-
ISO/IEC:国際標準化
-
TCSEC:Trusted Computer System Evaluation Criteria
- コンピュータシステム評価基準
- オレンジブック
- ISO/IEC 15408に継承
-
ITSEC:Infomation Technology Security Evaluation Criteria
- ホワイトブック
-
ISO/IEC 15408
- 情報セキュリティ評価基準
- CC:Common Criteriaとも呼ばれている
-
ST:Security Target
- TOE:Target of Evaluation に関するセキュリティ仕様書
-
PP:Protection Profile
- セキュリティ要件を特定する文書
- EAL:Evaluation Assurance Level
-
JISX 5070
- 2000年7月に採択
-
ISO/IEC 17799
- 情報セキュリティ実践規範
- BS 17799-1を継承
- JISX 5090→JIS Q 27002
-
ISO/IEC27001
-
ISMS: Information Security Management System
- PDCAサイクル
- JIS Q 27001に準拠していることを認定する制度
- BS 17799-2
-
JIS Q 27001:2005
- 情報セキュリティマネジメントシステム要求事項
- ISO/IES 17799を継承
-
JIS Q 27002:2006
-
情報セキュリティマネジメントシステム実践規範
- ISMSを実践するための規範がまとめられている
-
ISO/IEC TR13335
- GIMITS: Guidlines for the Management for IT Security
-
ITセキュリティマネジメントガイドライン
- IT部門のためのガイドラン
-
リスクマネジメント
- 許容されるコストの範囲内でリスクを最小限に抑え、除去するようにコントロールすること
-
リスクアセスメント
-
リスク
- 純粋リスト
- 投機的リスク
-
情報リスク
- 情報資産
- 脅威
- 人間による脅威
- 意図的
- 盗聴、改ざん
- 偶発的
- 物理的な事故
- 環境による脅威
- 地震、落雷
- 脆弱性
- リスク値=情報資産の価値×脅威×脆弱性
-
事象の発生確率
- 脆弱性の大きさ×脅威の大きさ
-
事象の影響度
- 情報資産の価値
-
ベースラインアプローチ
- 国際規格をもとに適合をチェックする
-
詳細リスク分析アプローチ
- ①情報資産を洗い出し、価値を評価する。
- ②情報資産ごとの脅威と脆弱性を識別し、リスクを定量化する
- ③リスクに応じた管理策を確認する
-
組み合わせアプローチ
- 詳細リスク分析とベースラインを組み合わせる
-
非形式アプローチ
- 各個人の知識と経験を利用する
-
JRMS:JIPDEC RISK Management System
- CMM:Capability Maturity Model, 能力成熟モデル
- COBIT III
-
CRAMM:CCTA RIsk Analysis Management Methology
- 定量的分析
- 定性的分析
-
①資産の識別と価値評価
- CRAMM質問表を用いて組織内の情報資産の分類と価値の評価を行う
-
②脅威と脆弱性の評価
- 各資産グループの脅威と脆弱性を5段階に評価
- ③対策の選択
-
ALE:Annual Loss Exposure
- ALE = 10^(f + i - 3)/3
- i : 損失評価額レベル(金額/回)
- f: 発生頻度レベル(回/年)
-
リスク対応
-
リスクコントロール
-
リスク回避
- リスクの要因そのものを排除する
-
リスク移転
- 情報資産の管理、情報セキュリティ対策を外部に委託する
-
リスクファイナンス
-
リスク保有
- リスクによる損失を自社内の資金で対処する
-
リスク移転
- 保険や契約によってリスクによる損失を外部に移転する
- PCI DSS:Payment Card Industry Data Security Standard
-
プライバシーガイドライン
- OECDプライバシーガイドライン