« ENISA 中小企業のセキュリティのためのツール「SecureSMEツール」を発表していますね。。。 | Main | 欧州議会 Think Tank 欧州連合に関する中国の報道の動向:新華社の2012-2021年におけるEU関連報道の分析 »

2021.09.14

ENISA セクター別サイバーセキュリティ評価の方法論(270xxと15408の統合する?)

こんにちは、丸山満彦です。

ENISA セクター別サイバーセキュリティ評価の方法論(SCSA方法論)についての報告書を公表していますね。。。

さまざまな保証を統合するようなものなんでしょうかね。。。監査論とか詳しい人のサポートがいるかもですね。。まずは、読んでみようかと思います。。。

 

ENISA

・2021.09.13 Risky business or a leap of faith? A risk based approach to optimise cybersecurity certification

 

Risky business or a leap of faith? A risk based approach to optimise cybersecurity certification 危険なビジネスか、思い切ってやってみるか?サイバーセキュリティ認証を最適化するためのリスクベースのアプローチ
The European Union Agency for Cybersecurity (ENISA) launches a cybersecurity assessment methodology for cybersecurity certification of sectoral multistakeholder ICT systems. 欧州連合サイバーセキュリティ機関(ENISA)は、セクターごとのマルチステークホルダーのICTシステムのサイバーセキュリティ認証のためのサイバーセキュリティ評価手法を発表しました。
The Methodology for Sectoral Cybersecurity Assessments (SCSA Methodology) in a nutshell セクター別サイバーセキュリティ評価のための方法論(SCSA方法論)を一言で言うと
The Methodology for a Sectoral Cybersecurity Assessment - (SCSA Methodology) was developed to enable the preparation of EU cybersecurity certification schemes for sectoral ICT infrastructures and ecosystems. SCSA aims at market acceptance of cybersecurity certification deployments and supports the requirements of market stakeholders and the EU Cybersecurity Act (CSA). In particular, SCSA endorses the identification of security and certification requirements based on risks associated with the “intended use” of the specific ICT products, services and processes. セクター別サイバーセキュリティ評価のための方法論-(SCSA方法論)は、セクター別のICTインフラとエコシステムのためのEUサイバーセキュリティ認証スキームの準備を可能にするために開発されました。SCSAは、サイバーセキュリティ認証を展開する市場で受け入れられることを目指しており、市場の利害関係者やEUサイバーセキュリティ法(CSA)の要件をサポートしています。特に、SCSAは、特定のICT製品、サービス、およびプロセスの「意図された使用」に関連するリスクに基づいて、セキュリティおよび認証要件を特定することを支持しています。
The SCSA Methodology makes available to the ENISA stakeholders a comprehensive ICT security assessment instrument that includes all aspects pertinent to sectoral ICT systems and provides thorough content for the implementation of ICT security and cybersecurity certification. SCSA方法論は、セクター別のICTシステムに関連するすべての側面を含む包括的なICTセキュリティ評価手段をENISA関係者に提供し、ICTセキュリティおよびサイバーセキュリティ認証の実施のための徹底したコンテンツを提供します。
While SCSA draws from widely accepted standards, in particular ISO/IEC 27000-series and ISO/IEC 15408-series, the proposed enhancements tackle multi-stakeholder systems and the specific security and assurance level requirements concerning ICT products, processes and cybersecurity certification schemes. SCSAは広く受け入れられている規格、特にISO/IEC 27000シリーズとISO/IEC 15408シリーズを参考にしていますが、提案されている強化点は、マルチステークホルダー・システムや、ICT製品、プロセス、サイバーセキュリティ認証制度に関する特定のセキュリティおよび保証レベルの要件に取り組んでいることです。
This is achieved by introducing the following features and capabilities: これは、以下の特徴と機能を導入することによって達成されます。
・Business processes, roles of sectoral stakeholders and business objectives are documented at ecosystem level, overarching the ICT subsystems of the individual stakeholders. Stakeholders are invited to actively contribute to the identification and rating of ICT security risks that could affect their business objectives. ・ビジネスプロセス、各分野のステークホルダーの役割、ビジネス目標は、個々のステークホルダーのICTサブシステムを包括したエコシステムレベルで文書化されます。事業目的に影響を与える可能性のある ICT セキュリティリスクの特定と評価に、ステークホル ダーが積極的に貢献するよう促します。
・A dedicated method associates the stakeholders’ ratings of risks with the security and assurance level requirements to dedicated ICT subsystems, components or processes of the sectoral ICT system. ・利害関係者が評価したリスクを、セクター別 ICT システムの専用の ICT サブシステム、コンポーネン ト、またはプロセスに対するセキュリティおよび保証レベルの要求事項と関連付ける専用の手法です。
・SCSA specifies a consistent approach to implement security and assurance levels across all parts of the sectoral ICT system and provides all information required by the sectoral cybersecurity certification schemes. ・SCSA は、セクター別 ICT システムのすべての部分にセキュリティおよび保証レベルを実装するための一貫したアプロー チを規定しており、セクター別サイバーセキュリティ認証制度が必要とするすべての情報を提供します。
Benefits of the SCSA Methodology for stakeholders SCSA方法論がステークホルダーにもたらすメリット
The sectoral cybersecurity security assessment provides a comprehensive approach of the multi-faceted aspects presented by complex multi-stakeholder ICT systems and it features the following benefits: セクター別サイバーセキュリティセキュリティ評価は、複雑なマルチステークホルダーのICTシステムが提示する多面的な側面に対する包括的なアプローチを提供するものであり、以下のようなメリットがあります。
1. The security of a sectoral system requires synchronisation across all participating stakeholders. SCSA introduces comparability of security and assurance levels between different stakeholders’ systems and system components. SCSA enables building open multi-stakeholder ecosystems even among competitors to the benefit of suppliers and customers. 1. セクターシステムのセキュリティには、参加しているすべてのステークホルダーの同期が必要です。SCSAは、異なるステークホルダーのシステムおよびシステムコンポーネント間のセキュリティおよび保証レベルの比較可能性を導入します。SCSAは、競合他社であってもオープンなマルチステークホルダーのエコシステムを構築することを可能にし、サプライヤーや顧客の利益につながります。
2. The risk-based approach supports transparency and a sound balance between the cost for security and certification and the benefit of mitigating ICT-security-related business risks for each concerned stakeholder. 2. リスクベースのアプローチは、透明性と、セキュリティ及び認証のためのコストと、関係する各ステークホルダーのICTセキュリティ関連のビジネスリスクを軽減することによる利益との間の健全なバランスをサポートします。
3. Security measures can focus on the critical components, optimising the security architecture of the sectoral system, hence minimising cost of security. 3. セキュリティ対策は、重要なコンポーネントに焦点を当て、セクター別システムのセキュリティ・アーキテクチャーを最適化することで、セキュリティ・コストを最小限に抑えることができる。
4. SCSA generates accurate and consistent information on security and certification level requirements for all relevant ICT subsystems, components or processes. On this basis, suppliers can match their products to their customers’ requirements. 4. SCSAは、すべての関連するICTサブシステム、コンポーネント、またはプロセスに対するセキュリティおよび認証レベルの要件に関する正確で一貫性のある情報を生成します。この情報を基に、サプライヤーは自社の製品を顧客の要求に合わせることができる。
5. SCSA supports the integration of existing risk management tools and information security management systems (ISMS). 5. SCSAは、既存のリスク管理ツールと情報セキュリティ管理システム(ISMS)の統合をサポートします。
6. Due to a consistent definition of assurance levels, the re-use of certificates from other cybersecurity certification schemes is supported. 6. 保証水準の定義が一貫しているため、他のサイバーセキュリティ認証制度の認証書の再利用が可能です。
Target audience - Who is it meant for? 対象者 - 誰を対象としていますか?
SCSA aims at an expert level audience, in particular ICT experts, ICT security experts and decision-makers in charge of sectoral multi-stakeholder systems, as well as suppliers. Examples of relevant market sectors include mobile networks / 5G, electronic identity (eID), eHealth, payments, Mobility as a Service (MaaS) and automotive. SCSAは、専門家レベルの読者、特にICT専門家、ICTセキュリティ専門家、セクター別マルチステークホルダーシステムの責任者である意思決定者、及びサプライヤーを対象としています。関連する市場セクターの例としては、モバイルネットワーク/5G、電子ID(eID)、eHealth、ペイメント、MaaS(Mobility as a Service)、自動車などが挙げられます。
Next steps 次のステップ
After successfully passing a pilot implementation in a 5G context, SCSA will be used towards the development of the EU 5G candidate cybersecurity certification scheme. SCSAは、5Gのパイロット実施に成功した後、EUの5G候補のサイバーセキュリティ認証スキームの開発に向けて使用する予定です。

 

 

