「NIST 特刊 800-53 修訂 5」報告

此報告顯示在您的應用程式中發現的美國國家標準與技術研究院 (NIST) 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全,並可能會被視為違反法規。

重要性

NIST 擬訂及發佈各種標準、準則及其他出版品,以協助聯邦政府機構實施 2002 年的「聯邦資訊安全管理法案 (FISMA)」,其中包括最低需求,以便提供所有政府機構作業與資產的適當資訊安全,但這些標準與準則不應套用至國家安全系統。聯邦資訊存取安全標準 (FIPS) 是 NIST 依照 FISMA 所擬訂。FISMA 要求聯邦政府機構符合這些標準,因此,它們必須如此。指引文件與建議發佈於「NIST 特刊 (SP) 800」系列中。「預算管理局 (OMB)」政策指出,除了國家安全計劃與系統之外,政府機構必須遵循 NIST 指引。

FIPS 200(聯邦資訊和資訊系統的最低安全需求)是為了回應 FISMA 而擬訂之不得免除的強制性標準。如果要符合聯邦標準,機構必須先判斷其資訊系統的安全種類是否符合 FIPS 199(聯邦資訊系統的安全種類標準)的規定,然後套用 NIST SP 800-53 中一組適當的基準安全控制。政府機構的風險評量,是藉由判斷是否需要額外的控制來保護政府機構作業、政府機構資產或個人,從而驗證這一組安全控制。這組最終產出的安全控制,會建立起聯邦政府機構及其承包人的「安全查核」等級。

除非 OMB 或 NIST 另有指示,否則各機構應在發布之日起一年內遵守 NIST 安全標準和指南。 (NIST SP 修訂的一年合規日期僅適用於新的和/或更新的材料。)
1. 該法規 14/20 部分中發現的問題:
控制編號控制
AC-2(2)[指派:組織自訂各類帳戶的時間期限] 後,自動 [選擇:移除;停用] 臨時和緊急帳戶,
AC-4強制執行核准的授權,以便根據 [指派:組織定義的資訊流程控制政策] 控制系統內部和連接系統之間的資訊流動。
AC-6採用最小權限原則,僅允許使用者(或代表使用者執行的程序)進行完成指定組織任務所需的授權存取。
AC-7 a.強制在 [指定:組織定義的時間期限] 內限制使用者連續無效登入嘗試的次數為 [指定:組織定義的數字]
AC-10將每個 [指派:組織定義的帳戶和/或帳戶類型] 的並行階段作業數限制為 [指派:組織定義的數量]
AC-12自動在 [指派:組織定義的條件或觸發需要中斷階段作業的事件] 後終止使用者階段作業
AC-17a.建立並記錄每種容許的遠端存取類型的使用限制、配置/連線要求和實作指南;並

b.在允許這類連線之前,先授權對系統的每種類型的遠端存取。

CM-7a.將系統配置為僅提供 [指派:組織定義的關鍵任務功能];以及

b.禁止或限制使用以下功能、埠、協定、軟體和/或服務:[指派:組織定義的禁止或受限功能、系統埠、協定、軟體和/或服務]

IA-2唯一識別並鑑別組織使用者,並將該唯一識別與代表這些使用者執行的程序建立關聯。
IA-4(1)禁止使用與個人帳戶公開 ID 相同的系統帳戶 ID。
IA-5管理系統鑑別器方式:

a.驗證作為初始鑑別器分發的一部分,接收鑑別器的個人、群組、角色、服務或裝置的身分;

b.建立組織所簽發的任何鑑別器的初始鑑別器內容;

c.確保鑑別器具有足夠的機制強度以滿足其預期用途;

d.建立並實作初始鑑別器分發、鑑別器遺失、受損或損壞,以及撤銷鑑別器的管理程序;

e.在首次使用之前變更預設鑑別器;

f.變更或重新整理鑑別器 [指派:組織自訂的鑑別器類型時間期限] 或在 [指派:組織自訂事件] 發生時;

g.保護鑑別器內容免受未經授權的洩露和修改;

h.要求個人採取特定控制措施,並讓裝置實作這些措施以保護鑑別器;以及

i.群組或角色帳戶的成員資格變更時,變更這些帳戶的鑑別器。

RA-5a.監控並掃描系統和管理應用程式中的漏洞 [指派:依組織定義的頻率和/或根據組織定義的程序隨機進行],以及在識別和報告可能影響系統的新漏洞時進行;

b.使用漏洞監控工具和技術,透過使用以下標準來促進工具之間的交互作業能力,並自動化漏洞管理的部分流程:

  1. 列舉平台、軟體缺陷和不正確的配置;
  2. 格式化檢查清單和測試程序;以及
  3. 衡量漏洞影響;

c.分析漏洞掃描報告和漏洞監控結果;

d.根據組織對風險的評估修復合法漏洞 [指派:組織定義的回應時間]

e.將從漏洞監控流程和控制評估中獲得的資訊與 [指派:組織定義的人員或角色] 共享,以協助消除其他系統中的相似漏洞。

f.使用具有容易更新掃描漏洞功能的漏洞監控工具。

SC-5a. [選擇:防護;限制] 以下類型的拒絕服務事件的影響:[指定:組織定義的拒絕服務事件類型];以及

b.使用以下控制來實現拒絕服務目標:[指派:組織定義的拒絕服務事件類型的控制]

SC-8保護傳輸資訊的 [選擇(一個或多個):機密性;完整性]
SC-13a.確定 [指派:組織自訂的加密用途];以及

b.實作以下各種加密類型,以滿足指定的加密需求:[指派:組織自定義之各種指定加密需求的加密類型]

SC-23保護通訊階段作業的真實性。
SI-3.A實作 [選擇(一個或多個):基於簽名;非基於簽名] 惡意程式碼保護機制,以在系統進入和退出點偵測並根除惡意程式碼。
SI-3.B在新版本發布時,根據組織的配置管理政策和程序自動更新惡意程式碼保護機制。
SI-10檢查以下資訊輸入的有效性:[指派:組織自訂的系統資訊輸入]
SI-11.A產生錯誤訊息以提供進行糾正動作所需資訊,同時不透露可能被利用的資訊。