) - Cyber Threat Environment | Uygulanabilir Değil |
PE-18 - Location of System Components | Uygulanabilir Değil |
PE-18(1) - Facility Site | Uygulanabilir Değil |
MA-5 - Maintenance Personnel | Uygulanabilir Değil |
MA-5(1) - Individuals Without Appropriate Access | Uygulanabilir Değil |
MA-5(2) - Security Clearances for Classified Systems | Uygulanabilir Değil |
MA-5(3) - Citizenship Requirements for Classified Systems | Uygulanabilir Değil |
MA-5(4) - Foreign Nationals | Uygulanabilir Değil |
MA-5(5) - Non-system Maintenance | Uygulanabilir Değil |
MA-3 - Maintenance Tools | Uygulanabilir Değil |
MA-3(1) - Inspect Tools | Uygulanabilir Değil |
MA-3(2) - Inspect Media | Uygulanabilir Değil |
MA-3(3) - Prevent Unauthorized Removal | Uygulanabilir Değil |
MA-3(4) - Restricted Tool Use | Uygulanabilir Değil |
MA-3(5) - Execution with Privilege | Uygulanabilir Değil |
MA-3(6) - Software Updates and Patches | Uygulanabilir Değil |
SI-3 - Malicious Code Protection | Uygulanabilir Değil |
SI-3(1) - Central Management | Uygulanabilir Değil |
SI-3(2) - Automatic Updates | Uygulanabilir Değil |
SI-3(3) - Non-privileged Users | Uygulanabilir Değil |
SI-3(4) - Updates Only by Privileged Users | Uygulanabilir Değil |
SI-3(5) - Portable Storage Devices | Uygulanabilir Değil |
SI-3(6) - Testing and Verification | Uygulanabilir Değil |
SI-3(7) - Nonsignature-based Detection | Uygulanabilir Değil |
SI-3(8) - Detect Unauthorized Commands | Uygulanabilir Değil |
SI-3(9) - Authenticate Remote Commands | Uygulanabilir Değil |
SI-3(10) - Malicious Code Analysis | Uygulanabilir Değil |
PM-6 - Measures of Performance | Uygulanabilir |
MP-6 - Media Sanitization | Uygulanabilir Değil |
MP-6(1) - Review Approve Track Document and Verify | Uygulanabilir Değil |
MP-6(2) - Equipment Testing | Uygulanabilir Değil |
MP-6(3) - Nondestructive Techniques | Uygulanabilir Değil |
MP-6(4) - Controlled Unclassified Information | Uygulanabilir Değil |
MP-6(5) - Classified Information | Uygulanabilir Değil |
MP-6(6) - Media Destruction | Uygulanabilir Değil |
MP-6(7) - Dual Authorization | Uygulanabilir Değil |
MP-6(8) - Remote Purging or Wiping of Information | Uygulanabilir Değil |
MP-8 - Media Downgrading | Uygulanabilir Değil |
MP-8(1) - Documentation of Process | Uygulanabilir Değil |
MP-8(2) - Equipment Testing | Uygulanabilir Değil |
MP-8(3) - Controlled Unclassified Information | Uygulanabilir Değil |
MP-8(4) - Classified Information | Uygulanabilir Değil |
MP-2 - Media Access | Uygulanabilir Değil |
MP-2(1) - Automated Restricted Access | Uygulanabilir Değil |
MP-2(2) - Cryptographic Protection | Uygulanabilir Değil |
MP-5 - Media Transport | Uygulanabilir Değil |
MP-5(1) - Protection Outside of Controlled Areas | Uygulanabilir Değil |
MP-5(2) - Documentation of Activities | Uygulanabilir Değil |
MP-5(3) - Custodians | Uygulanabilir Değil |
MP-5(4) - Cryptographic Protection | Uygulanabilir Değil |
MP-7 - Media Use | Uygulanabilir Değil |
MP-7(1) - Prohibit Use Without Owner | Uygulanabilir Değil |
MP-7(2) - Prohibit Use of Sanitization-resistant Media | Uygulanabilir Değil |
MP-4 - Media Storage | Uygulanabilir Değil |
MP-4(1) - Cryptographic Protection | Uygulanabilir Değil |
MP-4(2) - Automated Restricted Access | Uygulanabilir Değil |
MP-3 - Media Marking | Uygulanabilir Değil |
SI-16 - Memory Protection | Uygulanabilir Değil |
PM-25 - Minimization of Personally Identifiable Information Used in Testing Training and Research | Uygulanabilir Değil |
PM-11 - Mission and Business Process Definition | Uygulanabilir Değil |
SC-18 - Mobile Code | Uygulanabilir Değil |
SC-18(1) - Identify Unacceptable Code and Take Corrective Actions | Uygulanabilir Değil |
SC-18(2) - Acquisition Development and Use | Uygulanabilir Değil |
SC-18(3) - Prevent Downloading and Execution | Uygulanabilir Değil |
SC-18(4) - Prevent Automatic Execution | Uygulanabilir Değil |
SC-18(5) - Allow Execution Only in Confined Environments | Uygulanabilir Değil |
AU-13 - Monitoring for Information Disclosure | Uygulanabilir Değil |
AU-13(1) - Use of Automated Tools | Uygulanabilir Değil |
AU-13(2) - Review of Monitored Sites | Uygulanabilir Değil |
AU-13(3) - Unauthorized Replication of Information | Uygulanabilir Değil |
PE-6 - Monitoring Physical Access | Uygulanabilir Değil |
PE-6(1) - Intrusion Alarms and Surveillance Equipment | Uygulanabilir Değil |
PE-6(2) - Automated Intrusion Recognition and Responses | Uygulanabilir Değil |
PE-6(3) - Video Surveillance | Uygulanabilir Değil |