 ・2021.09.13 Methodology for a Sectoral Cybersecurity Assessment

Methodology for a Sectoral Cybersecurity Assessment セクター別サイバーセキュリティ評価のための方法論
The methodology for sectoral cybersecurity assessments described in this document (called SCSA Methodology) addresses objectives in the context of ICT security for sectoral multi-stakeholder systems and drafting sectoral cybersecurity certification schemes. Applying the SCSA Methodology will generate sound information about the sectoral ICT system and relationships between the stakeholders involved, providing transparency concerning ICT-related risks and the potential to optimize the implementation of ICT security for the sectoral ICT system. It also enables full support for the European Cybersecurity Act’s requirements concerning the risk-based identification of security and assurance requirements. 本書に記載されているセクター別サイバーセキュリティ評価のための方法論(SCSA方法論と呼ばれる)は、セクター別のマルチステークホルダーシステムのためのICTセキュリティと、セクター別サイバーセキュリティ認証制度の起草という文脈での目的に対応しています。SCSA方法論を適用することにより、セクター別ICTシステム及び関係するステークホルダー間の関係に関する健全な情報が生成され、ICT関連のリスクに関する透明性とセクター別ICTシステムのためのICTセキュリティの実施を最適化する可能性が提供されます。また、欧州サイバーセキュリティ法のセキュリティおよび保証要件のリスクベースの特定に関する要件を完全にサポートすることができます。

 

・[PDF]

20210914-142224

 

 

