CISO助手
完成度
0%(0/97)
评估报告
NIST

保护受控未分类信息 Rev 3

控制项模式

在非联邦系统和组织中保护受控非机密信息的安全要求。

版本: Rev 3覆盖状态: 完整覆盖 (194/194)控制项/量表/总计: 97/97/194当前展示: 10 / 9717 个分类
03.04.05变更访问限制控制项
配置管理 / 变更访问限制

对系统的硬件、软件或固件组件的更改,或与系统相关的操作程序的更改,可能会对系统的安全产生重大影响。因此,组织只允许合格且获得授权的人员访问系统以进行更改。访问限制包括物理和逻辑访问控制、软件库、工作流自动化、媒体库、抽象层(即更改通过外部接口实现,而不是直接在系统中进行)以及更改窗口(即更改仅在指定时间进行)。

评估
评估状态:
评估备注:
03.04.08授权软件 – 按例外允许控制项
配置管理 / 授权软件 – 按例外允许

如果拥有必要的权限,用户可以在组织系统中安装软件。为了保持对已安装软件的控制,组织会明确允许和禁止的安装软件行为。允许的软件安装包括对现有软件进行更新和安全补丁,以及从组织批准的“应用商店”下载新应用程序。“用于管理用户安装软件的政策由组织制定或由某些外部实体提供。政策执行方法可以包括程序化方法和自动化方法。授权的软件程序可以限制为特定版本或来自特定来源。”为了促进全面的授权软件流程,并增强对绕过应用级授权软件攻击的防护能力,软件程序可以被分解并在不同的细节层级上进行监控。这些层级包括应用程序、应用程序编程接口、应用程序模块、脚本、系统进程、系统服务、内核函数、注册表、驱动程序和动态链接库。

评估
评估状态:
评估备注:
03.04.01基线配置控制项
配置管理 / 基线配置

系统及其组件的基线配置包括连接性、操作性和通信方面的内容。基线配置是针对系统或系统内配置项的已记录、正式审查并达成一致的规格。基线配置作为未来构建、发布或系统更改的基础,包括有关系统组件、操作程序、网络拓扑以及组件在系统架构中位置的信息。维护基线配置需要随着系统的变化创建新的基线。系统的基线配置反映了当前的企业架构。

评估
评估状态:
评估备注:
03.04.03配置变更控制控制项
配置管理 / 配置变更控制

配置变更控制是指对系统的变更进行跟踪、审查、批准或拒绝,以及记录。具体来说,它包括系统变更的系统化提议、理由说明、实施、测试、审查和处理,包括系统升级和修改。配置变更控制包括对系统组件基线配置的变更(例如)。、操作系统、应用程序、防火墙、路由器、移动设备)以及系统的配置项、配置设置的更改、未计划和未经授权的更改,以及用于修复漏洞的更改。该要求与03.04.04相关。

评估
评估状态:
评估备注:
03.04.02配置设置控制项
配置管理 / 配置设置

配置设置是一组可以在系统的硬件、软件或固件组件中更改的参数,这些参数会影响系统的安全状态或功能。安全相关的配置设置可以针对系统(例如服务器、工作站)、输入和输出设备(例如扫描仪、复印机、打印机)、网络组件(例如...)进行定义。防火墙、路由器、网关、语音和数据交换机、无线访问点、网络设备、传感器、操作系统、中间件和应用程序。安全参数是指那些影响系统安全状态的参数,包括满足其他安全需求所需的参数。安全参数包括注册表设置;账户、文件和目录权限设置(即,权限);以及功能、端口、协议和远程连接的设置。组织会建立全组织范围的配置设置,然后为系统推导出具体的配置设置。已建立的设置将成为系统配置基线的一部分。常见的安全配置(也称为安全配置清单、锁定和加固指南、安全参考指南以及安全技术实施指南)提供了公认的、标准化的和既定的基准,规定了特定信息技术平台/产品的安全配置设置以及用于配置这些系统组件以满足操作要求的指示。常见的安全配置可以由各种组织制定,包括信息技术产品开发商、制造商、供应商、联盟、学术界、行业、联邦机构以及其他公共和私营部门的组织。

评估
评估状态:
评估备注:
03.04.04影响分析控制项
配置管理 / 影响分析

负责安全的组织人员进行影响分析,包括审查系统安全计划、政策和程序以了解安全要求;审查系统设计文档和操作程序以了解系统变更可能如何影响系统的安全状态;与利益相关者一起审查系统变更对供应链合作伙伴的影响;并确定系统潜在变更如何产生新的风险以及减轻这些风险的能力。影响分析还包括风险评估,以了解变更的影响并确定是否需要额外的安全要求。系统的变更可能会影响之前实施的防护措施和对策。此要求与03.04.03相关。并非所有对系统的更改都受配置控制。

评估
评估状态:
评估备注:
03.04.11信息位置控制项
配置管理 / 信息位置

信息位置涉及了解处理和存储受控未分类信息(CUI)的具体系统组件,以及拥有访问CUI的用户,以便提供适当的保护机制,包括信息流控制、访问控制和信息管理。

评估
评估状态:
评估备注:
03.04.06最小功能控制项
配置管理 / 最小功能

系统可以提供多种功能和服务。某些默认提供的常规功能和服务可能并非支持组织的核心任务、功能或运营所必需。从单一系统组件提供多种服务可能比较方便。然而,这样做会增加风险,相比限制任何单一组件提供的服务。在可行的情况下,组织将每个组件的功能限制为单一功能。组织会审查系统或系统组件提供的功能和服务,以确定哪些功能和服务是可以淘汰的候选对象。组织会禁用未使用或不必要的物理和逻辑端口及协议,以防止设备的未授权连接、信息的传输和隧道传输。组织可以使用网络扫描工具、入侵检测和防御系统以及终端保护系统(例如)。防火墙和基于主机的入侵检测系统)以识别和防止使用被禁止的功能、端口、协议、系统连接和服务。蓝牙、文件传输协议(FTP)和点对点网络是组织考虑消除、限制或禁用的协议类型示例。

评估
评估状态:
评估备注:
03.04.12高风险区域的系统与组件配置控制项
配置管理 / 高风险区域的系统与组件配置

当已知某个系统或系统组件将处于高风险区域时,可能需要额外的安全要求来应对增加的威胁。组织可以在个人出行和返程时使用的系统或系统组件上实施保护措施。操作包括确定这些地点是否需要关注、定义组件所需的配置、确保在出行开始前组件已按照预期配置,以及在出行完成后采取额外措施。例如,进入高风险区域的系统可以配置为使用清理过的硬盘、限制应用程序以及更严格的配置设置。移动设备在旅行返回后采取的措施包括检查设备是否有物理篡改的迹象,以及清除和重新映像设备存储。

评估
评估状态:
评估备注:
03.04.10系统组件清单控制项
配置管理 / 系统组件清单

系统组件是组成系统的独立、可识别的资产(即硬件、软件和固件元素)。组织可以实施集中化的系统组件清单,其中包括来自所有系统的组件。在这种情况下,组织确保清单包括组件可追溯性所需的特定系统信息。有效管理系统组件所需的信息包括系统名称、软件所有者、软件版本号、软件许可证信息、硬件清单规格,以及——对于网络组件——所有已实现协议(例如 IPv4、IPv6)的计算机名称和网络地址。库存规格包括组件类型、物理位置、接收日期、制造商、成本、型号、序列号和供应商信息。

评估
评估状态:
评估备注: