オーストラリア 信号局 サイバーセキュリティ原則 (2024.06.13)
こんにちは、丸山満彦です。
オーストラリア信号局のがサイバーセキュリティ原則を公表しています。
枠組みは、NISTのサイバーセキュリティフレームワークV2.0と似ていますね...
ただし、
- NISTのRespond とRecover が、Respondにまとまっている
- NISTの成熟度が4段階にたいして、5段階(CMMCと同様)
です...
● Australia Singnals Directrate; ASD
・2024.06.13 The cyber security principles
| The cyber security principles | サイバーセキュリティ原則 |
| Purpose of the cyber security principles | サイバーセキュリティ原則の目的 |
| The purpose of the cyber security principles is to provide strategic guidance on how an organisation can protect their information technology and operational technology systems, applications and data from cyber threats. These cyber security principles are grouped into five functions: | サイバーセキュリティの原則の目的は、組織が情報技術および運用技術のシステム、アプリケーショ ン、データをサイバー脅威から保護する方法について戦略的指針を示すことである。これらのサイバーセキュリティ原則は、5つの機能に分類されている: |
| GOVERN: Develop a strong cyber security culture. | 統治:強固なサイバーセキュリティ文化を醸成する。 |
| IDENTIFY: Identify assets and associated security risks. | 特定:資産と関連するセキュリティリスクを特定する。 |
| PROTECT: Implement controls to manage security risks. | 保護:セキュリティリスクをマネジメントするための対策を実施する。 |
| DETECT: Detect and analyse cyber security events to identify cyber security incidents. | 検知: サイバーセキュリティ事象を検知・分析し、サイバーセキュリティインシデントを特定する。 |
| RESPOND: Respond to and recover from cyber security incidents. | 対応:サイバーセキュリティインシデントに対応し、そこから回復する。 |
| Govern principles | 統治の原則 |
| The govern principles are: | 統治の原則は以下のとおりである: |
| GOVERN-1: A Chief Information Security Officer provides leadership and oversight of cyber security. | 統治-1: 最高情報セキュリティ責任者がサイバーセキュリティの指導と監督を行う。 |
| GOVERN-2: Security risk management activities for systems, applications and data are embedded into organisational risk management frameworks. | 統治-2: システム、アプリケーション、データのセキュリティリスクマネジメント活動を、組織のリスクマネジメントフレームワークに組み込む。 |
| GOVERN-3: Security risks for systems, applications and data are accepted before they are authorised for use and continuously throughout their operational life. | 統治-3: システム、アプリケーション、データのセキュリティリスクは、その使用が承認される前に受け入れられ、運用期間を通じて継続的に受け入れられる。 |
| Identify principles | 識別の原則 |
| The identify principles are: | 識別の原則は以下のとおりである: |
| IDENTIFY-1: The business criticality of systems, applications and data is determined and documented. | 識別-1:システム、アプリケーション、データのビジネス上の重要性を決定し、文書化する。 |
| IDENTIFY-2: The confidentiality, integrity and availability requirements for systems, applications and data are determined and documented. | 識別-2:システム、アプリケーション、データの機密性、完全性、可用性の要件を決定し、文書化する。 |
| IDENTIFY-3: Security risks for systems, applications and data are identified and documented. | 識別-3: システム、アプリケーション、データのセキュリティリスクを特定し、文書化する。 |
| Protect principles | 保護の原則 |
| The protect principles are: | 保護の原則は次のとおりである: |
| PROTECT-1: Systems and applications are designed, deployed, maintained and decommissioned according to their business criticality and their confidentiality, integrity and availability requirements. | 保護-1:システムおよびアプリケーションは、そのビジネス上の重要性、および機密性、完全性、可用性の要件に従って、設計、導入、維持管理、および廃止される。 |
| PROTECT-2: Systems and applications are delivered and supported by trusted suppliers. | 保護-2:システムとアプリケーションは、信頼できるサプライヤによって提供され、サポートされる。 |
| PROTECT-3: Systems and applications are designed and configured to reduce their attack surface. | 保護-3:システムおよびアプリケーションは、攻撃対象領域を減らすように設計および構成される。 |
| PROTECT-4: Systems, applications and data are administered in a secure and accountable manner. | 保護-4:システム、アプリケーション、およびデータは、安全かつ説明責任を果たす方法で管理される。 |
| PROTECT-5: Vulnerabilities in systems and applications are identified and mitigated in a timely manner. | 保護-5: システムとアプリケーションの脆弱性を適時に特定し、緩和する。 |
| PROTECT-6: Only trusted and supported operating systems, applications and code can execute on systems. | 保護-6:信頼されサポートされているオペレーティングシステム、アプリケーション、コードのみがシステム上で実行できる。 |
| PROTECT-7: Data is encrypted at rest and in transit between different systems. | 保護-7:データは静止時および異なるシステム間の移動時に暗号化される。 |
| PROTECT-8: Data communicated between different systems is controlled and inspectable. | 保護-8: 異なるシステム間で通信されるデータは管理され、検査可能である。 |
| PROTECT-9: Applications, settings and data are backed up in a secure and proven manner on a regular basis. | 保護-9: アプリケーション、設定、データは安全で実績のある方法で定期的にバックアップされる。 |