EXECUTIVE SUMMARY  エグゼクティブサマリー 
Cybersecurity certification under the European Union Cybersecurity Act (CSA) is intended to increase trust and security for European consumers and businesses and help to achieve a genuine digital single market .  欧州連合サイバーセキュリティ法(CSA)に基づくサイバーセキュリティ認証は、欧州の消費者と企業の信頼と安全性を高め、真のデジタル単一市場の実現に貢献することを目的としています。
This requires that all relevant levels of the ICT market, from sectoral ICT services and systems via ICT infrastructures to ICT products and ICT processes, will be addressed and that the related cybersecurity certification schemes are well accepted by the market. The CSA stipulates specific requirements, which target efficiency and coherence between schemes of the CSA’s cybersecurity certification framework. These requirements include:  そのためには、セクター別のICTサービスやシステムから、ICTインフラ、ICT製品、ICTプロセスに至るまで、ICT市場のすべての関連レベルに対応し、関連するサイバーセキュリティ認証制度が市場に十分に受け入れられることが必要です。CSAは、CSAのサイバーセキュリティ認証フレームワークのスキーム間の効率性と一貫性を目的とした特定の要件を規定しています。これらの要件には以下が含まれます。
・The security and assurance requirements for ICT services, ICT processes or ICT products should be defined based on the risk associated with their intended use.  ICTサービス、ICTプロセス、またはICT製品のセキュリティおよび保証の要件は、その使用目的に関連するリスクに基づいて定義されなければなりません。
・Assurance levels should be implemented consistently across schemes.  保証水準はスキーム間で一貫して実施されるべきです。
・Support for security-by-design.  セキュリティ・バイ・デザインを支援します。
The methodology for sectoral cybersecurity assessments described in this document (hereinafter called SCSA Methodology) addresses these objectives in the context of drafting sectoral cybersecurity certification schemes, which address ICT services in individual market sectors. It is designed to be used as a preparatory step for the definition of a candidate scheme involving sectoral stakeholders.  本書に記載されているセクター別サイバーセキュリティ評価のための方法論(以下、 SCSA方法論)は、個々の市場セクターにおける ICTサービスを対象としたセクター別サイ バーセキュリティ認証制度を起草するという観点から、これらの目的に対応するものです。この方法論は、セクターの利害関係者が関与する候補スキームの定義の準備段階として使用されるように設計されています。
A basic principle of the proposed methodology is to establish a sound understanding of the sectoral ICT services and system as a foundation for all other functions:  提案された方法論の基本原則は、他のすべての機能の基礎として、セクターのICTサービスとシステムの健全な理解を確立することです。
・A cybersecurity assessment at the sectoral level will provide information about the objectives of the sectoral stakeholders and will identify the primary assets and related risks. As an enhancement of the typical risk assessment procedure, a ‘deep dive’ to gain detailed information about the intended use of relevant subsystems, products or services will be conducted. In addition, cyberthreat intelligence (CTI) will be employed to provide information on potential attackers, their motivation and capabilities. This adds an important parameter to the risk analysis and contributes to the information needed to assign security and assurance requirements to ICT subsystems, ICT products or ICT services based on risk.  セクターレベルでのサイバーセキュリティ評価は、セクターの利害関係者の目的に関する情報を提供し、主要な資産と関連するリスクを特定します。典型的なリスクアセスメントの手順の強化として、関連するサブシステム、製品またはサービスの使用目的に関する詳細な情報を得るための「ディープダイブ」を実施します。さらに、潜在的な攻撃者やその動機、能力に関する情報を提供するために、サイバー・スレット・インテリジェンス(CTI)が採用されます。これにより、リスク分析に重要なパラメータが追加され、リスクに基づいて ICTサブシステム、ICT製品または ICTサービスにセキュリティおよび保証の要件を割り当てるために必要な情報に貢献します。
・The SCSA Methodology provides the option to integrate sectoral, product, process and potentially also ISMS-based cybersecurity certification schemes. It offers a concept of internal risk, security and assurance reference levels. If these are commonly used, they will support consistency in the definition of risk, security and assurance across schemes. The SCSA Methodology is designed to address a wide range of certification schemes, beyond Common Criteria or other ISO/IEC 15408-based schemes. Optionally other types of certification schemes can be integrated in order to establish consistency across the various types of schemes that support the proposed methodology.   SCSA方法論は、セクター、製品、プロセス、そして潜在的にはISMSベースのサイバーセキュリティ認証制度を統合するオプションを提供します。SCSA方法論は、セクターごとの製品やプロセス、さらにはISMS ベースのサイバーセキュリティ認証制度を統合するオプションを提供します。これらが一般的に使用されれば、制度間でのリスク、セキュリティ、保証の定義の一貫性をサポートすることになります。SCSA方法論は、コモンクライテリアやISO/IEC 15408ベースの認証制度以外にも、様々な認証制度に対応できるように設計されています。提案された方法論をサポートする様々なタイプのスキーム間の一貫性を確立するために、オプションとして他のタイプの認証スキームを統合することができます。 
・A link between the ISO/IEC 270xx series of standards and ISO/IEC 15408 is needed to allow information to be exchanged between the outcome of risk assessment and the specification of security and assurance of products. The expert team has developed a mapping approach that addresses existing divergences of terminology between these standards and allows the transfer of the information that is required.  リスクアセスメントの結果と、製品のセキュリティや保証の仕様との間で情報を交換するために、ISO/IEC 270xxシリーズの規格とISO/IEC 15408との間のリンクが必要です。専門家チームは、これらの規格間の既存の用語の乖離を解決し、必要な情報の伝達を可能にするマッピングアプローチを開発しました。
・The introduction of a common, scalable approach to risk-based security and assurance supports the definition of scaled controls. These controls are associated with clear security levels which are defined in accordance with their ability to treat risk and protect against known attack potentials. The expert team has drafted a sample list of scaled controls and has described how these controls can be used in a coordinated way.   リスクベースのセキュリティと保証に共通のスケーラブルなアプローチを導入することで、 スケーラブルなコントロールの定義が可能になります。これらの管理策は、リスクを処理し、既知の攻撃の可能性から保護する能力に応じて定義される明確なセキュリティレベルと関連しています。専門家チームは、スケールドコントロールのサンプルリストを作成し、これらのコントロールをどのように協調して使用するかを説明しています。 