PE-6(4) - Monitoring Physical Access to Systems | Uygulanabilir Değil |
SC-10 - Network Disconnect | Uygulanabilir Değil |
SC-34 - Non-modifiable Executable Programs | Uygulanabilir Değil |
SC-34(1) - No Writable Storage | Uygulanabilir Değil |
SC-34(2) - Integrity Protection on Read-only Media | Uygulanabilir Değil |
SC-34(3) - Hardware-based Protection | Uygulanabilir Değil |
SI-14 - Non-persistence | Uygulanabilir Değil |
SI-14(1) - Refresh from Trusted Sources | Uygulanabilir Değil |
SI-14(2) - Non-persistent Information | Uygulanabilir Değil |
SI-14(3) - Non-persistent Connectivity | Uygulanabilir Değil |
AU-10 - Non-repudiation | Uygulanabilir Değil |
AU-10(1) - Association of Identities | Uygulanabilir Değil |
AU-10(2) - Validate Binding of Information Producer Identity | Uygulanabilir Değil |
AU-10(3) - Chain of Custody | Uygulanabilir Değil |
AU-10(4) - Validate Binding of Information Reviewer Identity | Uygulanabilir Değil |
AU-10(5) - Digital Signatures | Uygulanabilir Değil |
MA-4 - Nonlocal Maintenance | Uygulanabilir Değil |
MA-4(1) - Logging and Review | Uygulanabilir Değil |
MA-4(2) - Logically separated communications paths. | Uygulanabilir Değil |
MA-4(3) - Comparable Security and Sanitization | Uygulanabilir Değil |
MA-4(4) - Authentication and Separation of Maintenance Sessions | Uygulanabilir Değil |
MA-4(5) - Approvals and Notifications | Uygulanabilir Değil |
MA-4(6) - Cryptographic Protection | Uygulanabilir Değil |
MA-4(7) - Disconnect Verification | Uygulanabilir Değil |
SR-8 - Notification Agreements | Uygulanabilir Değil |
SC-38 - Operations Security | Uygulanabilir Değil |
SC-37 - Out-of-band Channels | Uygulanabilir Değil |
SC-37(1) - Ensure Delivery and Transmission | Uygulanabilir Değil |
CA-8 - Penetration Testing | Uygulanabilir Değil |
CA-8(1) - Independent Penetration Testing Agent or Team | Uygulanabilir Değil |
CA-8(2) - Red Team Exercises | Uygulanabilir Değil |
CA-8(3) - Facility Penetration Testing | Uygulanabilir Değil |
AC-14 - Permitted Actions Without Identification or Authentication | Uygulanabilir Değil |
AC-14(1) - Necessary Uses | Uygulanabilir Değil |
SI-18 - Personally Identifiable Information Quality Operations | Uygulanabilir Değil |
SI-18(1) - Automation Support | Uygulanabilir Değil |
SI-18(2) - Data Tags | Uygulanabilir Değil |
SI-18(3) - Collection | Uygulanabilir Değil |
SI-18(4) - Individual Requests | Uygulanabilir Değil |
SI-18(5) - Notice of Correction or Deletion | Uygulanabilir Değil |
PT-3 - Personally Identifiable Information Processing Purposes | Uygulanabilir Değil |
PT-3(1) - Data Tagging | Uygulanabilir Değil |
PT-3(2) - Automation | Uygulanabilir Değil |
PM-22 - Personally Identifiable Information Quality Management | Uygulanabilir Değil |
PS-3 - Personnel Screening | Uygulanabilir Değil |
PS-3(1) - Classified Information | Uygulanabilir Değil |
PS-3(2) - Formal Indoctrination | Uygulanabilir Değil |
PS-3(3) - Information with Special Protective Measures | Uygulanabilir Değil |
PS-3(4) - Citizenship Requirements | Uygulanabilir Değil |
PS-4 - Personnel Termination | Uygulanabilir Değil |
PS-4(1) - Post-employment Requirements | Uygulanabilir Değil |
PS-4(2) - Automated Actions | Uygulanabilir Değil |
PS-5 - Personnel Transfer | Uygulanabilir Değil |
PS-8 - Personnel Sanctions | Uygulanabilir Değil |
PE-2 - Physical Access Authorizations | Uygulanabilir Değil |
PE-2(1) - Access by Position or Role | Uygulanabilir Değil |
PE-2(2) - Two Forms of Identification | Uygulanabilir Değil |
PE-2(3) - Restrict Unescorted Access | Uygulanabilir Değil |
PE-3 - Physical Access Control | Uygulanabilir Değil |
PE-3(1) - System Access | Uygulanabilir Değil |
PE-3(2) - Facility and Systems | Uygulanabilir Değil |
PE-3(3) - Continuous Guards | Uygulanabilir Değil |
PE-3(4) - Lockable Casings | Uygulanabilir Değil |
PE-3(5) - Tamper Protection | Uygulanabilir Değil |
PE-3(6) - Facility Penetration Testing | Uygulanabilir Değil |
PE-3(7) - Physical Barriers | Uygulanabilir Değil |
PE-3(8) - Access Control Vestibules | Uygulanabilir Değil |
CA-5 - Plan of Action and Milestones | Uygulanabilir Değil |
CA-5(1) - Automation Support for Accuracy and Currency | Uygulanabilir Değil |
PM-4 - Plan of Action and Milestones Process | Uygulanabilir Değil |
SC-27 - Platform-independent Applications | Uygulanabilir Değil |
AC-1 - Policy and Procedures | Uygulanabilir |
AT-1 - Policy and Procedures | Uygulanabilir |
AU-1 - Policy and Procedures | Uygulanabilir |
CA-1 - Policy and Procedures | Uygulanabilir |
