Rapport de la publication spéciale 800-53 du NIST, révision 5.2.0
Le rapport de conformité NIST Special Publication 800-53 Revision 5.2.0 vous aide à évaluer la sécurité de votre application web par rapport aux contrôles de sécurité et de confidentialité requis pour les systèmes d'information fédéraux américains.
À propos de la NIST Special Publication 800-53
L'Institut National des Standards et de la Technologie (NIST) développe des standards et des lignes directrices pour les systèmes d'information fédéraux afin de répondre à la Loi Fédérale sur la Gestion de la Sécurité de l'Information (FISMA). La NIST Special Publication 800-53 fournit un catalogue de contrôles de sécurité et de confidentialité pour protéger les systèmes et actifs d'information fédéraux américains.
- Déterminer la catégorie de sécurité de leur système d'information (selon FIPS 199).
- Appliquer l'ensemble approprié de contrôles de sécurité de base de la NIST Special Publication 800-53.
- Utiliser une évaluation des risques pour valider l'ensemble de contrôles et identifier tout contrôle supplémentaire nécessaire.
Le rapport de conformité NIST d'AppScan vous aide à détecter les problèmes potentiels dans votre application web qui sont pertinents pour ces contrôles de sécurité. Le rapport est basé sur la ligne de base des systèmes d'information à IMPACT ÉLEVÉ. Si votre organisation utilise une ligne de base de contrôle faible ou modérée, vous devrez peut-être ajuster les résultats en conséquence.
Informations couvertes
La publication spéciale 800-53 du NIST fournit un catalogue de contrôles de sécurité et de confidentialité pour les systèmes d'information et les organisations. Ces contrôles protègent les opérations organisationnelles, les actifs, les individus et d'autres organisations contre diverses menaces et risques. Ces risques incluent les attaques hostiles, les erreurs humaines, les catastrophes naturelles, les défaillances structurelles, le renseignement étranger et les risques de confidentialité.
Les contrôles sont flexibles, personnalisables et mis en œuvre dans le cadre d'un processus de gestion des risques à l'échelle de l'organisation. Ils répondent aux exigences des besoins de mission et d'affaires, des lois, des règlements, des politiques et des normes.
Entités couvertes
- Une agence exécutive.
- Un contractant d'une agence exécutive.
- Une autre organisation au nom d'une agence exécutive.
Ces lignes directrices ne s'appliquent pas aux systèmes de sécurité nationale sauf approbation par les responsables fédéraux appropriés. Les organisations des secteurs étatique, local, tribal et privé sont également encouragées à utiliser ces lignes directrices de manière appropriée.
Conformité et audit
- Conformité requise par
- Les agences sont généralement tenues de se conformer aux normes et lignes directrices du NIST dans l'année suivant la date de publication, sauf indication contraire de l'Office of Management and Budget (OMB) ou du NIST.
- Régulateurs et auditeurs
- Conformément à la FISMA, l'OMB exige que les agences fédérales préparent des rapports de Plans d'Action et de Jalons (POA&M) pour tous les programmes et systèmes où une faiblesse de sécurité informatique est trouvée.
Rapport des vulnérabilités de la NIST Special Publication 800-53
Le tableau suivant répertorie les contrôles de sécurité techniques spécifiques de la NIST Special Publication 800-53 qu'AppScan Enterprise évalue. Les vulnérabilités trouvées dans votre application sont associées à ces identifiants de contrôle.
| ID | Nom |
|---|---|
| AC-2(2) | <uicontrol>Supprimer</uicontrol> automatiquement [Sélection : supprimer ; désactiver] les comptes temporaires et d'urgence après [Affectation : période de temps définie par l'organisation pour chaque type de compte]. |
| AC-4 | Appliquer les autorisations approuvées pour contrôler le flux d'informations au sein du système et entre les systèmes connectés en fonction de [Affectation : politiques de contrôle du flux d'informations définies par l'organisation]. |
| AC-6 | Appliquer le principe du moindre privilège, permettant uniquement les accès autorisés pour les utilisateurs (ou les processus agissant au nom des utilisateurs) nécessaires pour accomplir les tâches organisationnelles assignées. |
| AC-7.a | Appliquer une limite de [Affectation : nombre défini par l'organisation] de tentatives de connexion invalides consécutives par un utilisateur pendant une [Affectation : période de temps définie par l'organisation] ; |
| AC-10 | Limiter le nombre de sessions simultanées pour chaque [Affectation : compte défini par l'organisation et/ou type de compte] à [Affectation : nombre défini par l'organisation]. |
| AC-12 | Terminer automatiquement une session utilisateur après [Affectation : conditions ou événements déclencheurs définis par l'organisation nécessitant la déconnexion de la session] |
| AC-17 | a. Établir et documenter les restrictions d'utilisation, les exigences de configuration/connexion, et les directives de mise en œuvre pour chaque type d'accès à distance autorisé ; et b. Autoriser chaque type d'accès à distance au système avant de permettre de telles connexions. |