Based on these properties and functions, the SCSA Methodology has the potential to fully support the aforementioned requirements stipulated by the CSA and to promote the market acceptance of cybersecurity certification in the following ways:  これらの特性と機能に基づき、SCSA方法論は、CSAが規定した前述の要件を完全にサポートし、次のような方法でサイ バーセキュリティ認証の市場受容を促進する可能性があります。
・The SCSA Methodology supports the identification of risk associated with the intended use of ICT systems, ICT services and ICT processes at any level of the sectoral architecture. In applying the methodology, relevant stakeholders will be responsible for the identification of risks and they will be involved in the definition of security and assurance requirements. This will allow them to balance their view of risks against the investment needed to mitigate these risks by introducing appropriate levels of security and assurance. It can be expected that this transparent, cooperative approach will contribute significantly to the market acceptance of schemes under the CSA.   SCSA方法論は、セクター・アーキテクチャのどのレベルにおいても、ICTシステム、ICTサービス、および ICTプロセスの意図された使用に関連するリスクの特定をサポートするものです。この方法論を適用する際には、関連するステークホルダーがリスクの特定に責任を持ち、セキュリ ティ及び保証要件の定義に関与することになります。これにより、利害関係者は、リスクに対する見解と、適切なレベルのセキュリティと保証を導入することでこれらのリスクを軽減するために必要な投資のバランスを取ることができます。このような透明性のある協力的なアプローチが、CSAに基づくスキームの市場への受け入れに大きく貢献することが期待されています。 
・As required by the CSA, consistency in the implementation of assurance levels can be achieved across schemes. This will allow the re-use of certificates issued by one scheme in other schemes, thus providing an important benefit both to the business interests of product and infrastructure service providers and to their customers. At the same time, the methodology’s approach to consistency is also flexible enough to support the integration of new types of cybersecurity certification schemes, which may emerge as a result of specific requirements from different markets.  CSAが要求しているように、スキーム間で保証水準の実施に一貫性を持たせることができます。これにより、あるスキームで発行された証明書を他のスキームで再利用することが可能となり、製品・ インフラサービスプロバイダのビジネス上の利益とその顧客にとって重要なメリットがもたらされる。同時に、一貫性に対する本方法論のアプローチは、異なる市場からの特定の要求の結果として出現する可能性のある新しいタイプのサイバーセキュリティ認証制度の統合をサポートするのに十分な柔軟性も備えています。
・Introducing a common concept for security levels facilitates the definition of controls which can be commonly used across participating schemes. This provides a sound basis  セキュリティレベルに共通の概念を導入することで、参加している認証制度間で共通して使用できるコントロールの定義が容易になります。これは、そのようなコントロールのライブラリを導入するための健全な基盤となります。
for the introduction of libraries of such controls. The availability of those could significantly promote the introduction of security-by-design, as well as the implementation of defined security levels in ICT products, ICT processes and also in ICT systems.  これは、そのようなコントロールのライブラリを導入するための健全な基礎となります。これらのライブラリが利用可能になることで、セキュリティ・バイ・デザインの導入や、ICT製品、ICTプロセス、および ICTシステムにおける定義されたセキュリティレベルの実装が大幅に促進される可能性があります。
Applying the SCSA Methodology will generate sound information about the sectoral system and defined relationships between the stakeholders involved, which may enable additional tangible benefits, including:  SCSA方法論を適用することで、セクター別システムに関する健全な情報と、関係するステークホル ダー間の明確な関係が生成され、以下のような追加の具体的な利益が得られる可能性があります。
・Product and service providers will benefit from reliable information about the intended use of their products and services, as well as sectoral security and assurance requirements. This will allow them to optimize their products and their market reach.  製品やサービスの提供者は、製品やサービスの使用目的や、セクター別のセキュリティや保証の要求事項など、信頼できる情報を得ることができます。製品やサービスの提供者は、製品やサービスの使用目的や、分野別のセキュリティや保証の要求事項に関する信頼性の高い情報を得ることができ、製品や市場への参入を最適化できます。
・The defined relationships between risk, security and assurance proposed by this methodology support the definition of horizontal products and services, which can serve various sectors.  本方法論が提案するリスク、セキュリティ、および保証の関係の定義は、様々なセクターに対応可能な水平方向の製品およびサービスの定義を支援します。
・A sound understanding of the ICT system, the defined roles of the relevant parts and stakeholders, and the availability of controls with defined properties concerning risk and attack potential open new options, especially for sectors that have, for example, to deal with cost pressures and attackers with an elevated potential at the same time. Based on this methodology, the deployment of controls may be coordinated and firmly agreed between stakeholders. For example a basic-level control in an IoT device and a mediumlevel control in the sectoral back-office may be concatenated and coordinated in such a way that they jointly reach a security level that also protects against elevated attack potentials.  ICTシステムの十分な理解、関連部門や利害関係者の役割の定義、リスクや攻撃の可能性に関 して定義された特性を持つコントロールの利用が可能になることで、特に、コスト圧 力と潜在的な攻撃者に同時に対処しなければならないような部門にとって、新たな選択肢 が生まれる。この方法論に基づいて、コントロールの展開を調整し、関係者間でしっかりと合意することができます。例えば、IoTデバイスの基本的なレベルのコントロールと、セクターのバックオフィスの中程度のレベルのコントロールを連結して調整することで、高度な攻撃の可能性からも保護するセキュリティレベルに共同で到達することができます。
The version of the methodology described in this document is sufficiently mature to allow a first practical use in drafting sectoral cybersecurity certification schemes. Experience gained from this first deployment should be used to improve and consolidate the methodology.  本書に記載されている方法論のバージョンは、セクターごとのサイバーセキュリティ認証スキームを起草する際に最初の実用化を可能にするほど十分に成熟しています。この最初の導入から得られた経験は、本方法論の改善と統合に利用されるべきです。
In summary, the proposed methodology not only supports the workflow of drafting the CSA cybersecurity scheme but also offers a potential for a broader use by sectors and providers of infrastructure.  要約すると、提案されている方法論は、CSAサイバーセキュリティスキームを起草する際のワークフローをサポートするだけでなく、セクターやインフラのプロバイダがより広く利用できる可能性を秘めています。