CM-1 - Policy and Procedures | Uygulanabilir |
CP-1 - Policy and Procedures | Uygulanabilir |
IA-1 - Policy and Procedures | Uygulanabilir |
IR-1 - Policy and Procedures | Uygulanabilir |
MA-1 - Policy and Procedures | Uygulanabilir |
MP-1 - Policy and Procedures | Uygulanabilir |
PE-1 - Policy and Procedures | Uygulanabilir |
PL-1 - Policy and Procedures | Uygulanabilir |
PS-1 - Policy and Procedures | Uygulanabilir |
PT-1 - Policy and Procedures | Uygulanabilir |
RA-1 - Policy and Procedures | Uygulanabilir |
SA-1 - Policy and Procedures | Uygulanabilir |
SC-1 - Policy and Procedures | Uygulanabilir |
SI-1 - Policy and Procedures | Uygulanabilir |
SR-1 - Policy and Procedures | Uygulanabilir |
SC-41 - Port and I/O Device Access | Uygulanabilir Değil |
PS-9 - Position Descriptions | Uygulanabilir Değil |
PS-2 - Position Risk Designation | Uygulanabilir Değil |
PE-9 - Power Equipment and Cabling | Uygulanabilir Değil |
PE-9(1) - Redundant Cabling | Uygulanabilir Değil |
PE-9(2) - Automatic Voltage Controls | Uygulanabilir Değil |
SI-13 - Predictable Failure Prevention | Uygulanabilir Değil |
SI-13(1) - Transferring Component Responsibilities | Uygulanabilir Değil |
SI-13(2) - Time Limit on Process Execution Without Supervision | Uygulanabilir Değil |
SI-13(3) - Manual Transfer Between Components | Uygulanabilir Değil |
SI-13(4) - Standby Component Installation and Notification | Uygulanabilir Değil |
SI-13(5) - Failover Capability | Uygulanabilir Değil |
AC-9 - Previous Logon Notification | Uygulanabilir |
AC-9(1) - Unsuccessful Logons | Uygulanabilir |
AC-9(2) - Successful and Unsuccessful Logons | Uygulanabilir |
AC-9(3) - Notification of Account Changes | Uygulanabilir Değil |
AC-9(4) - Additional Logon Information | Uygulanabilir |
PM-19 - Privacy Program Leadership Role | Uygulanabilir Değil |
PT-5 - Privacy Notice | Uygulanabilir Değil |
PT-5(1) - Just-in-time Notice | Uygulanabilir Değil |
PT-5(2) - Privacy Act Statements | Uygulanabilir Değil |
PM-27 - Privacy Reporting | Uygulanabilir Değil |
PM-18 - Privacy Program Plan | Uygulanabilir Değil |
RA-8 - Privacy Impact Assessments | Uygulanabilir Değil |
PL-5 - Privacy Impact Assessment | Uygulanabilir Değil |
SC-39 - Process Isolation | Uygulanabilir Değil |
SC-39(1) - Hardware Separation | Uygulanabilir Değil |
SC-39(2) - Separate Execution Domain Per Thread | Uygulanabilir Değil |
PM-17 - Protecting Controlled Unclassified Information on External Systems | Uygulanabilir Değil |
AU-9 - Protection of Audit Information | Uygulanabilir Değil |
AU-9(1) - Hardware Write-once Media | Uygulanabilir Değil |
AU-9(2) - Store on Separate Physical Systems or Components | Uygulanabilir Değil |
AU-9(3) - Cryptographic Protection | Uygulanabilir Değil |
AU-9(4) - Access by Subset of Privileged Users | Uygulanabilir Değil |
AU-9(5) - Dual Authorization | Uygulanabilir Değil |
AU-9(6) - Read-only Access | Uygulanabilir Değil |
AU-9(7) - Store on Component with Different Operating System | Uygulanabilir Değil |
SC-28 - Protection of Information at Rest | Uygulanabilir Değil |
SC-28(1) - Cryptographic Protection | Uygulanabilir Değil |
SC-28(2) - Offline Storage | Uygulanabilir Değil |
SC-28(3) - Cryptographic Keys | Uygulanabilir Değil |
SR-4 - Provenance | Uygulanabilir Değil |
SR-4(1) - Identity | Uygulanabilir Değil |
SR-4(2) - Track and Trace | Uygulanabilir Değil |
SR-4(3) - Validate as Genuine and Not Altered | Uygulanabilir Değil |
SR-4(4) - Supply Chain Integrity — Pedigree | Uygulanabilir Değil |
SC-17 - Public Key Infrastructure Certificates | Uygulanabilir Değil |
SC-14 - Public Access Protections | Uygulanabilir Değil |
AC-22 - Publicly Accessible Content | Uygulanabilir Değil |
PM-32 - Purposing | Uygulanabilir Değil |
IA-11 - Re-authentication | Uygulanabilir Değil |
AC-25 - Reference Monitor | Uygulanabilir Değil |
AC-17 - Remote Access | Uygulanabilir |
AC-17(1) - Monitoring and Control | Uygulanabilir |
AC-17(2) - Protection of Confidentiality and Integrity Using Encryption | Uygulanabilir |
AC-17(3) - Managed Access Control Points | Uygulanabilir |
AC-17(4) - Privileged Commands and Access | Uygulanabilir |
AC-17(5) - Monitoring for Unauthorized Connections | Uygulanabilir |
AC-17(6) - Protection of Mechanism Information | Uygulanabilir |
AC-17(7) - Additional Protection for Security Function Access | Uygulanabilir Değil |
AC-17(8) - Disable Nonsecure Network Protocols | Uygulanabilir |
AC-17(9) - Disconnect or Disable Access | Uygulanabilir |
AC-17(10) - Authenticate Remote Commands | Uygulanabilir |
