Rapport NIST Special Publication 800-53 Revision 4
Ce rapport indique les problèmes NIST trouvés sur votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
Pourquoi est-ce important
Le NIST élabore et émet des normes, directives et autres publications destinées à aider les agences fédérales dans l'implémentation de la loi FISMA (Federal Information Security Management Act) de 2002, y compris les exigences minimales pour assurer une sécurité informatique adéquate pour toutes les opérations et tous les actifs de l'agence, mais ces normes et directives ne s'appliquent pas aux systèmes de la sécurité nationale. Des normes FIPS (Federal Information Processing Standards) sont développées par le NIST conformément à la réglementation FISMA. Dans la mesure où FISMA exige que les agences fédérales se conforment à ces normes, celles-ci doivent s'y plier. Les documents de conseils et recommandations sont émis dans la série 800 de la Special Publication (SP) du NIST. Les stratégies de l'Office of Management and Budget (OMB) imposent que, pour les systèmes et programmes de sécurité autres que ceux relevant de la sécurité nationale, les agences se conforment impérativement aux conseils de NIST.
La norme FIPS 200, Minimum Security Requirements for Federal Information and Information Systems, est une norme obligatoire et sans dérogation possible développée en réponse à FISMA. Pour être conformes à la norme fédérale, les agences doivent d'abord déterminer la catégorie de sécurité de leur système d'information conformément aux dispositions FIPS 199, normes de catégorisation de sécurité pour les systèmes d'information fédéraux, puis appliquer l'ensemble adéquat de contrôles de sécurité de base définis dans NIST SP 800-53. L'évaluation des risques de l'agence valide l'ensemble de contrôles de sécurité en déterminant si des contrôles supplémentaires sont requis pour protéger les opérations, les ressources ou le personnel de l'agence. L'ensemble résultant de contrôles de sécurité définit le niveau de "diligence raisonnable de sécurité" pour les agences fédérales et leurs sous-traitants.
Les agences ont un an à partir de la date de publication pour se mettre en conformité avec les normes et directives de sécurité NIST, sauf avis contraire de l'OMB ou du NIST. (Le délai d'un an pour la mise en conformité avec les révisions des NIST SP s'applique uniquement aux nouvelles parties et/ou sections mises à jour).