 

1. INTRODUCTION TO THE SCSA METHODOLOGY 1. SCSA方法論の紹介
1.1 BACKGROUND AND REQUIREMENTS 1.1 背景と要件
1.2 INTRODUCTION TO THE SCSA METHODOLOGY 1.2 SCSA方法論の紹介
1.3 APPLYING THE SCSA METHODOLOGY 1.3 SCSA方法論の適用
1.4 STATE OF THE WORK 1.4 作業の状況
1.4.1 Potential future steps 1.4.1 潜在的な将来のステップ
2. DEFINITIONS AND ABBREVIATIONS 2. 用語の定義と略語
2.1 DEFINITION OF TERMS 2.1 用語の定義
2.2 ABBREVIATIONS 2.2 省略形
2.3 OVERVIEW OF DIVERGING USES OF TERMS 2.3 用語の多様な使い方の概要
3. REGULATORY DOCUMENTS AND REFERENCES 3. 規制文書および参考文献
4. INTRODUCTION TO SECTORAL SYSTEMS AND CYBERSECURITY CERTIFICATION SCHEMES 4. セクター別システムとサイバーセキュリティ認証制度の紹介
4.1 SECTORAL SYSTEMS IN THE CONTEXT OF THE CSA 4.1 CSAの文脈におけるセクター別システム
4.2 RISK-BASED DEFINITION OF SECURITY AND ASSURANCE ACROSS ARCHITECTURE LEVELS 4.2 アーキテクチャレベルを超えたセキュリティと保証のリスクベースの定義
4.3 INTRODUCTION TO SECTORAL ICT SYSTEMS 4.3 セクター別 ICTシステムの紹介
4.3.1 Properties of sectoral ICT systems 4.3.1 セクター別 ICTシステムの特性
4.3.2 Typical system architecture of sectoral ICT systems 4.3.2 セクター型 ICTシステムの典型的なシステムアーキテクチャ
4.3.3 Coordination of sectoral activities 4.3.3 セクター活動の調整
4.4 CYBERSECURITY CERTIFICATION OF SECTORAL ICT SYSTEMS 4.4 セクターICTシステムのサイバーセキュリティ認証
4.4.1 Considerations from the architectural point of view 4.4.1 アーキテクチャの観点からの検討事項
4.4.2 Enabling the recognition and reuse of certificates 4.4.2 証明書の認識と再利用を可能にすること
4.4.3 Setup of sectoral cybersecurity certification schemes 4.4.3 セクターのサイバーセキュリティ認証スキームの設定
5. CONSISTENT DEFINITION OF RISK, SECURITY AND ASSURANCE 5. リスク、セキュリティ及び保証の一貫した定義
5.1 REQUIREMENTS AND OBJECTIVES 5.1 要件と目的
5.2 CONCEPTUAL APPROACH FOR THE CONSISTENT DEFINITION OF RISK, SECURITY AND ASSURANCE 5.2 リスク、セキュリティ、及び保証の一貫した定義のための概念的アプローチ
5.2.1 Introduction and principles 5.2.1 導入と原則
5.2.2 Integration with the preparation of a cybersecurity certification scheme 5.2.2 サイバーセキュリティ認証スキームの準備との統合
5.2.3 Establishing the context for the sectoral cybersecurity assessment 5.2.3 セクター別サイバーセキュリティ評価のための文脈の確立
5.2.4 Incorporating Cyberthreat Intelligence Information 5.2.4 サイバー脅威のインテリジェンス情報の取り込み
5.2.5 Method for linking cybersecurity risks with security and assurance requirements 5.2.5 サイバーセキュリティリスクとセキュリティ及び保証の要求事項との関連付けの方法
5.2.6 Introduction of risk scenarios 5.2.6 リスクシナリオの導入
5.2.7 Layered approach to sectoral cybersecurity assessment 5.2.7 セクター別サイバーセキュリティ評価のための層状アプローチ
5.3 CSA META-RISK CLASSES – A COMMON APPROACH TO THE SCALING OF RISK 5.3 CSAメタリスククラス - リスクのスケーリングに対する共通のアプローチ
5.3.1 Introduction to sectoral risk assessment 5.3.1 セクター別リスク評価の導入
5.3.2 Attacker information as criteria for risk assessment 5.3.2 リスク評価の基準としての攻撃者情報
5.3.3 Sectoral risk assessment – guidance for impact estimation 5.3.3 セクター別リスクアセスメント - 影響度評価のガイダンス
5.3.4 Sectoral risk assessment – probability estimation 5.3.4 セクター別リスク評価 - 確率の推定
5.3.5 Assessing sectoral meta-risk classes 5.3.5 セクター別メタリスククラスの評価