SC-6 - Resource Availability | Uygulanabilir |
AU-5 - Response to Audit Logging Process Failures | Uygulanabilir Değil |
AU-5(1) - Storage Capacity Warning | Uygulanabilir Değil |
AU-5(2) - Real-time Alerts | Uygulanabilir Değil |
AU-5(3) - Configurable Traffic Volume Thresholds | Uygulanabilir Değil |
AU-5(4) - Shutdown on Failure | Uygulanabilir Değil |
AU-5(5) - Alternate Audit Logging Capability | Uygulanabilir Değil |
RA-3 - Risk Assessment | Uygulanabilir |
RA-3(1) - Supply Chain Risk Assessment | Uygulanabilir |
RA-3(2) - Use of All-source Intelligence | Uygulanabilir Değil |
RA-3(3) - Dynamic Threat Awareness | Uygulanabilir Değil |
RA-3(4) - Predictive Cyber Analytics | Uygulanabilir Değil |
PM-28 - Risk Framing | Uygulanabilir |
RA-7 - Risk Response | Uygulanabilir Değil |
RA-4 - Risk Assessment Update | Uygulanabilir |
PM-29 - Risk Management Program Leadership Roles | Uygulanabilir Değil |
PM-9 - Risk Management Strategy | Uygulanabilir Değil |
AT-3 - Role-based Training | Uygulanabilir Değil |
AT-3(1) - Environmental Controls | Uygulanabilir Değil |
AT-3(2) - Physical Security Controls | Uygulanabilir Değil |
AT-3(3) - Practical Exercises | Uygulanabilir Değil |
AT-3(4) - Suspicious Communications and Anomalous System Behavior | Uygulanabilir Değil |
AT-3(5) - Processing Personally Identifiable Information | Uygulanabilir Değil |
PL-4 - Rules of Behavior | Uygulanabilir Değil |
PL-4(1) - Social Media and External Site/application Usage Restrictions | Uygulanabilir Değil |
CP-12 - Safe Mode | Uygulanabilir Değil |
SC-20 - Secure Name/address Resolution Service (authoritative Source) | Uygulanabilir Değil |
SC-20(1) - Child Subspaces | Uygulanabilir Değil |
SC-20(2) - Data Origin and Integrity | Uygulanabilir Değil |
SC-21 - Secure Name/address Resolution Service (recursive or Caching Resolver) | Uygulanabilir Değil |
SC-21(1) - Data Origin and Integrity | Uygulanabilir Değil |
CA-4 - Security Certification | Uygulanabilir Değil |
SA-8 - Security and Privacy Engineering Principles | Uygulanabilir Değil |
SA-8(1) - Clear Abstractions | Uygulanabilir Değil |
SA-8(2) - Least Common Mechanism | Uygulanabilir Değil |
SA-8(3) - Modularity and Layering | Uygulanabilir Değil |
SA-8(4) - Partially Ordered Dependencies | Uygulanabilir Değil |
SA-8(5) - Efficiently Mediated Access | Uygulanabilir Değil |
SA-8(6) - Minimized Sharing | Uygulanabilir Değil |
SA-8(7) - Reduced Complexity | Uygulanabilir Değil |
SA-8(8) - Secure Evolvability | Uygulanabilir Değil |
SA-8(9) - Trusted Components | Uygulanabilir Değil |
SA-8(10) - Hierarchical Trust | Uygulanabilir Değil |
SA-8(11) - Inverse Modification Threshold | Uygulanabilir Değil |
SA-8(12) - Hierarchical Protection | Uygulanabilir Değil |
SA-8(13) - Minimized Security Elements | Uygulanabilir Değil |
SA-8(14) - Least Privilege | Uygulanabilir Değil |
SA-8(15) - Predicate Permission | Uygulanabilir Değil |
SA-8(16) - Self-reliant Trustworthiness | Uygulanabilir Değil |
SA-8(17) - Secure Distributed Composition | Uygulanabilir Değil |
SA-8(18) - Trusted Communications Channels | Uygulanabilir Değil |
SA-8(19) - Continuous Protection | Uygulanabilir Değil |
SA-8(20) - Secure Metadata Management | Uygulanabilir Değil |
SA-8(21) - Self-analysis | Uygulanabilir Değil |
SA-8(22) - Accountability and Traceability | Uygulanabilir Değil |
SA-8(23) - Secure Defaults | Uygulanabilir Değil |
SA-8(24) - Secure Failure and Recovery | Uygulanabilir Değil |
SA-8(25) - Economic Security | Uygulanabilir Değil |
SA-8(26) - Performance Security | Uygulanabilir Değil |
SA-8(27) - Human Factored Security | Uygulanabilir Değil |
SA-8(28) - Acceptable Security | Uygulanabilir Değil |
SA-8(29) - Repeatable and Documented Procedures | Uygulanabilir Değil |
SA-8(30) - Procedural Rigor | Uygulanabilir Değil |
SA-8(31) - Secure System Modification | Uygulanabilir Değil |
SA-8(32) - Sufficient Documentation | Uygulanabilir Değil |
SA-8(33) - Minimization | Uygulanabilir Değil |
SC-3 - Security Function Isolation | Uygulanabilir Değil |
SC-3(1) - Hardware Separation | Uygulanabilir Değil |
SC-3(2) - Access and Flow Control Functions | Uygulanabilir Değil |
SC-3(3) - Minimize Nonsecurity Functionality | Uygulanabilir Değil |
SC-3(4) - Module Coupling and Cohesiveness | Uygulanabilir Değil |
SC-3(5) - Layered Structures | Uygulanabilir Değil |
AC-16 - Security and Privacy Attributes | Uygulanabilir Değil |
AC-16(1) - Dynamic Attribute Association | Uygulanabilir Değil |
