NIST SP800-53Aの評価手順書作成の考え方
こんにちは、丸山満彦です。財務諸表監査もわりと監査意見形成について構造的に行われていますが、NISTのSP800-53A(現在ドラフトですが・・・)の評価はもっと構造的ですよね・・・。
【National Institute of Standards and Technology:NIST】
■Computer Security Resource Center
●Security Guideline (SP800)
●Draft Guidelines & Standards
・2006.04.21 Draft SP800-53A Guide for Assessing the Security Controls in Federal Information Systems
評価手順書の策定の枠組みが結構よくできています。リスクアプローチになっています。
特徴的なことは、「情報システムの重要性に応じて保証水準が異なる」ことですね。
重要性が高いシステムについては、要求される保証水準が高い。
重要性が低いシステムについては、要求される保証水準が低い
ということになります。
要求される保証水準ですが、
●重要性が低いシステム:
・セキュリティ統制手続は効果があり、コントロール宣言書に明確に識別された機能要求事項に適合している。
●重要性が中程度のシステム:
・セキュリティ統制手続は効果があり、コントロール宣言書に明確に識別された機能要求事項に適合している。
・統制手続の策定者及び実施者は、統制手続の分析と検査を行うために十分に詳細な統制手続の機能特性を説明できる。
・統制手続の策定者及び実装者は、統制手続の中に不可欠な部分として、統制手続が実装された場合その要求された機能又は目的に確実に適合するよう責任と明確な対応活動を割り当てる。
・これらの対応活動には、例えば、この決定を容易にするように適した記録の構成及び内容の策定を求めることも含まれる。
●重要性が高いシステム:
・セキュリティ統制手続は効果があり、コントロール宣言書に明確に識別された機能要求事項に適合している。
・統制手続の策定者及び実施者は、統制手続の分析と検査を行うために十分に詳細な統制手続の機能特性及び設計・実装(統制手続の構成要素間の機能インターフェースを含む)を説明できる。
・統制手続の策定者及び実装者は、統制手続の中に不可欠な部分として、統制手続が実装された場合に継続的かつ首尾一貫して(つまり、情報システム全体にわたって)その要求された機能又は目的及び統制手続の有効性の向上の支援に確実に適合するように責任と明確な対応活動を割り当てる。
・これらの対応活動には、例えば、この決定を容易にするように適した記録の構成及び内容の策定を求めることも含まれる。
ちょっと乱暴な訳なので、原文も・・・
=====
●Low
The security control is in effect and meets explicitly identified functional requirements in the control statement.
●Moderate
The security control is in effect and meets explicitly identified functional requirements in the control statement.
The control developer/implementer provides a description of the functional properties of the control with sufficient detail to permit analysis and testing of the control.
The control developer/implementer includes as an integral part of the control, assigned responsibilities and specific actions to ensure that when the control is implemented, it will meet its required function or purpose.
These actions include, for example, requiring the development of records with structure and content suitable to facilitate making this determination.
●High
The security control is in effect and meets explicitly identified functional requirements in the control statement.
The control developer/implementer provides a description of the functional properties and design/implementation of the control with sufficient detail to permit analysis and testing of the control (including functional interfaces among control components).
The control developer/implementer includes as an integral part of the control, assigned responsibilities and specific actions to ensure that when the control is implemented, it will continuously and consistently (i.e., across the information system) meet its required function or purpose and support improvement in the effectiveness of the control.
These actions include, for example, requiring the development of records with structure and content suitable to facilitate making this determination.
=====
Comments
> 重要性が高いシステムについては、要求される保証水準が高い
> 重要性が低いシステムについては、要求される保証水準が低い
SP800-53A の場合、対になる SP800-53 にて、重要性の高い・低いによって、要求する機能水準に高低のようなレベルという考え方をせずに、必要な機能を選択する。という考え方となっていることを、こちらの評価で補うことで仕上げるわけですな。
それらの組み合わせ方法が、TCSEC と CC と、これとですべて異なるところが興味ありますな。
試行錯誤と取るか、順次改善されていると取るか・・・w
Posted by: 佐藤慶浩 | 2006.08.04 20:11
佐藤さん、コメントありがとうございます。
情報システムの重要性に応じて、必要な機能要件を変えるとともに、評価における保証要件についても変えるところに特徴があります。
CCの保証要件のレベル分けとの違いは、評価する対象の性質が異なるからでしょうか?
いずれにせよ、よく考えられています。
Posted by: 丸山満彦 | 2006.08.05 10:23
随分ご無沙汰してました。
> 重要性が高いシステムについては、要求される保証水準が高い
> 重要性が低いシステムについては、要求される保証水準が低い
この考え方は、CCを嫌ってRobustness評価に移っていった
米軍の評価指標とそっくりですね。
Posted by: 澤田栄浩 | 2010.08.04 16:08