ドイツのITセキュリティ法案が閣議決定されている at 2020.12.16
こんにちは、丸山満彦です。
ドイツのITセキュリティー法2.0案が2020.12.16に閣議決定されたが、特定企業の排除は明示せれていない。
● TeleTrusT
ITセキュリティ法のページ
ITセキュリティ法 (IT-SIG2.0)案
・[HTML] にしてみました・・・
BSIにより強力な権限を与えるようですね。。。
・参考(現行法)
・[PDF] IT-Sicherheitsgesetz_2015
・[PDF] Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSIGesetz (BSI-Kritisverordnung – BSI-KritisV) BSI法に基づく重要インフラの指定に関する規則
・Guideline "State of the art" - Technical and organizational measures 2020
■ 参考(報道等)
● JETRO
・ 2020.12.25 ITセキュリティー法2.0を閣議決定、特定企業の排除は明示せず(ドイツ)
参考
・Guideline "State of the art" - Technical and organizational measures 2020
| Principles of the guideline | ガイドラインの原則 |
| 1 Introduction | 1 はじめに |
| 1.1 IT Security Act | 1.1 ITセキュリティ法 |
| 1.2 German BSI security standards for CI operators in specific sectors | 1.2 特定のセクターのCIオペレータのためのドイツのBSIセキュリティ基準 |
| 1.3 European implications | 1.3 ヨーロッパへの影響 |
| 1.4 General Data Protection Regulation | 1.4 一般データ保護規則 |
| 1.5 Appropriateness of measures | 1.5 対策の適切性 |
| 2 Determining the state of technology | 2 技術の状態を見極める |
| 2.1 Definition | 2.1 定義 |
| 2.2 Method for determining the state of technology | 2.2 技術状態の判定方法 |
| 2.3 Quality assurance process for the guide | 2.3 ガイドの品質保証プロセス |
| 2.4 Required protection objectives | 2.4 必要な保護目的 |
| 3 Technical and organisational measures (TOMs) | 3 技術的・組織的対策(TOMs) |
| 3.1 General information | 3.1 一般情報 |
| 3.2 Technical measures | 3.2 技術的対策 |
| 3.2.1 Password strength assessment | 3.2.1 パスワード強度の評価 |
| 3.2.2 Enforcing strong passwords | 3.2.2 強力なパスワードの強制 |
| 3.2.3 Multi-factor authentication | 3.2.3 多要素認証 |
| 3.2.4 Cryptographic procedures | 3.2.4 暗号化手順 |
| 3.2.5 Disk encryption | 3.2.5 ディスクの暗号化 |
| 3.2.6 Encryption of files and folders | 3.2.6 ファイルとフォルダの暗号化 |
| 3.2.7 E-mail encryption | 3.2.7 電子メールの暗号化 |
| 3.2.8 Securing electronic data communication with PKI | 3.2.8 PKIによる電子データ通信の確保 |
| 3.2.9 Use of VPNs (layer 3) | 3.2.9 VPNの利用(レイヤー3) |
| 3.2.10 Layer 2 encryption | 3.2.10 レイヤ2の暗号化 |
| 3.2.11 Cloud-based data exchange | 3.2.11 クラウド型データ交換 |
| 3.2.12 Data storage in the cloud | 3.2.12 クラウドでのデータ保存 |
| 3.2.13 Use of mobile voice and data services | 3.2.13 携帯電話の音声・データサービスの利用 |
| 3.2.14 Communication through instant messenger | 3.2.14 インスタントメッセンジャーによる通信 |
| 3.2.15 Mobile Device Management | 3.2.15 モバイルデバイスの管理 |
| 3.2.16 Router security | 3.2.16 ルータのセキュリティ |
| 3.2.17 Network monitoring using Intrusion Detection System | 3.2.17 侵入検知システムによるネットワーク監視 |
| 3.2.18 Web traffic protection | 3.2.18 ウェブトラフィックの保護 |
| 3.2.19 Web application protection | 3.2.19 ウェブアプリケーションの保護 |
| 3.2.20 Remote network access/ remote maintenance | 3.2.20 リモートネットワークアクセス/リモートメンテナンス |
| 3.2.21 Server hardening | 3.2.21 サーバーのハード化 |
| 3.2.22 Endpoint Detection & Response Plattform | 3.2.22 エンドポイント検出・対応プラットフォーム |
| 3.2.23 Using internet with web isolation | 3.2.23 ウェブ分離でインターネットを利用する |
| 3.2.24 Attack detection and analysis (SIEM) | 3.2.24 攻撃検知・分析(SIEM) |
| 3.2.25 Confidential computing | 3.2.25 コンフィデンシャル コンピューティング |
| 3.2.26 Sandboxing for malicious code analysis | 3.2.26 悪意あるコードの解析用のサンドボックス化 |
| 3.2.27 Cyber threat intelligence | 3.2.27 サイバー脅威インテリジェンス |
| 3.3 Organisational measures | 3.3 組織的施策 |
| 3.3.1 Standards and norms | 3.3.1 基準と規範 |
| 3.3.2 Processes | 3.3.2 プロセス |
| 3.3.3 Secure software development | 3.3.3 セキュアなソフトウェア開発 |
| 3.3.4 Process certification | 3.3.4 プロセス認証 |
| 3.3.5 Vulnerability and patch management | 3.3.5 脆弱性とパッチ管理 |
| 3.3.6 Management of information security risks | 3.3.6 情報セキュリティリスクの管理 |
« 総務省 「地方公共団体における情報セキュリティポリシーに関するガイドライン」と「地方公共団体における情報セキュリティ監査に関するガイドライン」の公表及び意見募集の結果 | Main | US OIG によるFBIのダークウェブの利用に関する監査 at 2020.12.17 »
Comments