AC-16(2) - Attribute Value Changes by Authorized Individuals | Uygulanabilir Değil |
AC-16(3) - Maintenance of Attribute Associations by System | Uygulanabilir Değil |
AC-16(4) - Association of Attributes by Authorized Individuals | Uygulanabilir Değil |
AC-16(5) - Attribute Displays on Objects to Be Output | Uygulanabilir Değil |
AC-16(6) - Maintenance of Attribute Association | Uygulanabilir Değil |
AC-16(7) - Consistent Attribute Interpretation | Uygulanabilir Değil |
AC-16(8) - Association Techniques and Technologies | Uygulanabilir Değil |
AC-16(9) - Attribute Reassignment — Regrading Mechanisms | Uygulanabilir Değil |
AC-16(10) - Attribute Configuration by Authorized Individuals | Uygulanabilir Değil |
PL-8 - Security and Privacy Architectures | Uygulanabilir Değil |
PL-8(1) - Defense in Depth | Uygulanabilir Değil |
PL-8(2) - Supplier Diversity | Uygulanabilir Değil |
SI-5 - Security Alerts Advisories and Directives | Uygulanabilir Değil |
SI-5(1) - Automated Alerts and Advisories | Uygulanabilir Değil |
PM-13 - Security and Privacy Workforce | Uygulanabilir Değil |
RA-2 - Security Categorization | Uygulanabilir Değil |
RA-2(1) - Impact-level Prioritization | Uygulanabilir Değil |
SI-6 - Security and Privacy Function Verification | Uygulanabilir Değil |
SI-6(1) - Notification of Failed Security Tests | Uygulanabilir Değil |
SI-6(2) - Automation Support for Distributed Testing | Uygulanabilir Değil |
SI-6(3) - Report Verification Results | Uygulanabilir Değil |
PM-15 - Security and Privacy Groups and Associations | Uygulanabilir Değil |
PL-6 - Security-related Activity Planning | Uygulanabilir Değil |
SC-42 - Sensor Capability and Data | Uygulanabilir Değil |
SC-42(1) - Reporting to Authorized Individuals or Roles | Uygulanabilir Değil |
SC-42(2) - Authorized Use | Uygulanabilir Değil |
SC-42(3) - Prohibit Use of Devices | Uygulanabilir Değil |
SC-42(4) - Notice of Collection | Uygulanabilir Değil |
SC-42(5) - Collection Minimization | Uygulanabilir Değil |
SC-48 - Sensor Relocation | Uygulanabilir Değil |
SC-48(1) - Dynamic Relocation of Sensors or Monitoring Capabilities | Uygulanabilir Değil |
AC-5 - Separation of Duties | Uygulanabilir |
SC-2 - Separation of System and User Functionality | Uygulanabilir |
SC-2(1) - Interfaces for Non-privileged Users | Uygulanabilir Değil |
SC-2(2) - Disassociability | Uygulanabilir Değil |
IA-9 - Service Identification and Authentication | Uygulanabilir Değil |
IA-9(1) - Information Exchange | Uygulanabilir Değil |
IA-9(2) - Transmission of Decisions | Uygulanabilir Değil |
AC-12 - Session Termination | Uygulanabilir |
AC-12(1) - User-initiated Logouts | Uygulanabilir Değil |
AC-12(2) - Termination Message | Uygulanabilir Değil |
AC-12(3) - Timeout Warning Message | Uygulanabilir |
AU-14 - Session Audit | Uygulanabilir |
AU-14(1) - System Start-up | Uygulanabilir |
AU-14(2) - Capture and Record Content | Uygulanabilir Değil |
AU-14(3) - Remote Viewing and Listening | Uygulanabilir |
SC-23 - Session Authenticity | Uygulanabilir Değil |
SC-23(1) - Invalidate Session Identifiers at Logout | Uygulanabilir Değil |
SC-23(2) - User-initiated Logouts and Message Displays | Uygulanabilir Değil |
SC-23(3) - Unique System-generated Session Identifiers | Uygulanabilir Değil |
SC-23(4) - Unique Session Identifiers with Randomization | Uygulanabilir Değil |
SC-23(5) - Allowed Certificate Authorities | Uygulanabilir Değil |
CM-14 - Signed Components | Uygulanabilir Değil |
CM-10 - Software Usage Restrictions | Uygulanabilir |
CM-10(1) - Open-source Software | Uygulanabilir |
SA-6 - Software Usage Restrictions | Uygulanabilir |
SC-50 - Software-enforced Separation and Policy Enforcement | Uygulanabilir Değil |
SI-7 - Software Firmware and Information Integrity | Uygulanabilir |
SI-7(1) - Integrity Checks | Uygulanabilir |
SI-7(2) - Automated Notifications of Integrity Violations | Uygulanabilir Değil |
SI-7(3) - Centrally Managed Integrity Tools | Uygulanabilir |
SI-7(4) - Tamper-evident Packaging | Uygulanabilir Değil |
SI-7(5) - Automated Response to Integrity Violations | Uygulanabilir Değil |
SI-7(6) - Cryptographic Protection | Uygulanabilir Değil |
SI-7(7) - Integration of Detection and Response | Uygulanabilir Değil |
SI-7(8) - Auditing Capability for Significant Events | Uygulanabilir Değil |
SI-7(9) - Verify Boot Process | Uygulanabilir Değil |
SI-7(10) - Protection of Boot Firmware | Uygulanabilir Değil |
SI-7(11) - Confined Environments with Limited Privileges | Uygulanabilir Değil |
SI-7(12) - Integrity Verification | Uygulanabilir Değil |
