NIST Special Publication 800-53 Revision 5.2.0 report
NIST Special Publication 800-53 Revision 5.2.0 合規報告幫助您評估您的網頁應用程式的安全性,對照美國聯邦信息系統所需的安全和隱私控制。
About NIST Special Publication 800-53
國家標準與技術研究院 (NIST) 制定聯邦信息系統的標準和指南,以滿足《聯邦信息安全管理法案》(FISMA)。NIST Special Publication 800-53 提供了一個安全和隱私控制的目錄,以保護美國聯邦信息系統和資產。
此報告顯示您的應用程式如何符合 NIST Special Publication 800-53 控制。為符合標準,機構必須:
- 確定其信息系統的安全類別(根據 FIPS 199)。
- 應用 NIST Special Publication 800-53 中的適當基線安全控制集。
- 使用風險評估來驗證控制集並識別任何需要的額外控制。
<uicontrol>AppScan</uicontrol> 的 NIST 合規報告幫助您檢測與這些安全控制相關的網頁應用程式中的潛在問題。該報告基於高影響信息系統基線。如果您的組織使用低或中等控制基線,您可能需要相應地調整結果。
Covered information
NIST Special Publication 800-53 提供了一個資訊系統和組織的安全和隱私控制目錄。這些控制保護組織運作、資產、個人和其他組織免受各種威脅和風險的影響。這些風險包括敵對攻擊、人為錯誤、自然災害、結構故障、外國情報和隱私風險。
這些控制是靈活的、可定制的,並作為組織範圍內風險管理過程的一部分實施。它們滿足來自使命和業務需求、法律、法規、政策和標準的要求。
涵蓋的實體
NIST Special Publication 800-53 中的指南適用於所有美國聯邦資訊系統,包括由以下機構使用或運營的系統:
- 一個行政機構.
- 一個行政機構的承包商.
- 代表行政機構的另一個組織.
這些指南不適用於國家安全系統,除非經適當的聯邦官員批准。州、地方、部落和私營部門組織也被鼓勵在適當時使用這些指南。
合規和審計
- 合規要求
- 機構通常預期在發布日期後一年內遵守 NIST 標準和指南,除非管理和預算辦公室 (OMB) 或 NIST 另有指示。
- 監管機構和審計員
- 根據 FISMA,OMB 要求聯邦機構為所有發現 IT 安全漏洞的計劃和系統準備行動計劃和里程碑 (POA&M) 報告。
NIST 特別出版物 800-53 報告漏洞
下表列出了 AppScan Enterprise 評估的特定 NIST 特別出版物 800-53 技術安全控制。您應用程序中發現的漏洞將映射到這些控制 ID。
| ID | 名稱 |
|---|---|
| AC-2(2) | 在 [Assignment: organization-defined time period for each type of account] 後自動 [Selection: remove; disable] 臨時和緊急帳戶。 |
| AC-4 | 根據 [Assignment: organization-defined information flow control policies] 強制執行批准的授權,以控制系統內部和連接系統之間的信息流。 |
| AC-6 | 採用最小特權原則,僅允許用戶(或代表用戶行事的進程)為完成分配的組織任務所需的授權訪問。 |
| AC-7.a | 在 [Assignment: organization-defined time period] 內強制執行用戶 [Assignment: organization-defined number] 次連續無效登錄嘗試的限制; |
| AC-10 | 將每個 [Assignment: organization-defined account and/or account type] 的並發會話數限制為 [Assignment: organization-defined number]。 |
| AC-12 | 在 [Assignment: organization-defined conditions or trigger events requiring session disconnect] 後自動終止用戶會話] |
| AC-17 | a.為每種類型的遠端存取建立並記錄使用限制、配置/連接要求和實施指導;以及 b.在允許此類連接之前,授權每種類型的系統遠端存取。 |
| CM-7 | a.配置系統以僅提供[Assignment: organization-defined mission essential capabilities];以及 b.禁止或限制使用以下功能、端口、協議、軟體和/或服務:[Assignment: organization-defined prohibited or restricted functions, system ports, protocols, software, and/or services]。 |
| IA-2 | 唯一識別和驗證組織用戶,並將該唯一識別與代表這些用戶行事的過程相關聯。 |
| IA-4(1) | 禁止使用與個人帳戶的公共標識符相同的系統帳戶標識符。 |
| IA-5 | 管理系統驗證器,方法如下:a.在初始驗證器分發時,驗證接收驗證器的個人、群體、角色、服務或設備的身份;b.為組織發行的任何驗證器建立初始驗證器內容;c.確保驗證器具有足夠的機制強度以適合其預期用途;d.建立並實施管理程序,用於初始驗證器分發、丟失或受損或損壞的驗證器,以及撤銷驗證器;e.在首次使用前更改默認驗證器;f.更改或刷新驗證器 [Assignment: 組織定義的驗證器類型的時間週期] 或當 [Assignment: 組織定義的事件] 發生時;g.保護驗證器內容免於未經授權的披露和修改;h.要求個人採取措施,並讓設備實施特定控制來保護驗證器;以及 i.當群體或角色帳戶的成員資格變更時,更改這些帳戶的驗證器。 |
| RA-5 | a.監控和掃描系統及託管應用程式中的漏洞 [Assignment: 組織定義的頻率和/或隨機根據組織定義的過程],以及當識別和報告可能影響系統的新漏洞時; b.使用漏洞監控工具和技術,通過使用標準來促進工具之間的互操作性並自動化漏洞管理過程的部分內容: 1.枚舉平台、軟體缺陷和不當配置; 2.格式化檢查清單和測試程序; 3.測量漏洞影響; c.分析漏洞掃描報告和漏洞監控結果; d.根據組織的風險評估,修復合法漏洞 [Assignment: 組織定義的響應時間]; e.與 [Assignment: 組織定義的人員或角色] 分享從漏洞監控過程和控制評估中獲得的信息,以幫助消除其他系統中的類似漏洞; f.使用包含易於更新要掃描漏洞功能的漏洞監控工具。 |
| SC-5 | a. [Selection: 保護; 限制] 以下類型的拒絕服務事件的影響:[Assignment: 組織定義的拒絕服務事件類型]; 和 b.採用以下控制措施以達成拒絕服務的目標:[Assignment: 按拒絕服務事件類型組織定義的控制措施]。 |
| SC-8 | 保護傳輸信息的[Selection (一個或多個): 機密性; 完整性]。 |
| SC-13 | a.確定[Assignment: 組織定義的加密用途]; 和 b.實施每個指定加密用途所需的以下類型的加密:[Assignment: 每個指定加密用途的組織定義的加密類型]。 |
| SC-23 | 保護通信會話的真實性。 |
| SI-3.A | 在系統進出口點實施[Selection (一個或多個): 基於簽名的; 非基於簽名的]惡意代碼保護機制,以檢測和消除惡意代碼。 |
| SI-3.B | 當有新版本可用時,根據組織配置管理政策和程序自動更新惡意代碼保護機制。 |
| SI-10 | 檢查以下信息輸入的有效性:[Assignment: 組織定義的系統信息輸入]。 |
| SI-11.A | 生成錯誤信息,提供必要的更正行動信息而不透露可能被利用的信息; |