5.4 USING ATTACK POTENTIAL FOR THE SELECTION OF SECURITY AND ASSURANCE LEVEL 5.4 攻撃の可能性をセキュリティ及び保証水準の選択に利用する
5.5 RISK-BASED DEFINITION OF COMMON SECURITY LEVELS AND SELECTION CONTROLS 5.5 リスクに基づく共通セキュリティレベル及び選択管理の定義
5.5.1 Basic requirements, conceptual approach 5.5.1 基本要件、概念的アプローチ
5.5.2 Definition of Common Security Levels 5.5.2 共通セキュリティレベルの定義
5.5.3 Application of controls by using the CSL-concept 5.5.3 CSL概念を用いた統制の適用
5.5.4 The CSL-concept as a basis for security-by-design and control libraries 5.5.4 セキュリティ・バイ・デザイン及びコントロールライブラリの基礎としての CSL概念
5.6 THE COMMON ASSURANCE REFERENCE CONCEPT – CONSISTENT IMPLEMENTATION OF ASSURANCE 5.6 共通保証参照コンセプト - 保証の一貫した実施
5.6.1 Objectives 5.6.1 目的
5.6.2 Introduction to a common assurance concept 5.6.2 共通の保証コンセプトの紹介
5.6.3 Selection of the basis for the common assurance reference concept 5.6.3 共通保証の参照コンセプトの基礎となるものの選定
5.6.4 Potential for use of ISMS as a basis for the common assurance reference concept 5.6.4 共通保証の参照コンセプトの基盤として ISMS を使用する可能性
5.6.5 Definition of a common assurance reference concept based on ISO/IEC 15408 5.6.5 ISO/IEC 15408 に基づく共通保証の参照コンセプトの定義
5.6.6 Implementation of the common assurance reference concept 5.6.6 共通保証の参照コンセプトの実施
5.6.7 Relevance of evaluation methodologies, support for new technical domains 5.6.7 評価手法の妥当性、新しい技術領域への対応
5.6.8 Mapping to CSA assurance levels 5.6.8 CSA保証水準へのマッピング
5.6.9 Relationship between risk and assurance level concepts 5.6.9 リスクと保証水準の概念の関係
5.7 TRIGGERS FOR REACTIONS TO UNEXPECTED EVENTS 5.7 予期せぬ事象への対応のきっかけ
6. IMPLEMENTATION OF THE SECTORAL CYBERSECURITY ASSESSMENT 6. セクター別サイバーセキュリティ評価の実施
6.1 OVERVIEW OF THE IMPLEMENTATION STEPS 6.1 実施ステップの概要
6.2 WORKFLOW A ‘CONTEXT ESTABLISHMENT AND BUSINESS LAYER ASSESSMENT’ 6.2 ワークフローA「コンテキストの確立とビジネスレイヤーの評価」
6.3 WORKFLOW B ‘PRIMARY ASSET LAYER ASSESSMENT’ 6.3 ワークフローB「主要資産層の評価」
6.4 WORKFLOW C ‘ASSESSMENT OF SUPPORTING ASSETS’ 6.4 ワークフローC「支援資産の評価」
6.5 WORKFLOW D ‘SUPPORTING ASSET GAP ANALYSIS’ 6.5 ワークフローD:「サポート資産のギャップ分析」
7. RE-USE OF SECTORAL ASSESSMENT RESULTS FOR ICT PRODUCT DEFINITION 7. セクター別評価結果のICT製品定義への再利用
7.1 OBJECTIVES AND BACKGROUND 7.1 目的と背景
7.2 CONCEPTUAL APPROACH 7.2 概念的アプローチ
7.3 GUIDANCE FOR DIVERGENT DEFINITIONS OF TERMS 7.3 異なった用語の定義に関する指針
7.4 MAPPING TO SECURITY PROBLEM DEFINITION 7.4 セキュリティ問題の定義へのマッピング
7.4.1 Threats 7.4.1 脅威となるもの
7.4.2 Assumptions 7.4.2 前提条件
7.4.3 Organizational Security Policies 7.4.3 組織のセキュリティ方針
7.5 MAPPING TO ASSURANCE LEVELS 7.5 保証水準への対応付け
7.6 MAPPING TO SECURITY LEVELS 7.6 セキュリティレベルへの対応付け
8. DEFINITION AND APPLICATION OF COMMON CONTROLS 8. 共通統制の定義と適用
8.1 OBJECTIVES AND BACKGROUND 8.1 目的及び背景
8.2 COMMONLY USED CONTROLS 8.2 一般的に使用される統制
8.2.1 Introducing common security levels to ISMS 8.2.1 ISMSへの共通セキュリティレベルの導入
8.2.2 Concatenating controls 8.2.2 コントロールの連結