SI-7(13) - Code Execution in Protected Environments | Uygulanabilir Değil |
SI-7(14) - Binary or Machine Executable Code | Uygulanabilir Değil |
SI-7(15) - Code Authentication | Uygulanabilir Değil |
SI-7(16) - Time Limit on Process Execution Without Supervision | Uygulanabilir Değil |
SI-7(17) - Runtime Application Self-protection | Uygulanabilir Değil |
SI-8 - Spam Protection | Uygulanabilir Değil |
SI-8(1) - Central Management | Uygulanabilir Değil |
SI-8(2) - Automatic Updates | Uygulanabilir Değil |
SI-8(3) - Continuous Learning Capability | Uygulanabilir Değil |
SA-23 - Specialization | Uygulanabilir Değil |
PT-7 - Specific Categories of Personally Identifiable Information | Uygulanabilir Değil |
PT-7(1) - Social Security Numbers | Uygulanabilir Değil |
PT-7(2) - First Amendment Information | Uygulanabilir Değil |
AC-13 - Supervision and Review — Access Control | Uygulanabilir Değil |
SR-6 - Supplier Assessments and Reviews | Uygulanabilir Değil |
SR-6(1) - Testing and Analysis | Uygulanabilir Değil |
SA-12 - Supply Chain Protection | Uygulanabilir Değil |
SA-12(1) - Acquisition Strategies / Tools / Methods | Uygulanabilir Değil |
SA-12(2) - Supplier Reviews | Uygulanabilir Değil |
SA-12(3) - Trusted Shipping and Warehousing | Uygulanabilir Değil |
SA-12(4) - Diversity of Suppliers | Uygulanabilir Değil |
SA-12(5) - Limitation of Harm | Uygulanabilir Değil |
SA-12(6) - Minimizing Procurement Time | Uygulanabilir Değil |
SA-12(7) - Assessments Prior to Selection / Acceptance / Update | Uygulanabilir Değil |
SA-12(8) - Use of All-source Intelligence | Uygulanabilir Değil |
SA-12(9) - Operations Security | Uygulanabilir Değil |
SA-12(10) - Validate as Genuine and Not Altered | Uygulanabilir Değil |
SA-12(11) - Penetration Testing / Analysis of Elements Processes and Actors | Uygulanabilir Değil |
SA-12(12) - Inter-organizational Agreements | Uygulanabilir Değil |
SA-12(13) - Critical Information System Components | Uygulanabilir Değil |
SA-12(14) - Identity and Traceability | Uygulanabilir Değil |
SA-12(15) - Processes to Address Weaknesses or Deficiencies | Uygulanabilir Değil |
SR-2 - Supply Chain Risk Management Plan | Uygulanabilir |
SR-2(1) - Establish Scrm Team | Uygulanabilir Değil |
SR-3 - Supply Chain Controls and Processes | Uygulanabilir Değil |
SR-3(1) - Diverse Supply Base | Uygulanabilir Değil |
SR-3(2) - Limitation of Harm | Uygulanabilir Değil |
SR-3(3) - Sub-tier Flow Down | Uygulanabilir Değil |
PM-30 - Supply Chain Risk Management Strategy | Uygulanabilir Değil |
PM-30(1) - Suppliers of Critical or Mission-essential Items | Uygulanabilir Değil |
SR-7 - Supply Chain Operations Security | Uygulanabilir Değil |
SA-5 - System Documentation | Uygulanabilir Değil |
SA-5(1) - Functional Properties of Security Controls | Uygulanabilir Değil |
SA-5(2) - Security-relevant External System Interfaces | Uygulanabilir Değil |
SA-5(3) - High-level Design | Uygulanabilir Değil |
SA-5(4) - Low-level Design | Uygulanabilir Değil |
SA-5(5) - Source Code | Uygulanabilir Değil |
CP-9 - System Backup | Uygulanabilir Değil |
CP-9(1) - Testing for Reliability and Integrity | Uygulanabilir Değil |
CP-9(2) - Test Restoration Using Sampling | Uygulanabilir Değil |
CP-9(3) - Separate Storage for Critical Information | Uygulanabilir Değil |
CP-9(4) - Protection from Unauthorized Modification | Uygulanabilir Değil |
CP-9(5) - Transfer to Alternate Storage Site | Uygulanabilir Değil |
CP-9(6) - Redundant Secondary System | Uygulanabilir Değil |
CP-9(7) - Dual Authorization | Uygulanabilir Değil |
CP-9(8) - Cryptographic Protection | Uygulanabilir Değil |
SI-4 - System Monitoring | Uygulanabilir Değil |
SI-4(1) - System-wide Intrusion Detection System | Uygulanabilir Değil |
SI-4(2) - Automated Tools and Mechanisms for Real-time Analysis | Uygulanabilir |
SI-4(3) - Automated Tool and Mechanism Integration | Uygulanabilir Değil |
SI-4(4) - Inbound and Outbound Communications Traffic | Uygulanabilir Değil |
SI-4(5) - System-generated Alerts | Uygulanabilir Değil |
SI-4(6) - Restrict Non-privileged Users | Uygulanabilir |
SI-4(7) - Automated Response to Suspicious Events | Uygulanabilir Değil |
SI-4(8) - Protection of Monitoring Information | Uygulanabilir Değil |
SI-4(9) - Testing of Monitoring Tools and Mechanisms | Uygulanabilir Değil |
SI-4(10) - Visibility of Encrypted Communications | Uygulanabilir Değil |
SI-4(11) - Analyze Communications Traffic Anomalies | Uygulanabilir Değil |
SI-4(12) - Automated Organization-generated Alerts | Uygulanabilir Değil |
