Rapport NIST Special Publication 800-53 Révision 5.2.0
Le rapport de conformité NIST Special Publication 800-53 Révision 5.2.0 vous aide à évaluer la sécurité de votre application web par rapport aux contrôles de sécurité et de confidentialité requis pour les systèmes d'information fédéraux américains.
À propos de la NIST Special Publication 800-53
Le National Institute of Standards and Technology (NIST) élabore des normes et des lignes directrices pour les systèmes d'information fédéraux afin de respecter la loi fédérale sur la gestion de la sécurité de l'information (FISMA). La publication spéciale NIST 800-53 fournit un catalogue de contrôles de sécurité et de confidentialité pour protéger les systèmes d'information et les actifs fédéraux américains.
- Déterminer la catégorie de sécurité de leur système d'information (selon FIPS 199).
- Appliquer l'ensemble approprié de contrôles de sécurité de base de la publication spéciale NIST 800-53.
- Utiliser une évaluation des risques pour valider l'ensemble de contrôles et identifier tout contrôle supplémentaire nécessaire.
Le rapport de conformité NIST d'AppScan vous aide à détecter les problèmes potentiels dans votre application web qui sont pertinents pour ces contrôles de sécurité. Le rapport est basé sur la référence des systèmes d'information à HAUT IMPACT. Si votre organisation utilise une référence de contrôle faible ou modérée, vous devrez peut-être ajuster les résultats en conséquence.
Informations couvertes
La publication spéciale NIST 800-53 fournit un catalogue de contrôles de sécurité et de confidentialité pour les systèmes d'information et les organisations. Ces contrôles protègent les opérations organisationnelles, les actifs, les individus et d'autres organisations contre diverses menaces et risques. Ces risques incluent les attaques hostiles, les erreurs humaines, les catastrophes naturelles, les défaillances structurelles, le renseignement étranger et les risques liés à la vie privée.
Les contrôles sont flexibles, personnalisables et mis en œuvre dans le cadre d'un processus de gestion des risques à l'échelle de l'organisation. Ils répondent aux exigences découlant des besoins de mission et d'affaires, des lois, des réglementations, des politiques et des normes.
Entités couvertes
- Une agence exécutive.
- Un entrepreneur d'une agence exécutive.
- Une autre organisation pour le compte d'une agence exécutive.
Ces lignes directrices ne s'appliquent pas aux systèmes de sécurité nationale, sauf approbation par les responsables fédéraux appropriés. Les organisations étatiques, locales, tribales et du secteur privé sont également encouragées à utiliser ces lignes directrices, le cas échéant.
Conformité et audit
- Conformité requise par
- Les agences sont généralement tenues de se conformer aux normes et lignes directrices du NIST dans un délai d'un an à compter de la date de publication, sauf instruction contraire du Bureau de la gestion et du budget (OMB) ou du NIST.
- Régulateurs et auditeurs
- Selon la FISMA, l'OMB exige que les agences fédérales préparent des rapports de plans d'action et d'étapes (POA&M) pour tous les programmes et systèmes où une faiblesse de sécurité informatique est constatée.
Vulnérabilités du rapport NIST Special Publication 800-53
Le tableau suivant répertorie les contrôles de sécurité technique spécifiques de la publication spéciale NIST 800-53 évalués par AppScan Enterprise. Les vulnérabilités trouvées dans votre application sont mappées à ces identifiants de contrôle.
| ID | Nom |
|---|---|
| AC-2(2) | Automatiquement [Sélection : supprimer ; désactiver] les comptes temporaires et d'urgence après [Affectation : période définie par l'organisation pour chaque type de compte]. |
| AC-4 | Appliquer les autorisations approuvées pour contrôler le flux d'informations au sein du système et entre les systèmes connectés en fonction de [Affectation : politiques de contrôle des flux d'informations définies par l'organisation]. |
| AC-6 | Utiliser le principe du moindre privilège, n'autorisant que les accès autorisés pour les utilisateurs (ou les processus agissant au nom des utilisateurs) nécessaires à l'accomplissement des tâches organisationnelles assignées. |
| AC-7.a | Appliquer une limite de [Affectation : nombre défini par l'organisation] tentatives de connexion invalides consécutives par un utilisateur pendant une [Affectation : période définie par l'organisation] ; |
| AC-10 | Limiter le nombre de sessions simultanées pour chaque [Affectation : compte et/ou type de compte défini par l'organisation] à [Affectation : nombre défini par l'organisation]. |
| AC-12 | Mettre fin automatiquement à une session utilisateur après [Affectation : conditions ou événements déclencheurs définis par l'organisation nécessitant une déconnexion de session] |
| AC-17 | a. Établir et documenter les restrictions d'utilisation, les exigences de configuration/connexion et les directives de mise en œuvre pour chaque type d'accès à distance autorisé ; et b. Autoriser chaque type d'accès à distance au système avant de permettre de telles connexions. |