8.3 SAMPLE LIST OF COMMON CONTROLS 8.3 共通統制のサンプルリスト
8.3.1 Terminology 8.3.1 用語集
8.3.2 Definition of controls and assigning the common security level (CSL) 8.3.2 コントロールの定義及び共通セキュリティレベル(CSL)の割り当て
8.4 EXAMPLES OF THE COORDINATED APPLICATION OF CONTROLS 8.4 コントロールの協調的適用の例
8.4.1 Example use case ‘Mobile device based authentication system’ 8.4.1 ユースケース「モバイルデバイスベースの認証システム」の例
9. CYBERTHREAT INTELLIGENCE 9. サイバー脅威インテリジェンス
9.1 WHAT IS THREAT INTELLIGENCE? 9.1 脅威インテリジェンスとは何か。
9.2 WHAT IS A THREAT? 9.2 脅威とは何か?
9.3 TYPES OF ATTACKERS 9.3 攻撃者のタイプ
9.4 CHARACTERIZATION OF ATTACKERS 9.4 攻撃者の特徴
9.4.1 Area System Access / Knowledge 9.4.1 領域システムへのアクセス/知識
9.4.2 Area Vulnerabilities 9.4.2 領域の脆弱性
9.4.3 Area Capability and Resources 9.4.3 領域の能力及び資源
9.4.4 Area Skill 9.4.4 領域のスキル
9.4.5 Area Valuation 9.4.5 領域の評価
9.4.6 Area Goals 9.4.6 領域の目標
9.5 ESTIMATING THE POTENTIAL OF ATTACKERS BASED ON CTI 9.5 CTIに基づく攻撃者の潜在能力の推定
9.6 STEPS FOR THE IMPLEMENTATION OF CTI-BASED ASSESSMENTS OF ATTACK POTENTIAL 9.6 CTIに基づく攻撃の可能性の評価を実施するための手順
9.6.1 CTI-based qualitative assessment of attack potential for risk assessment 9.6.1 リスク評価のための CTIに基づく攻撃の可能性の定性的な評価
9.6.2 CTI-based qualitative assessment of attack potential at supporting asset layer 9.6.2 支援資産層における CTIに基づく攻撃の可能性の定性的評価
A ANNEX: CONCEPTUAL APPROACH FOR CONSISTENCY TERMINOLOGY 附属書A:用語の一貫性に関する概念的アプローチ
A.1 BACKGROUND A.1 背景
A.2 THE CONCEPTUAL APPROACH APPLIED TO THE 15408-BASED MODEL OF IT SECURITY EVALUATION A.2 15408に基づくITセキュリティ評価モデルに適用される概念的アプローチ
A.2.1 The ‘TOE’ concept preliminary considerations A.2.1 「TOE」コンセプトの予備的考察
A.2.2 Terms in systematic order A.2.2 体系的に整理された用語
A.3 THE CONCEPTUAL APPROACH APPLIED TO ISO/IEC 27001- BASED ISMS A.3 ISO/IEC 27001に基づく組織に適用される概念的アプローチ
A.3.1 The ‘organization’ concept - preliminary considerations A.3.1 「組織」の概念-予備的考察
A.4 THE CONCEPTUAL APPROACH APPLIED TO ISO/IEC 27001- BASED ISMS A.4 ISO/IEC 27001 に基づくマネジメントシステムに適用される概念的なアプローチ
B ANNEX: GUIDANCE FOR THE RISK-BASED SELECTION OF IMPACT CLASSES 附属書B:リスクに基づく影響クラスの選択のためのガイダンス
C ANNEX: MAPPING BETWEEN ISO/IEC 270XX-BASED RISK ASSESSMENT INFORMATION AND ISO/IEC 15408-BASED PRODUCT SPECIFICATION 附属書C:ISO/IEC 270xx に基づくリスクアセスメント情報と ISO/IEC 15408 に基づく製品仕様との対応付け
D ANNEX: GUIDANCE FOR THE RISK-BASED SELECTION OF IMPACT CLASSES 附属書D:リスクに基づく衝撃クラスの選択のためのガイダンス
E ANNEX: EXAMPLES OF ALTERNATIVE APPROACHES TO PROVIDING EVALUATION EVIDENCE 附属書E:評価証拠を提供するための代替アプローチの例
F ANNEX: INDICATIVE EXAMPLES OF COMMON CONTROLS 附属書F:一般的な管理方法の指標例

|

« ENISA 中小企業のセキュリティのためのツール「SecureSMEツール」を発表していますね。。。 | Main | 欧州議会 Think Tank 欧州連合に関する中国の報道の動向:新華社の2012-2021年におけるEU関連報道の分析 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« ENISA 中小企業のセキュリティのためのツール「SecureSMEツール」を発表していますね。。。 | Main | 欧州議会 Think Tank 欧州連合に関する中国の報道の動向:新華社の2012-2021年におけるEU関連報道の分析 »