SI-4(13) - Analyze Traffic and Event Patterns | Uygulanabilir Değil |
SI-4(14) - Wireless Intrusion Detection | Uygulanabilir Değil |
SI-4(15) - Wireless to Wireline Communications | Uygulanabilir Değil |
SI-4(16) - Correlate Monitoring Information | Uygulanabilir Değil |
SI-4(17) - Integrated Situational Awareness | Uygulanabilir Değil |
SI-4(18) - Analyze Traffic and Covert Exfiltration | Uygulanabilir Değil |
SI-4(19) - Risk for Individuals | Uygulanabilir Değil |
SI-4(20) - Privileged Users | Uygulanabilir |
SI-4(21) - Probationary Periods | Uygulanabilir Değil |
SI-4(22) - Unauthorized Network Services | Uygulanabilir Değil |
SI-4(23) - Host-based Devices | Uygulanabilir Değil |
SI-4(24) - Indicators of Compromise | Uygulanabilir Değil |
SI-4(25) - Optimize Network Traffic Analysis | Uygulanabilir Değil |
SC-45 - System Time Synchronization | Uygulanabilir Değil |
SC-45(1) - Synchronization with Authoritative Time Source | Uygulanabilir Değil |
SC-45(2) - Secondary Authoritative Time Source | Uygulanabilir Değil |
CM-8 - System Component Inventory | Uygulanabilir |
CM-8(1) - Updates During Installation and Removal | Uygulanabilir Değil |
CM-8(2) - Automated Maintenance | Uygulanabilir Değil |
CM-8(3) - Automated Unauthorized Component Detection | Uygulanabilir Değil |
CM-8(4) - Accountability Information | Uygulanabilir Değil |
CM-8(5) - No Duplicate Accounting of Components | Uygulanabilir Değil |
CM-8(6) - Assessed Configurations and Approved Deviations | Uygulanabilir Değil |
CM-8(7) - Centralized Repository | Uygulanabilir |
CM-8(8) - Automated Location Tracking | Uygulanabilir Değil |
CM-8(9) - Assignment of Components to Systems | Uygulanabilir Değil |
SA-3 - System Development Life Cycle | Uygulanabilir Değil |
SA-3(1) - Manage Preproduction Environment | Uygulanabilir Değil |
SA-3(2) - Use of Live or Operational Data | Uygulanabilir Değil |
SA-3(3) - Technology Refresh | Uygulanabilir Değil |
PM-5 - System Inventory | Uygulanabilir |
PM-5(1) - Inventory of Personally Identifiable Information | Uygulanabilir |
SC-32 - System Partitioning | Uygulanabilir Değil |
SC-32(1) - Separate Physical Domains for Privileged Functions | Uygulanabilir Değil |
CP-10 - System Recovery and Reconstitution | Uygulanabilir Değil |
CP-10(1) - Contingency Plan Testing | Uygulanabilir Değil |
CP-10(2) - Transaction Recovery | Uygulanabilir Değil |
CP-10(3) - Compensating Security Controls | Uygulanabilir Değil |
CP-10(4) - Restore Within Time Period | Uygulanabilir Değil |
CP-10(5) - Failover Capability | Uygulanabilir Değil |
CP-10(6) - Component Protection | Uygulanabilir Değil |
PL-2 - System Security and Privacy Plans | Uygulanabilir Değil |
PL-2(1) - Concept of Operations | Uygulanabilir Değil |
PL-2(2) - Functional Architecture | Uygulanabilir Değil |
PL-2(3) - Plan and Coordinate with Other Organizational Entities | Uygulanabilir Değil |
PT-6 - System of Records Notice | Uygulanabilir Değil |
PT-6(1) - Routine Uses | Uygulanabilir Değil |
PT-6(2) - Exemption Rules | Uygulanabilir Değil |
AC-8 - System Use Notification | Uygulanabilir |
PL-3 - System Security Plan Update | Uygulanabilir Değil |
SI-20 - Tainting | Uygulanabilir Değil |
SA-18 - Tamper Resistance and Detection | Uygulanabilir Değil |
SA-18(1) - Multiple Phases of System Development Life Cycle | Uygulanabilir Değil |
SA-18(2) - Inspection of Systems or Components | Uygulanabilir Değil |
SR-9 - Tamper Resistance and Detection | Uygulanabilir Değil |
SR-9(1) - Multiple Stages of System Development Life Cycle | Uygulanabilir Değil |
RA-6 - Technical Surveillance Countermeasures Survey | Uygulanabilir Değil |
CP-8 - Telecommunications Services | Uygulanabilir Değil |
CP-8(1) - Priority of Service Provisions | Uygulanabilir Değil |
CP-8(2) - Single Points of Failure | Uygulanabilir Değil |
CP-8(3) - Separation of Primary and Alternate Providers | Uygulanabilir Değil |
CP-8(4) - Provider Contingency Plan | Uygulanabilir Değil |
CP-8(5) - Alternate Telecommunication Service Testing | Uygulanabilir Değil |
PM-14 - Testing Training and Monitoring | Uygulanabilir Değil |
SC-25 - Thin Nodes | Uygulanabilir Değil |
PM-16 - Threat Awareness Program | Uygulanabilir Değil |
PM-16(1) - Automated Means for Sharing Threat Intelligence | Uygulanabilir Değil |
RA-10 - Threat Hunting | Uygulanabilir Değil |
AU-8 - Time Stamps | Uygulanabilir Değil |
AU-8(1) - Synchronization with Authoritative Time Source | Uygulanabilir Değil |
AU-8(2) - Secondary Authoritative Time Source | Uygulanabilir Değil |