| CM-7 | a. Configurer le système pour ne fournir que [Affectation : capacités essentielles à la mission définies par l'organisation] ; et b. Interdire ou restreindre l'utilisation des fonctions, ports, protocoles, logiciels et/ou services suivants : [Affectation : fonctions, ports système, protocoles, logiciels et/ou services interdits ou restreints définis par l'organisation]. |
| IA-2 | Identifier et authentifier de manière unique les utilisateurs organisationnels et associer cette identification unique aux processus agissant au nom de ces utilisateurs. |
| IA-4(1) | Interdire l'utilisation d'identifiants de compte système identiques aux identifiants publics pour les comptes individuels. |
| IA-5 | Gérer les authentifiants du système en : a. Vérifiant, dans le cadre de la distribution initiale des authentifiants, l'identité de l'individu, du groupe, du rôle, du service ou de l'appareil recevant l'authentifiant ; b. Établissant le contenu initial de tout authentifiant émis par l'organisation ; c. S'assurant que les authentifiants disposent d'une force de mécanisme suffisante pour leur utilisation prévue ; d. Établissant et mettant en œuvre des procédures administratives pour la distribution initiale des authentifiants, pour les authentifiants perdus, compromis ou endommagés, et pour la révocation des authentifiants ; e. Changeant les authentifiants par défaut avant la première utilisation ; f. Changeant ou actualisant les authentifiants [Affectation : période définie par l'organisation par type d'authentifiant] ou lorsque [Affectation : événements définis par l'organisation] se produisent ; g. Protégeant le contenu des authentifiants contre toute divulgation et modification non autorisées ; h. Exigeant que les individus prennent, et que les appareils mettent en œuvre, des contrôles spécifiques pour protéger les authentifiants ; et i. Changeant les authentifiants pour les comptes de groupe ou de rôle lorsque l'appartenance à ces comptes change. |
| RA-5 | a. Surveiller et analyser les vulnérabilités du système et des applications hébergées [Affectation : fréquence définie par l'organisation et/ou de manière aléatoire conformément au processus défini par l'organisation] et lorsque de nouvelles vulnérabilités affectant potentiellement le système sont identifiées et signalées ; b. Utiliser des outils et techniques de surveillance des vulnérabilités qui facilitent l'interopérabilité entre les outils et automatisent certaines parties du processus de gestion des vulnérabilités en utilisant des normes pour : 1. Énumérer les plateformes, les défauts logiciels et les configurations incorrectes ; 2. Formater les listes de contrôle et les procédures de test ; et 3. Mesurer l'impact des vulnérabilités ; c. Analyser les rapports d'analyse de vulnérabilité et les résultats de la surveillance des vulnérabilités ; d. Remédier aux vulnérabilités légitimes [Affectation : temps de réponse définis par l'organisation] conformément à une évaluation des risques organisationnelle ; e. Partager les informations obtenues lors du processus de surveillance des vulnérabilités et des évaluations de contrôle avec [Affectation : personnel ou rôles définis par l'organisation] pour aider à éliminer des vulnérabilités similaires dans d'autres systèmes ; et f. Utiliser des outils de surveillance des vulnérabilités qui incluent la capacité de mettre à jour facilement les vulnérabilités à analyser. |
| SC-5 | a. [Sélection : Protéger contre ; Limiter] les effets des types d'événements de déni de service suivants : [Affectation : types d'événements de déni de service définis par l'organisation] ; et b. Utiliser les contrôles suivants pour atteindre l'objectif de déni de service : [Affectation : contrôles définis par l'organisation par type d'événement de déni de service]. |
| SC-8 | Protéger la [Sélection (une ou plusieurs) : confidentialité ; intégrité] des informations transmises. |
| SC-13 | a. Déterminer les [Affectation : utilisations cryptographiques définies par l'organisation] ; et b. Mettre en œuvre les types de cryptographie suivants requis pour chaque utilisation cryptographique spécifiée : [Affectation : types de cryptographie définis par l'organisation pour chaque utilisation cryptographique spécifiée]. |
| SC-23 | Protéger l'authenticité des sessions de communication. |
| SI-3.A | Mettre en œuvre des mécanismes de protection contre les codes malveillants [Sélection (un ou plusieurs) : basés sur des signatures ; non basés sur des signatures] aux points d'entrée et de sortie du système pour détecter et éradiquer les codes malveillants. |
| SI-3.B | Mettre à jour automatiquement les mécanismes de protection contre les codes malveillants dès que de nouvelles versions sont disponibles, conformément à la politique et aux procédures de gestion de la configuration de l'organisation. |
| SI-10 | Vérifier la validité des entrées d'informations suivantes : [Affectation : entrées d'informations définies par l'organisation dans le système]. |
| SI-11.A | Générer des messages d'erreur fournissant les informations nécessaires aux actions correctives sans révéler d'informations susceptibles d'être exploitées ; |