ITSG-33 行业标准报告

ITSG-33 行业标准合规报告帮助您评估您的网络应用程序的安全性，以符合加拿大政府的 IT 安全风险管理框架。

关于 ITSG-33 行业标准

加拿大政府 (GC) 部门使用信息系统来支持其业务活动。这些系统通常面临严重威胁，可能会危及 IT 资产的机密性、完整性或可用性。ITSG-33 标准提供了一个框架，以便在您持续运营中管理这些 IT 安全风险。

本报告显示了您的应用程序如何符合安全设计、开发和操作网络应用程序的相关安全控制。

ITSG-33 中的安全控制分为三类：

管理控制侧重于管理 IT 安全和风险的活动。
技术控制通过硬件、软件和固件中的机制由信息系统实施。
操作控制通过人们运行的过程来实施。

技术安全控制类包含以下系列：

访问控制支持允许或拒绝用户访问资源的能力。
审计和问责支持收集、分析和存储用户操作的审计记录的能力。
身份识别和认证支持对访问系统资源的用户进行唯一身份识别和认证。
系统和通信保护支持信息系统及其内部和外部通信的保护。

覆盖实体

以下组织预计将使用ITSG-33框架：

加拿大政府部门和机构。
共享服务和公共服务提供商，例如加拿大共享服务（SSC）。
处理敏感联邦信息的国有企业和联邦监管机构。
向联邦机构提供IT解决方案的第三方供应商和承包商。

ITSG-33行业标准报告漏洞

下表列出了评估的特定ITSG-33技术安全控制。在您的应用程序中发现的漏洞映射到这些控制ID。

表 1. 法规部分
ID	名称
AC-3	信息系统根据适用的访问控制政策，强制执行对信息和系统资源的批准授权。
AC-4	信息系统根据适用的信息流控制政策，强制执行对系统内和互连系统之间信息流的批准授权。
AC-5.A.c	组织定义信息系统访问授权以支持职责分离。
AC-6	信息系统强制执行用户完成分配任务所需的最严格的权利和特权集。
AC-7.A	信息系统在一段时间内对用户连续无效登录尝试次数进行限制。
AC-7.B	信息系统在超过最大失败尝试次数时自动锁定账户或延迟下次登录尝试。
AC-10	信息系统限制每个账户的并发会话数量至组织定义的数量。
AC-11.A	信息系统在定义的不活动时间段后或接收到用户请求后，通过启动会话锁定来防止进一步访问系统。
AC-11.B	信息系统保留会话锁定，直到用户使用已建立的识别和认证程序重新建立访问。
AC-12	信息系统在组织定义的条件或不活动时间段后自动终止用户会话。
AC-17.A	组织为每种允许的远程访问类型建立并记录使用限制、配置要求、连接要求和实施指导。
AC-18.A	组织为信息系统的无线访问建立使用限制、配置要求、连接要求和实施指导。
IA-2	信息系统唯一识别和认证组织用户（或代表用户操作的进程）。
IA-4.D	组织在组织定义的不活动时间段后禁用信息系统标识符。
IA-5.C	信息系统强制执行身份验证器的最低密码复杂性要求。
IA-5.E	信息系统禁止在指定的代数内重复使用密码。
IA-5.F	信息系统强制执行密码的最小和最大生命周期限制。
IA-5.G	信息系统通过使用加密机制保护身份验证器内容免受未经授权的披露和修改。
IA-5.H	信息系统在传输过程中保护身份验证器内容免受未经授权的披露。
IA-6	信息系统在身份验证过程中模糊身份验证信息的反馈，以保护信息免遭未经授权的使用。
IA-7	信息系统在建立加密连接之前实施机制以对加密模块进行身份验证。
SA-18	信息系统实施防篡改和检测机制，以防止和/或识别对软件、固件和硬件组件的未经授权的更改。
SC-5	信息系统保护或限制拒绝服务攻击的影响。
SC-6	信息系统通过为系统进程分配优先级并确保在资源争用下高优先级进程获得优先处理来保护资源的可用性。
SC-7.A	信息系统监控和控制系统外部边界以及系统内关键内部边界的通信。
SC-8	信息系统保护传输信息的机密性和完整性。
SC-12	信息系统使用自动化机制和支持程序来建立和管理加密密钥。
SC-13	信息系统实施加密机制，以防止信息的未经授权披露并检测信息的更改。
SC-20.A	信息系统提供额外的数据来源认证和完整性验证工件，以及它在响应外部名称/地址解析查询时返回的权威名称解析数据。
SC-23	信息系统保护通信会话的真实性。
SC-28	信息系统保护静态信息的机密性和完整性。
SI-2.A	组织及时识别、报告和纠正信息系统缺陷。
SI-3.A	组织在系统入口/出口点和端点使用恶意代码保护机制，并保持机制和签名的最新状态，以检测和消除恶意代码。
SI-10	信息系统检查信息输入的有效性，以确保准确性、完整性和真实性。
SI-11.A	信息系统生成错误消息，提供必要的纠正措施信息，而不透露可能被利用的敏感信息。