NIST Special Publication 800-53 Revision 5.2.0 report
NIST Special Publication 800-53 Revision 5.2.0 合规报告帮助您评估您的网络应用程序的安全性,以符合美国联邦信息系统所需的安全和隐私控制。
About NIST Special Publication 800-53
国家标准与技术研究院 (NIST) 制定联邦信息系统的标准和指南,以满足《联邦信息安全管理法案》(FISMA)。NIST Special Publication 800-53 提供了一份安全和隐私控制目录,以保护美国联邦信息系统和资产。
此报告显示您的应用程序如何符合 NIST Special Publication 800-53 控制。为了符合该标准,机构必须:
- 确定其信息系统的安全类别(根据 FIPS 199)。
- 应用 NIST Special Publication 800-53 中的适当基线安全控制集。
- 使用风险评估来验证控制集并识别任何需要的额外控制。
AppScan 的 NIST 合规报告帮助您检测与这些安全控制相关的网络应用程序中的潜在问题。该报告基于高影响信息系统基线。如果您的组织使用低或中等控制基线,您可能需要相应地调整结果。
Covered information
NIST Special Publication 800-53 提供了信息系统和组织的安全和隐私控制目录。这些控制措施保护组织的运作、资产、个人和其他组织免受各种威胁和风险的影响。这些风险包括敌对攻击、人为错误、自然灾害、结构性故障、外国情报和隐私风险。
控制措施是灵活的、可定制的,并作为组织范围内风险管理过程的一部分实施。它们满足来自任务和业务需求、法律、法规、政策和标准的要求。
涵盖的实体
NIST Special Publication 800-53 中的指南适用于所有美国联邦信息系统,包括由以下机构使用或操作的系统:
- 一个执行机构.
- 一个执行机构的承包商.
- 代表执行机构的另一个组织.
除非获得适当的联邦官员批准,否则这些指南不适用于国家安全系统。州、地方、部落和私营部门组织也被鼓励在适当时使用这些指南。
合规性和审计
- 合规性要求
- 机构通常预期在发布日期后一年内遵守 NIST 标准和指南,除非管理和预算办公室 (OMB) 或 NIST 另有指示。
- 监管者和审计员
- 根据FISMA,OMB要求联邦机构为所有发现IT安全漏洞的程序和系统准备行动计划和里程碑(POA&M)报告。
NIST特别出版物800-53报告漏洞
下表列出了AppScan Enterprise评估的特定NIST特别出版物800-53技术安全控制。您应用程序中发现的漏洞将映射到这些控制ID。
| ID | 名称 |
|---|---|
| AC-2(2) | 在[Assignment: organization-defined time period for each type of account]后自动[Selection: remove; disable]临时和紧急账户。 |
| AC-4 | 根据[Assignment: organization-defined information flow control policies],在系统内和连接系统之间实施批准的授权以控制信息流动。 |
| AC-6 | 采用最小特权原则,仅允许用户(或代表用户操作的进程)进行完成分配的组织任务所必需的授权访问。 |
| AC-7.a | 在[Assignment: organization-defined time period]期间,强制执行用户连续[Assignment: organization-defined number]次无效登录尝试的限制; |
| AC-10 | 将每个[Assignment: organization-defined account and/or account type]的并发会话数量限制为[Assignment: organization-defined number]。 |
| AC-12 | 在[Assignment: organization-defined conditions or trigger events requiring session disconnect]后自动终止用户会话。 |
| AC-17 | a.为每种允许的远程访问类型建立并记录使用限制、配置/连接要求和实施指南;并且 b.在允许此类连接之前,授权每种远程访问类型连接到系统。 |
| CM-7 | a.配置系统以仅提供[Assignment: organization-defined mission essential capabilities];并且 b.禁止或限制使用以下功能、端口、协议、软件和/或服务:[Assignment: organization-defined prohibited or restricted functions, system ports, protocols, software, and/or services]。 |
| IA-2 | 唯一识别和认证组织用户,并将该唯一标识与代表这些用户操作的进程相关联。 |
| IA-4(1) | 禁止使用与个人账户的公共标识符相同的系统账户标识符。 |
| IA-5 | 通过以下方式管理系统认证器:a.在初始认证器分发时,验证接收认证器的个人、群体、角色、服务或设备的身份;b.为组织发放的任何认证器建立初始认证器内容;c.确保认证器具有足够的机制强度以适应其预期用途;d.建立并实施初始认证器分发、丢失或受损或损坏的认证器以及撤销认证器的管理程序;e.在首次使用前更改默认认证器;f.在[分配:组织定义的时间段按认证器类型]或当[分配:组织定义的事件]发生时更改或刷新认证器;g.保护认证器内容不被未经授权的披露和修改;h.要求个人采取措施,并让设备实施特定控制以保护认证器;以及i.当群体或角色账户的成员发生变化时更改认证器。 |
| RA-5 | a.监控和扫描系统及托管应用程序中的漏洞 [Assignment: 组织定义的频率和/或根据组织定义的流程随机],以及在识别和报告可能影响系统的新漏洞时;b.使用漏洞监控工具和技术,通过使用以下标准促进工具之间的互操作性并自动化漏洞管理过程的部分内容:1.枚举平台、软件缺陷和不当配置;2.格式化检查清单和测试程序;3.测量漏洞影响;c.分析漏洞扫描报告和漏洞监控结果;d.根据组织的风险评估,修复合法漏洞 [Assignment: 组织定义的响应时间];e.与 [Assignment: 组织定义的人员或角色] 共享从漏洞监控过程和控制评估中获得的信息,以帮助消除其他系统中的类似漏洞;f.使用包括能够随时更新要扫描的漏洞的功能的漏洞监控工具。 |
| SC-5 | a. [选择:防护;限制] 以下类型的拒绝服务事件的影响:[分配:组织定义的拒绝服务事件类型];并且 b.采用以下控制措施以实现拒绝服务目标:[分配:按拒绝服务事件类型组织定义的控制措施]。 |
| SC-8 | 保护传输信息的[选择(一种或多种):机密性;完整性]。 |
| SC-13 | a.确定[分配:组织定义的加密用途];并且 b.实施每个指定加密用途所需的以下类型的加密:[分配:为每个指定加密用途组织定义的加密类型]。 |
| SC-23 | 保护通信会话的真实性。 |
| SI-3.A | 在系统入口和出口点实施[选择(一种或多种):基于签名的;非基于签名的]恶意代码保护机制,以检测和消除恶意代码。 |
| SI-3.B | 当有新版本可用时,自动更新恶意代码保护机制,以符合组织的配置管理政策和程序。 |
| SI-10 | 检查以下信息输入的有效性:[分配:组织定义的系统信息输入]。 |
| SI-11.A | 生成错误消息,提供必要的纠正措施信息,而不透露可能被利用的信息; |