Network & Information Security Directive (NIS2) 合規報告
Network & Information Security Directive (NIS2) 合規報告是一份文件,概述組織遵守最新 NIS2 法規的情況,確保整個歐盟網路和資訊系統的安全性和彈性。
摘要
2016 年推出的歐盟網路安全規則由 2023 年生效的 NIS2 指令進行了更新。此次更新使現有法律框架現代化,以應對日益增長的數位化和不斷變化的網路安全威脅情況。透過將網路安全規則的範圍擴大到新的部門和實體,它提高了公共和私人實體、主管機關以及整個歐盟的彈性和事件回應能力。
NIS2 指令提供了提高歐盟網路安全整體水準的法律措施,確保:
- 成員國的準備情況,要求它們配備適當的裝備,例如Computer Security Incident Response Team (CSIRT) 和主管的國家網路和資訊系統 (NIS) 機構。
- 所有成員國之間的合作,建立合作小組以支持和促進成員國之間的策略合作和資訊交流。
- 跨對經濟和社會至關重要的部門的安全文化,嚴重依賴資訊通信技術,如能源、交通、水、銀行、金融市場基礎設施、醫療保健和數位基礎設施。
主要目標
- 提高歐盟內部的整體網路安全標準。
- 加強公共和私人組織的復原力和事件回應能力。
- 促進改善歐盟成員國之間的合作和資訊共享。
- 標準化各部門和關鍵基礎設施的網路安全要求。
對組織的影響
NIS2 涵蓋的部門中的組織必須遵守該指令的網路安全要求。這包括實施風險管理措施、事件通報程序和供應鏈安全措施。
AppScan 和NIS2
NIS2 指令第 21 條概述了以下網路安全要求:
成員國必須確保重要實體實施適當且相稱的技術、營運和組織措施,以管理用於其營運或服務的網路和資訊系統的安全風險,並防止或盡量減少事件對其服務接受者和其他人的影響。
這些措施應考慮最新的相關歐洲和國際標準以及實施成本。他們必須確保適合所構成風險的安全等級。在評估這些措施的相稱性時,必須考慮實體的風險暴露、規模、事件的可能性以及潛在影響(包括社會和經濟影響)的嚴重程度等因素。
這些措施應遵循一切危害的方法,以保護網路和資訊系統及其物理環境免受事件的影響,並且必須至少包括以下內容:
- 風險分析與資訊系統安全政策
- 事件處理
- 業務連續性,包括備份管理、災難復原和危機管理
- 供應鏈安全,包括與直接供應商或服務提供者關係的安全相關方面
- 網路和資訊系統取得、開發和維護的安全,包括漏洞處理和揭露
- 評估網路安全風險管理措施有效性的政策和程序
- 基本網路衛生實務與網路安全培訓
- 有關使用密碼學和(如適用)加密的政策和程序
- 人力資源安全、存取控制策略和資產管理
- 在適當的情況下,在實體內使用多因素身份驗證或連續身份驗證解決方案、安全語音、視訊和文字通訊以及安全緊急通訊系統
這AppScan 報告將按照NIS2 指令的建議,利用美國國家標準與技術研究院(NIST) 特別出版物800-53 修訂版5 作為推薦的國際綜合安全框架,以確定與Web 應用程式安全相關的任何潛在不合規問題。
有關 NIS2 指令的更多信息,請訪問: NIS2 指令
有關保護 Web 應用程式安全的更多信息,請訪問: HCL Software -AppScan
小節 | 說明 |
---|---|
AC-2(2) | 自動【選擇:刪除; [指派:組織為每種帳戶類型定義的時間段]之後停用]臨時和緊急帳戶。 |
交流-4 | 根據[作業:組織定義的資訊流控制策略],強制執行核准的授權來控制系統內以及連接系統之間的資訊流。 |
