「聯邦資訊安全管理法案 (FISMA)」報告
這份報告顯示在您的網站上找到的 FISMA 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全,並可能會被視為違反法規。
重要性
美國國會已通過「美國聯邦資訊安全管理法案 (FISMA)」,並由美國總統簽署完成立法,成為 2002 年「電子化政府法案」的一環。它提供一個架構來確保會採取綜合性措施,以維護聯邦資訊和資產的安全。FISMA 標準關乎國家安全,因此,在政府最高層次進行了詳細的檢查。由於這個法案適用於政府機構、承包人及其他組織所用的資訊和資訊系統,因此,適用範圍超出先前的安全法律。政府機構 IT 安全計劃適用於代表美國聯邦政府機構的下列所有組織:持有或使用美國聯邦資訊的組織;或操作、使用,或有權存取美國聯邦資訊系統的組織;其中包括承包人、被授權者、州政府或地方政府,以及產業夥伴。因此,美國聯邦安全需求仍繼續適用,令政府機構負責確保適當的安全控制。美國聯邦政府機構必須就其遵循 IT 安全需求狀況,在每年 10 月,向「預算管理局 (OMB)」遞交一份年度報告。OMB 利用這些報告來協助評估政府層面的安全績效、擬訂年度安全報告以提交國會、輔助改進及維護適當的政府機構安全績效,以及通告在「總統管理議程」之下,「E 政府計分卡」之發展。這份報告必須彙總系統與計劃的年度 IT 安全審查結果,以及政府機構針對履行其 FISMA 目標及里程碑所完成之任何進度。
FISMA 標準需要政府機構在虛擬安全方面,關於現有風險及補救計劃兩者的詳細報告與測量。驗證組織內各 IT 系統是否符合標準,需要綜和性的驗證測試及補救規劃,以及協調的報告和資訊流程,讓政府機構得以邁向對於現行 FISMA 標準狀態進行精確報告。
缺乏集中式 IT 功能以及各種 IT 系統的測試與報告所需要之基礎流程和程序的組織,必須從頭開始建置這個基礎架構,且在重大時間壓力之下,如此一來幾乎毫無容錯空間。大部分政府機構都起碼有數百(或甚至上千)個系統所組成的 IT/IS 基礎設施。這些數字惡化了符合標準的報告需求,最終會導致無法符合 FISMA 標準。再加上資金有限以及可能誤解需求,許多政府機構便陷入極不符合標準的情況。
| 控制序號 | 控制 |
|---|---|
| AC-2(2) | 自動【選擇:刪除; [指派:組織為每種帳戶類型定義的時間段]之後停用]臨時和緊急帳戶。 |
| 交流-4 | 根據[作業:組織定義的資訊流控制策略],強制執行核准的授權來控制系統內以及連接系統之間的資訊流。 |
| AC-6 | 採用最小權限原則,僅允許完成分配的組織任務所需的使用者(或代表使用者的進程)進行授權存取。 |
| AC-7 | 強制限制使用者在[分配:組織定義的時間段] 內連續無效登入嘗試的次數 [分配:組織定義的次數] |
| AC-10 | 將每個[分配:組織定義的帳戶和/或帳戶類型] 的並發會話數限制為 [分配:組織定義的數量] 。 |
| AC-12 | 在[分配:組織定義的條件或需要會話斷開的觸發事件]之後自動終止使用者會話 |
| AC-17 | a.建立並記錄允許的每種類型的遠端存取的使用限制、配置/連接要求和實施指南;和 b.在允許此類連接之前,先授權對系統的每種類型的遠端存取。 |
| CM-7 | a.配置系統僅提供[分配:組織定義的任務基本能力] ;和 b.禁止或限制使用以下功能、連接埠、協定、軟體和/或服務: [任務:組織定義的禁止或限制功能、系統連接埠、協定、軟體和/或服務] 。 |
| IA-2 | 唯一地識別和驗證組織用戶,並將該唯一標識與代表這些用戶行事的流程相關聯。 |
| IA-4(1) | 禁止使用與個人帳戶公共識別碼相同的系統帳戶識別碼。 |
| IA-5 | 透過以下方式管理系統驗證器: a.作為初始驗證器分發的一部分,驗證接收身份驗證器的個人、群組、角色、服務或裝置的身份; b.為組織發布的任何驗證器建立初始驗證器內容; c.確保驗證者俱有足夠的機制強度來滿足其預期用途; d.建立並實施初始驗證器分發、驗證器遺失、受損或損壞以及撤銷驗證器的管理程序; e.在首次使用之前更改預設身份驗證器; f.變更或重新整理驗證器[指派:組織定義的時間段(依驗證器類型)或何時發生[指派:組織定義的事件] ; g.保護驗證器內容免遭未經授權的洩漏和修改; h.要求個人採取並讓設備實施特定的控制措施來保護身分驗證器;和 i.當群組或角色帳戶的成員資格發生變化時,請變更這些帳戶的身份驗證器。 |
| RA-5 | a.監視和掃描系統和託管應用程式中的漏洞[分配:組織定義的頻率和/或根據組織定義的流程隨機]以及何時識別和報告可能影響系統的新漏洞; b.採用漏洞監控工具和技術,透過使用以下標準來促進工具之間的互通性並自動化部分漏洞管理流程:
c.分析漏洞掃描報告和漏洞監控結果; d.根據組織風險評估修復合法漏洞[作業:組織定義的回應時間] ; e.與[分配:組織定義的人員或角色]共享從漏洞監控過程和控制評估中獲得的信息,以幫助消除其他系統中的類似漏洞;和 f.使用能夠輕鬆更新要掃描的漏洞的漏洞監控工具。 |
| SC-5 | A。 [選擇:防範;限制]以下類型的拒絕服務事件的影響: [分配:組織定義的拒絕服務事件類型] ;和 b.採用以下控制措施來實現拒絕服務目標: [分配:組織依拒絕服務事件類型定義的控制措施] 。 |
| SC-8 | 保護[選擇(一項或多項):保密;傳輸訊息的完整性] 。 |
| SC-13 | a.確定【分配:組織定義的加密用途】 ;和 b.實現每個指定的加密用途所需的以下加密類型: [分配:組織為每個指定的加密用途定義的加密類型] 。 |
| SC-23 | 保護通訊會話的真實性。 |
| SI-3.A | 實施[選擇(一項或多項):基於簽名;系統入口和出口點的惡意程式碼防護機制,用於偵測和根除惡意程式碼。 |
| SI-3.B | 當有新版本可用時,根據組織配置管理策略和程序自動更新惡意程式碼保護機制。 |
| SI-10 | 檢查以下資訊輸入的有效性: [分配:組織定義的系統資訊輸入] 。 |
| SI-11.A | 產生錯誤訊息,提供糾正措施所需的信息,而不會洩露可被利用的信息。 |