Network & Information Security Directive (NIS2)合规报告
Network & Information Security Directive NIS2)合规报告是一份概述组织遵守最新 NIS2 法规的文件,确保整个欧盟网络和信息系统的安全性和弹性。
摘要
2016 年出台的欧盟网络安全规则已由 NIS2 指令更新,该指令将于 2023 年生效。此次更新对现有的法律框架进行了现代化改造,以应对日益增长的数字化和不断演变的网络安全威胁形势。通过将网络安全规则的范围扩大到新的行业和实体,它提高了公共和私人实体、主管当局以及整个欧盟的恢复能力和事件响应能力。
NIS2 指令提供了法律措施,以确保以下几点,从而提高欧盟整体网络安全水平:
- 会员国的准备程度,要求它们适当配备,例如Computer Security Incident Response Team (CSIRT)以及国家网络和信息系统(NIS)主管部门。
- 加强各成员国之间的合作,成立合作组,支持和促进成员国之间的战略合作和信息交流。
- 在对经济和社会至关重要的各个领域中,安全文化都严重依赖信息通信技术,例如能源、交通、水利、银行、金融市场基础设施、医疗保健和数字基础设施。
主要目标
- 提高欧盟整体网络安全标准。
- 增强公共和私人组织的恢复能力和事件响应能力。
- 促进欧盟成员国之间加强合作和信息共享。
- 标准化各个行业和关键基础设施的网络安全要求。
对组织的影响
NIS2 所涵盖行业的组织必须遵守该指令的网络安全要求。这包括实施风险管理措施、事件报告程序和供应链安全措施。
AppScan 和 NIS2
NIS2 指令第 21 条概述了以下网络安全要求:
成员国必须确保重要实体实施适当且适度的技术、操作和组织措施,以管理用于其运营或服务的网络和信息系统安全风险,并防止或尽量减少事件对其服务接受者和其他服务的影响。
这些措施应考虑最先进的、相关的欧洲和国际标准以及实施成本。他们必须确保与所带来风险相适应的安全级别。在评估这些措施的比例时,必须考虑实体的风险敞口、规模、事件发生的可能性以及潜在影响的严重性(包括社会和经济影响)等因素。
这些措施应遵循全灾害方法来保护网络和信息系统及其物理环境免受事件影响,并且必须至少包括以下内容:
- 风险分析及信息系统安全政策
- 事故处理
- 业务连续性,包括备份管理、灾难恢复和危机管理
- 供应链安全,包括与直接供应商或服务提供商的关系的安全相关方面
- 网络和信息系统采购、开发和维护的安全,包括漏洞处理和披露
- 评估网络安全风险管理措施有效性的政策和程序
- 基本网络卫生实践和网络安全培训
- 关于使用密码学和加密(如适用)的政策和程序
- 人力资源安全、访问控制策略和资产管理
- 在适当情况下,在实体内使用多因素身份验证或持续身份验证解决方案、安全的语音、视频和文本通信以及安全的紧急通信系统
这AppScan 报告将利用美国国家标准与技术研究所 (NIST) 特别出版物 800-53 修订版 5 作为 NIS2 指令建议的国际综合安全框架,以识别与 Web 应用程序安全相关的任何潜在的不合规问题。
有关 NIS2 指令的更多信息,请访问: NIS2 指令
有关保护 Web 应用程序的更多信息,请访问: HCL Software -AppScan
区段 | 描述 |
---|---|
AC-2(2) | 在 [分配:组织为每种类型的帐户定义的时间段] 之后自动 [选择:删除;禁用] 临时帐户和紧急帐户。 |
AC-4 | 根据[任务:组织定义的信息流控制策略],强制执行已批准的授权,以控制系统内和连接系统之间的信息流。 |
AC-6 | 采用最小特权原则,仅允许完成分配的组织任务所必需的用户(或代表用户行事的进程)进行授权访问。 |
AC-7.a | 强制限制用户在 [分配:组织定义的时间段] 内连续无效登录尝试次数为 [分配:组织定义的次数]。 |
AC-10 | 将每个 [分配:组织定义的帐户和/或帐户类型] 的并发会话数限制为 [分配:组织定义的数量]。 |
AC-12 | 在 [任务:组织定义的条件或触发事件要求断开会话] 之后自动终止用户会话。 |
AC-17 | 为每种允许的远程访问类型建立并记录使用限制、配置/连接要求和实施指导;b.在允许此类连接之前,请先授权每种类型的系统远程访问。 |
CM-7 | 配置系统以仅提供[任务:组织定义的任务基本能力];以及b.禁止或限制使用以下功能、端口、协议、软件和/或服务:[任务:组织定义的禁止或限制的功能、系统端口、协议、软件和/或服务]。 |
IA-2 | 唯一地标识和验证组织用户,并将该唯一标识与代表这些用户行事的流程相关联。 |
IA-4(1) | 禁止使用与个人账户公共标识符相同的系统账户标识符。 |
IA-5 | 通过以下方式管理系统身份验证器:a.作为初始身份验证器分发的一部分,验证接收身份验证器的个人、团体、角色、服务或设备的身份;b.为组织颁发的任何认证器建立初始认证器内容;c.确保认证器具有足够的机制强度以满足其预期用途;d.建立并实施初始身份验证器分配、丢失或泄露或损坏的身份验证器以及撤销身份验证器的管理程序;e.首次使用前更改默认身份验证器;f.更改或刷新身份验证器 [任务:组织定义的身份验证器类型的时间段] 或当 [任务:组织定义的事件] 发生时;g.保护验证器内容免遭未经授权的披露和修改;h.要求个人采取特定控制措施,并让设备实施特定控制措施来保护身份验证器;i.当组或角色帐户的成员身份发生变化时,更改这些帐户的身份验证器。 |
RA-5 | 监控并扫描系统和托管应用程序中的漏洞[任务:组织定义的频率和/或根据组织定义的过程随机进行],以及何时发现和报告可能影响系统的新漏洞;b.采用漏洞监控工具和技术,促进工具之间的互操作性,并通过使用以下标准实现漏洞管理流程的部分自动化:1.列举平台、软件缺陷和不当配置;2.格式化清单和测试程序;以及3.衡量脆弱性影响;c.分析漏洞扫描报告和漏洞监控结果;d.根据组织风险评估,修复合法漏洞[任务:组织定义的响应时间];e.与[任务:组织定义的人员或角色]共享从漏洞监控过程和控制评估中获得的信息,以帮助消除其他系统中的类似漏洞;f.采用能够随时更新要扫描的漏洞的漏洞监控工具。 |
SC-5 | [选择:防范;限制] 以下类型的拒绝服务事件的影响:[任务:组织定义的拒绝服务事件类型];b.采用以下控制措施来实现拒绝服务目标:[任务:组织根据拒绝服务事件类型定义的控制措施]。 |
SC-8 | 保护传输信息的[选择(一个或多个):机密性;完整性]。 |
SC-13 - 一 | 确定[任务:组织定义的加密用途];以及b.实现每种指定加密用途所需的以下加密类型:[任务:组织为每种指定加密用途定义的加密类型]。 |
SC-23 | 保护通讯会话的真实性。 |
SI-3.A | 在系统入口和出口点实施[选择(一个或多个):基于签名;非基于签名]恶意代码防护机制,以检测和根除恶意代码。 |
SI-3.B | 根据组织配置管理政策和程序,在新版本发布时自动更新恶意代码保护机制。 |
SI-10 | 检查以下信息输入的有效性:[任务:组织定义的系统信息输入]。 |
SI-11.A | 生成错误消息,提供采取纠正措施所需的信息,但不会泄露可能被利用的信息。 |