MA-6 - Timely Maintenance | Uygulanabilir Değil |
MA-6(1) - Preventive Maintenance | Uygulanabilir Değil |
MA-6(2) - Predictive Maintenance | Uygulanabilir Değil |
MA-6(3) - Automated Support for Predictive Maintenance | Uygulanabilir Değil |
AT-4 - Training Records | Uygulanabilir Değil |
AT-6 - Training Feedback | Uygulanabilir Değil |
SC-9 - Transmission Confidentiality | Uygulanabilir Değil |
SC-16 - Transmission of Security and Privacy Attributes | Uygulanabilir Değil |
SC-16(1) - Integrity Verification | Uygulanabilir Değil |
SC-16(2) - Anti-spoofing Mechanisms | Uygulanabilir Değil |
SC-16(3) - Cryptographic Binding | Uygulanabilir Değil |
SC-8 - Transmission Confidentiality and Integrity | Uygulanabilir Değil |
SC-8(1) - Cryptographic Protection | Uygulanabilir Değil |
SC-8(2) - Pre- and Post-transmission Handling | Uygulanabilir Değil |
SC-8(3) - Cryptographic Protection for Message Externals | Uygulanabilir Değil |
SC-8(4) - Conceal or Randomize Communications | Uygulanabilir Değil |
SC-8(5) - Protected Distribution System | Uygulanabilir Değil |
SC-33 - Transmission Preparation Integrity | Uygulanabilir Değil |
SC-11 - Trusted Path | Uygulanabilir Değil |
SC-11(1) - Irrefutable Communications Path | Uygulanabilir Değil |
SA-13 - Trustworthiness | Uygulanabilir |
AC-7 - Unsuccessful Logon Attempts | Uygulanabilir |
AC-7(1) - Automatic Account Lock | Uygulanabilir |
AC-7(2) - Purge or Wipe Mobile Device | Uygulanabilir Değil |
AC-7(3) - Biometric Attempt Limiting | Uygulanabilir Değil |
AC-7(4) - Use of Alternate Authentication Factor | Uygulanabilir Değil |
SA-22 - Unsupported System Components | Uygulanabilir Değil |
SA-22(1) - Alternative Sources for Continued Support | Uygulanabilir Değil |
SC-43 - Usage Restrictions | Uygulanabilir Değil |
AC-20 - Use of External Systems | Uygulanabilir Değil |
AC-20(1) - Limits on Authorized Use | Uygulanabilir Değil |
AC-20(2) - Portable Storage Devices — Restricted Use | Uygulanabilir Değil |
AC-20(3) - Non-organizationally Owned Systems — Restricted Use | Uygulanabilir Değil |
AC-20(4) - Network Accessible Storage Devices — Prohibited Use | Uygulanabilir Değil |
AC-20(5) - Portable Storage Devices — Prohibited Use | Uygulanabilir Değil |
CM-11 - User-installed Software | Uygulanabilir |
CM-11(1) - Alerts for Unauthorized Installations | Uygulanabilir Değil |
CM-11(2) - Software Installation with Privileged Status | Uygulanabilir |
CM-11(3) - Automated Enforcement and Monitoring | Uygulanabilir |
SA-7 - User-installed Software | Uygulanabilir |
PE-8 - Visitor Access Records | Uygulanabilir Değil |
PE-8(1) - Automated Records Maintenance and Review | Uygulanabilir Değil |
PE-8(2) - Physical Access Records | Uygulanabilir Değil |
PE-8(3) - Limit Personally Identifiable Information Elements | Uygulanabilir Değil |
PE-7 - Visitor Control | Uygulanabilir Değil |
SC-19 - Voice Over Internet Protocol | Uygulanabilir Değil |
RA-5 - Vulnerability Monitoring and Scanning | Uygulanabilir |
RA-5(1) - Update Tool Capability | Uygulanabilir |
RA-5(2) - Update Vulnerabilities to Be Scanned | Uygulanabilir |
RA-5(3) - Breadth and Depth of Coverage | Uygulanabilir |
RA-5(4) - Discoverable Information | Uygulanabilir |
RA-5(5) - Privileged Access | Uygulanabilir |
RA-5(6) - Automated Trend Analyses | Uygulanabilir |
RA-5(7) - Automated Detection and Notification of Unauthorized Components | Uygulanabilir Değil |
RA-5(8) - Review Historic Audit Logs | Uygulanabilir Değil |
RA-5(9) - Penetration Testing and Analyses | Uygulanabilir Değil |
RA-5(10) - Correlate Scanning Information | Uygulanabilir Değil |
RA-5(11) - Public Disclosure Program | Uygulanabilir Değil |
PE-15 - Water Damage Protection | Uygulanabilir Değil |
PE-15(1) - Automation Support | Uygulanabilir Değil |
AC-18 - Wireless Access | Uygulanabilir Değil |
AC-18(1) - Authentication and Encryption | Uygulanabilir Değil |
AC-18(2) - Monitoring Unauthorized Connections | Uygulanabilir Değil |
AC-18(3) - Disable Wireless Networking | Uygulanabilir Değil |
AC-18(4) - Restrict Configurations by Users | Uygulanabilir Değil |
AC-18(5) - Antennas and Transmission Power Levels | Uygulanabilir Değil |
SC-40 - Wireless Link Protection | Uygulanabilir Değil |
SC-40(1) - Electromagnetic Interference | Uygulanabilir Değil |
SC-40(2) - Reduce Detection Potential | Uygulanabilir Değil |
SC-40(3) - Imitative or Manipulative Communications Deception | Uygulanabilir Değil |
SC-40(4) - Signal Parameter Identification | Uygulanabilir Değil |
SecHard