AC-6 | 採用最小權限原則,僅允許完成分配的組織任務所需的使用者(或代表使用者的進程)進行授權存取。 |
AC-7.a | 強制限制使用者在[分配:組織定義的時間段]內連續無效登入嘗試的次數[分配:組織定義的次數]。 |
AC-10 | 將每個 [指派:組織定義的帳戶和/或帳戶類型] 的並發會話數限制為 [分配:組織定義的數量]。 |
AC-12 | 在[分配:組織定義的條件或需要會話斷開的觸發事件]之後自動終止使用者會話。 |
AC-17 | 建立並記錄允許的每種類型的遠端存取的使用限制、配置/連接要求和實施指南;和b。在允許此類連接之前,先授權對系統的每種類型的遠端存取。 |
CM-7 | 配置系統僅提供[分配:組織定義的任務基本能力];和b。禁止或限制使用下列功能、連接埠、協定、軟體和/或服務:[任務:組織定義的禁止或限制功能、系統連接埠、協定、軟體和/或服務]。 |
IA-2 | 唯一地識別和驗證組織用戶,並將該唯一標識與代表這些用戶行事的流程相關聯。 |
IA-4(1) | 禁止使用與個人帳戶公共識別碼相同的系統帳戶識別碼。 |
IA-5 | 透過以下方式管理系統驗證器:作為初始驗證器分發的一部分,驗證接收身份驗證器的個人、群組、角色、服務或裝置的身份; b.為組織發布的任何驗證器建立初始驗證器內容; C。確保驗證者俱有足夠的機制強度來滿足其預期用途; d.建立並實施初始驗證器分發、驗證器遺失、受損或損壞以及撤銷驗證器的管理程序; e.在首次使用之前更改預設身份驗證器; F。變更或重新整理驗證器[指派:組織定義的時間段(依驗證器類型)或何時發生[指派:組織定義的事件]; G。保護驗證器內容免遭未經授權的洩漏和修改; H。要求個人採取並讓設備實施特定的控制措施來保護身分驗證器;和我。當群組或角色帳戶的成員資格發生變化時,請變更這些帳戶的身份驗證器。 |
RA-5 | 監視和掃描系統和託管應用程式中的漏洞[分配:組織定義的頻率和/或根據組織定義的流程隨機]以及何時識別和報告可能影響系統的新漏洞; b.採用漏洞監控工具和技術,透過使用以下標準來促進工具之間的互通性並自動化部分漏洞管理流程: 1.枚舉平台、軟體缺陷和不正確的配置; 2.格式化清單和測試程序;和 3.衡量漏洞影響; C。分析漏洞掃描報告和漏洞監控結果; d.根據組織風險評估修復合法漏洞[作業:組織定義的回應時間]; e.與[分配:組織定義的人員或角色]共享從漏洞監控過程和控制評估中獲得的信息,以幫助消除其他系統中的類似漏洞;和f。使用能夠輕鬆更新要掃描的漏洞的漏洞監控工具。 |
SC-5 | [選擇:防範;限制]以下類型的拒絕服務事件的影響:[分配:組織定義的拒絕服務事件類型];和b。採用以下控制措施來實現拒絕服務目標:[任務:組織以拒絕服務事件類型定義的控制措施]。 |
SC-8 | 保護[選擇(一項或多項):保密;傳輸訊息的完整性]。 |
SC-13-a | 確定【任務:組織定義的加密用途】;和b。實作每個指定的加密用途所需的下列加密類型:[作業:組織為每個指定的加密用途定義的加密類型]。 |
SC-23 | 保護通訊會話的真實性。 |
SI-3.A | 實施[選擇(一項或多項):基於簽名;系統入口和出口點的惡意程式碼防護機制,用於偵測和根除惡意程式碼。 |
SI-3.B | 當有新版本可用時,根據組織配置管理策略和程序自動更新惡意程式碼保護機制。 |
SI-10 | 檢查以下資訊輸入的有效性:[分配:組織定義的系統資訊輸入]。 |
SI-11.A | 產生錯誤訊息,提供糾正措施所需的信息,而不會洩露可被利用的信息。 |