Federal Information Security Management Act(FISMA)报告

此报告显示在您站点上发现的 FISMA 问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规,并且可能会被视为违反法律规定。

它为什么重要

Federal Information Security Management Act(FISMA)已由国会通过并经总统签署立法成为 2002 年 Electronic Government Act 的一部分。它提供框架以确保采取全面的措施来保护联邦信息和资产。FISMA 一致性是一项国家安全事务,因此会经政府最高级别仔细审查。由于此法案适用于机构、承包商及其他组织所使用的信息和信息系统,因此它具有比以前的安全法律更广泛的适用性。机构 IT 安全计划适用于拥有或使用联邦信息的所有组织,或是代表联邦机构操作、使用联邦信息系统或对其具有访问权的组织,包括承包商、受让人、州政府和地方政府以及行业合作伙伴。因此,联邦安全要求继续适用,从而使机构负责确保适当的安全控制。

联邦机构必须在每年 10 月以前向行政管理和预算办公室(Office of Management and Budget,OMB)递交 IT 安全要求一致性的年度报告。OMB 使用这些报告帮助评估政府范围的安全表现,向国会呈递其年度安全报告,协助改善和维持适当的机构安全表现以及根据 President's Management Agenda,报告 E-Government Scorecard 的开发情况。报告必须总结系统和计划的年度 IT 安全复查结果,以及机构在完成其 FISMA 目标和里程碑方面所取得的进度。

FISMA 一致性要求对于机构计算机安全的现有风险以及修复计划,提供详细的报告和估量。验证组织内每个 IT 系统的一致性,需要通过协调的报告和信息流,进行全面的验证测试和修复规划,使机构主管能准确报告其当前的 FISMA 一致性状态。

缺少测试和报告各种 IT 系统所需的集中 IT 功能以及基本流程和过程的组织,必须从头开始构建此基础结构,并且会承担巨大的时间压力,而几乎没有犯错的余地。大多数政府机构都拥有数百至数千个组成 IT/IS 基础结构的系统。这些数字加重了合规性报告要求并最终导致 FISMA 一致性失败。在有限的资金和对要求的曲解这样双重压力下,许多机构一致性状况极差。

1. 该法规 14/20 部分中发现的问题:
控制序列号控件
AC-2(2)自动【选择:删除; [分配:组织为每种帐户类型定义的时间段]之后禁用]临时和紧急帐户。
交流-4根据[作业:组织定义的信息流控制策略],强制执行批准的授权来控制系统内以及连接系统之间的信息流。
AC-6采用最小权限原则,仅允许完成分配的组织任务所需的用户(或代表用户的进程)进行授权访问。
AC-7强制限制用户在[分配:组织定义的时间段] 内连续无效登录尝试的次数 [分配:组织定义的次数]
AC-10将每个[分配:组织定义的帐户和/或帐户类型] 的并发会话数限制为 [分配:组织定义的数量]
AC-12[分配:组织定义的条件或需要会话断开的触发事件]后自动终止用户会话
AC-17a.建立并记录允许的每种类型的远程访问的使用限制、配置/连接要求和实施指南;和

b.在允许此类连接之前,先授权对系统的每种类型的远程访问。

CM-7a.配置系统仅提供[分配:组织定义的任务基本能力] ;和

b.禁止或限制使用以下功能、端口、协议、软件和/或服务: [任务:组织定义的禁止或限制功能、系统端口、协议、软件和/或服务]

IA-2唯一地识别和验证组织用户,并将该唯一标识与代表这些用户行事的流程相关联。
IA-4(1)禁止使用与个人账户公共标识符相同的系统账户标识符。
IA-5通过以下方式管理系统验证器:

a.作为初始身份验证器分发的一部分,验证接收身份验证器的个人、组、角色、服务或设备的身份;

b.为组织发布的任何验证器建立初始验证器内容;

c.确保验证者具有足够的机制强度来满足其预期用途;

d.建立并实施初始验证器分发、验证器丢失、受损或损坏以及撤销验证器的管理程序;

e.在首次使用之前更改默认身份验证器;

f.更改或刷新身份验证器[分配:组织定义的时间段(按身份验证器类型)或何时发生[分配:组织定义的事件]

g.保护验证器内容免遭未经授权的泄露和修改;

h.要求个人采取并让设备实施特定的控制措施来保护身份验证器;和

i.当组或角色帐户的成员资格发生变化时,更改这些帐户的身份验证器。

RA-5a.监视和扫描系统和托管应用程序中的漏洞[分配:组织定义的频率和/或根据组织定义的流程随机]以及何时识别和报告可能影响系统的新漏洞;

b.采用漏洞监控工具和技术,通过使用以下标准来促进工具之间的互操作性并自动化部分漏洞管理流程:

  1. 枚举平台、软件缺陷和不正确的配置;
  2. 格式化清单和测试程序;和
  3. 衡量漏洞影响;

c.分析漏洞扫描报告和漏洞监控结果;

d.根据组织风险评估修复合法漏洞[作业:组织定义的响应时间]

e.与[分配:组织定义的人员或角色]共享从漏洞监控过程和控制评估中获得的信息,以帮助消除其他系统中的类似漏洞;和

f.使用能够轻松更新要扫描的漏洞的漏洞监控工具。

SC-5A。 [选择:防范;限制]以下类型的拒绝服务事件的影响: [分配:组织定义的拒绝服务事件类型] ;和

b.采用以下控制措施来实现拒绝服务目标: [分配:组织按拒绝服务事件类型定义的控制措施]

SC-8保护[选择(一项或多项):保密;传输信息的完整性]
SC-13a.确定【分配:组织定义的加密用途】 ;和

b.实现每个指定的加密用途所需的以下加密类型: [分配:组织为每个指定的加密用途定义的加密类型]

SC-23保护通信会话的真实性。
SI-3.A实施[选择(一项或多项):基于签名;系统入口和出口点的恶意代码防护机制,用于检测和根除恶意代码。
SI-3.B当有新版本可用时,根据组织配置管理策略和程序自动更新恶意代码保护机制。
SI-10检查以下信息输入的有效性: [分配:组织定义的系统信息输入]
SI-11.A生成错误消息,提供纠正措施所需的信息,而不会泄露可被利用的信息。