| CM-7 | a. Configurer le système pour fournir uniquement [Assignment: capacités essentielles à la mission définies par l'organisation] ; et b. Interdire ou restreindre l'utilisation des fonctions, ports, protocoles, logiciels et/ou services suivants : [Assignment: fonctions interdites ou restreintes définies par l'organisation, ports système, protocoles, logiciels, et/ou services]. |
| IA-2 | Identifier et authentifier de manière unique les utilisateurs de l'organisation et associer cette identification unique aux processus agissant au nom de ces utilisateurs. |
| IA-4(1) | Interdire l'utilisation d'identifiants de compte système qui sont identiques aux identifiants publics pour les comptes individuels. |
| IA-5 | Gérer les authentificateurs système en : a. Vérifiant, dans le cadre de la distribution initiale de l'authentificateur, l'identité de l'individu, du groupe, du rôle, du service ou de l'appareil recevant l'authentificateur ; b. Établissant le contenu initial de l'authentificateur pour tout authentificateur émis par l'organisation ; c. S'assurant que les authentificateurs ont une force de mécanisme suffisante pour leur utilisation prévue ; d. Établissant et mettant en œuvre des procédures administratives pour la distribution initiale des authentificateurs, pour les authentificateurs perdus, compromis ou endommagés, et pour révoquer les authentificateurs ; e. Changeant les authentificateurs par défaut avant la première utilisation ; f. Changeant ou rafraîchissant les authentificateurs [Attribution : période de temps définie par l'organisation par type d'authentificateur] ou lorsque [Attribution : événements définis par l'organisation] se produisent ; g. Protégeant le contenu de l'authentificateur contre la divulgation et la modification non autorisées ; h. Exigeant que les individus prennent, et que les appareils mettent en œuvre, des contrôles spécifiques pour protéger les authentificateurs ; et i. Changeant les authentificateurs pour les comptes de groupe ou de rôle lorsque l'adhésion à ces comptes change. |
| RA-5 | a. Surveiller et analyser les vulnérabilités dans le système et les applications hébergées [Assignment: fréquence définie par l'organisation et/ou aléatoirement conformément au processus défini par l'organisation] et lorsque de nouvelles vulnérabilités potentiellement affectant le système sont identifiées et signalées ; b. Utiliser des outils et techniques de surveillance des vulnérabilités qui facilitent l'interopérabilité entre les outils et automatisent des parties du processus de gestion des vulnérabilités en utilisant des normes pour : 1. Énumérer les plateformes, les défauts logiciels et les configurations incorrectes ; 2. Formater les listes de contrôle et les procédures de test ; et 3. Mesurer l'impact des vulnérabilités ; c. Analyser les rapports de balayage des vulnérabilités et les résultats de la surveillance des vulnérabilités ; d. Remédier aux vulnérabilités légitimes [Assignment: délais de réponse définis par l'organisation] conformément à une évaluation organisationnelle des risques ; e. Partager les informations obtenues du processus de surveillance des vulnérabilités et des évaluations de contrôle avec [Assignment: personnel ou rôles définis par l'organisation] pour aider à éliminer des vulnérabilités similaires dans d'autres systèmes ; et f. Utiliser des outils de surveillance des vulnérabilités qui incluent la capacité de mettre à jour facilement les vulnérabilités à analyser. |
| SC-5 | a. [Sélection : Protéger contre ; Limiter] les effets des types suivants d'événements de déni de service : [Affectation : types d'événements de déni de service définis par l'organisation] ; et b. Mettre en œuvre les contrôles suivants pour atteindre l'objectif de déni de service : [Affectation : contrôles définis par l'organisation par type d'événement de déni de service]. |
| SC-8 | Protéger la [Sélection (un ou plusieurs) : confidentialité ; intégrité] des informations transmises. |
| SC-13 | a. Déterminer les [Affectation : utilisations cryptographiques définies par l'organisation] ; et b. Mettre en œuvre les types de cryptographie suivants requis pour chaque utilisation cryptographique spécifiée : [Affectation : types de cryptographie définis par l'organisation pour chaque utilisation cryptographique spécifiée]. |
| SC-23 | Protéger l'authenticité des sessions de communication. |
| SI-3.A | Mettre en œuvre des mécanismes de protection contre le code malveillant [Sélection (un ou plusieurs) : basés sur la signature ; non basés sur la signature] aux points d'entrée et de sortie du système pour détecter et éradiquer le code malveillant. |
| SI-3.B | Mettre à jour automatiquement les mécanismes de protection contre le code malveillant dès que de nouvelles versions sont disponibles conformément à la politique et aux procédures de gestion de la configuration organisationnelle. |
| SI-10 | Vérifier la validité des entrées d'information suivantes : [Affectation : entrées d'information définies par l'organisation dans le système]. |
| SI-11.A | Générer des messages d'erreur qui fournissent les informations nécessaires pour des actions correctives sans révéler d'informations pouvant être exploitées ; |