| PROTECT-10: Only trusted and vetted personnel are granted access to systems, applications and data. | 保護-10: システム、アプリケーション、データへのアクセスは、信頼され吟味された要員のみに許可される。 |
| PROTECT-11: Personnel are granted the minimum access to systems, applications and data required to undertake their duties. | 保護-11: 要員には、職務を遂行するために必要な最小限のシステム、アプリケーション、およびデータへのアクセス権が付与される。 |
| PROTECT-12: Robust and secure identity and access management is used to control access to systems, applications and data. | 保護-12: システム、アプリケーション、データへのアクセスを管理するために、堅牢で安全な ID およびアクセ ス管理が使用される。 |
| PROTECT-13: Personnel are provided with ongoing cyber security awareness training. | 保護-13: 人員に継続的なサイバーセキュリティ意識向上トレーニングが提供される。 |
| PROTECT-14: Physical access to systems, supporting infrastructure and facilities is restricted to authorised personnel. | 保護-14: システム、サポートインフラ、設備への物理的なアクセスは、権限を付与された要員に制限される。 |
| Detect principles | 検知の原則 |
| The detect principles are: | 検知の原則は以下のとおりである: |
| DETECT-1: Event logs are collected and analysed in a timely manner to detect cyber security events. | 検知-1: イベントログを適時に収集・分析し、サイバーセキュリティイベントを検知する。 |
| DETECT-2: Cyber security events are analysed in a timely manner to identify cyber security incidents. | 検知-2: サイバーセキュリティイベントを適時に分析し、サイバーセキュリティインシデントを特定する。 |
| Respond principles | 対応の原則 |
| The respond principles are: | 対応の原則は以下のとおりである: |
| RESPOND-1: Cyber security incidents are reported internally and externally to relevant bodies and stakeholders in a timely manner. | 対応-1:サイバーセキュリティインシデントが内部及び外部の関係機関や利害関係者に適時に報告される。 |
| RESPOND-2: Cyber security incidents are analysed, contained, eradicated and recovered from in a timely manner. | 対応-2:サイバーセキュリティインシデントを適時に分析し、封じ込め、根絶し、復旧する。 |
| RESPOND-3: Incident response, business continuity and disaster recovery plans support the recovery of normal business operations during and following cyber security incidents. | 対応-3:インシデント対応、事業継続、災害復旧の各計画が、サイバーセキュリティインシデント発生中及び発生後の通常業務の復旧を支援する。 |
| Maturity modelling | 成熟度モデル |
| When implementing the cyber security principles, an organisation can use the following maturity model to assess the implementation of individual principles, individual functions or the cyber security principles as a whole. The five levels of the maturity model are: | サイバーセキュリティ原則を実施する際、組織は以下の成熟度モデルを用いて、個々の原則、個々の機能、またはサイバーセキュリティ原則全体の実施状況を評価することができる。成熟度モデルの 5 つのレベルは以下のとおりである: |
| Incomplete: The cyber security principles are partially implemented or not implemented. | 不完全:サイバーセキュリティ原則が部分的に実施されているか、実施されていない。 |
| Initial: The cyber security principles are implemented, but in a poor or ad hoc manner. | 初期: サイバーセキュリティの原則は実施されているが、不十分または場当たり的である。 |
| Developing: The cyber security principles are sufficiently implemented, but on a project-by-project basis. | 発展途上: サイバーセキュリティの原則が十分に実施されているが、プロジェクトごとに実施されている。 |
| Managing: The cyber security principles are established as standard business practices and robustly implemented throughout the organisation. | 管理状態: サイバーセキュリティの原則が標準的なビジネスプラクティスとして確立され、組織全体で強固に実施されている。 |
| Optimising: A deliberate focus on optimisation and continual improvement exists for the implementation of the cyber security principles throughout the organisation. | 最適化状態: 組織全体でサイバーセキュリティの原則を実施するために、最適化と継続的改善に意図的に注力している。 |
・[PDF]
● まるちゃんの情報セキュリティ気まぐれ日記
・2024.02.26 英国 オーストラリア オンラインの安全とセキュリティに関する協力についての覚書
・2023.11.24 オーストラリア 内務省 2023-2030 オーストラリア サイバーセキュリティ戦略と実行計画 (2023.11.22)
・2023.05.21 オーストラリア 情報保護室による「2023-2030年サイバーセキュリティ戦略ディスカッションペーパー」への意見提出
・2022.11.09 オーストラリア ACSC 年次サイバー脅威報告書(2021年7月から2022年6月)
・2022.07.31 オーストラリア 子供向けサイバーセキュリティ (Cyber Security for Kids)
・2022.04.02 オーストラリア 重要インフラ保護法2022 (サイバーセキュリティの強化等)
・2021.03.07 Australia 政府の情報セキュリティマニュアルは毎月更新されますね。。。
・2021.02.14 オーストラリア ACSC 2020年の医療セクターのサイバーセキュリティ脅威についてのスナップショット
・2021.01.11 オーストラリア サイバーセキュリティセンター (ACSC) がサプライチェーンに関連する「サイバーセキュリティ・リスク管理ガイダンス」と「サイバーセキュリティ・リスク特定ガイダンス」を公表していますね。。。
・2020.05.23 オーストラリア 在宅業務時を実施している重要なインフラ企業がサイバー攻撃から身を守るのに役立つアドバイス
« NATO CCDCOE タリン文書第14号は、サイバー外交とその実践に焦点を当てている | Main | カナダ サイバーセキュリティセンター (CCCS) 中華人民共和国のサイバー脅威活動に対する認識と防御を促す(2024.06.03最終更新) »
Comments