Clever Geek Handbook

アメリカ式のIB。 パート4.「適合」と「重複」を理解し、このレビューを完了する



*仕事を職場に任せます!*



そのため 、NIST SP 800-53の概要を把握するため難しい方法は、論理的な終わりに近づいています。 計画を完了し、第1部または第2部で停止することなく、記事の小さなながらも完成したコンテンツサイクルを書くことができたことを嬉しく思います。 将来的には、情報セキュリティ、IT、および監査のトピックに関する私たちの考えを一般の人々と共有することが時折起こることを願っています。



したがって、この記事では最終的に、一連のセキュリティ制御を選択し、特定の組織のニーズに合わせて調整し、特定の組織の範囲外に適用できるいわゆる「オーバーレイ」を作成する方法について説明します。



以前の記事へのリンク:



アメリカ式のIB。 パート1. NIST 800-53とは何ですか?また、セキュリティ管理策はどのように見えますか?

アメリカ式のIB。 パート2。そして、NIST 800-53について詳しく説明してください。リスク管理はどこで行いますか?

アメリカ式のIB。 パート3.セキュリティ管理の基本セットとは何ですか?また、情報システムの重要性を判断する方法は?

アメリカ式のIB。 パート4.「適合」と「重複」を理解し、このレビューを完了する





コントロールの基本セットの選択



前の記事では、FIPS 199文書で提示され、2番目の記事で説明したリスク管理フレームワークの最初のステップで実行された、IPの重要性を判断する方法論のビジョンを提示しました。 なすべきことは何ですか?

IPの重要度レベルを決定した後、必要なセキュリティ制御を決定するプロセスが開始されます。 最初のステップは、分類結果に基づいてコントロールの基本セットを選択することです。 低、中、高レベルの重要度に対応する3つのセットのいずれかが選択されます。 もちろん、これらのセットにすべてのコントロールが含まれているわけではないことに注意してください。 そのうちの最小のものは、低レベルのセットに表示されます。これは明らかです。 繰り返しになりますが、基本セットは、適切なコントロールセットを作成するためのさらなるプロセスの出発点に過ぎないことを思い起こしてください。 その後、「フィッティング」のプロセスで、組織のセキュリティ要件を満たすために、コントロールを追加、削除、または改良できます。

また、重要な点は、その汎用性により、ドキュメントに示されている基本セットには特定の仮定があり、その中で関連性があるということです。 言い換えれば、これらのキットは、特定の非常に特定の使用条件のために作成されました。 ただし、ビューの狭さについて著者を非難しないでください。これらの条件は、IPの最も大規模なセグメントをカバーするように特別に選択されているためです。 そこで、これらの前提を提示します。

  1. ISは物理オブジェクト上に配置されます( 最初は仮想化のためにセットがシャープ化されませんでした )。
  2. 組織のIS内のユーザー情報は比較的一定です( ユーザーが定期的に大量の情報を作成または破壊することはありません )。
  3. IPはマルチユーザーモードで動作します。
  4. 組織のISの一部のユーザー情報は、同じISへのアクセスを許可された他のユーザーが利用できません( 結局、アクセス制御は基本原則ですよね? )。
  5. IPはネットワーク環境に存在します。
  6. ICは基本的に汎用システムです( つまり、イランのウラン濃縮遠心分離機を保護しようとはしていません )。
  7. 組織には、コントロールの実装に必要な構造、リソース、およびインフラストラクチャがあります。


これらの仮定のいくつかが現実に対応していない場合、組織のニーズに合わせて追加の「適合」コントロールを作成する必要があります(これについては後で詳しく説明します)。



著者は、コントロールの基本セットに実装されている保護対策と重複しない、考えられる多くの状況も提示します。

  1. 組織には内部関係者の脅威があります( 彼らが言うように、「スクラップに対する受け入れはありません」 )。
  2. 組織に関しては、重大な違反者( 銀行部門など )から絶え間ない脅威があります。
  3. 特定の種類の情報には、法律、規制当局などの要件に従って追加の保護が必要です。 ;
  4. ISは、セキュリティレベルが異なる環境を介して( たとえば、パブリックネットワークセグメントを介して )他のシステムと対話する必要があります。


これらの仮定のいずれかが組織に当てはまる場合、追加の制御セットに目を向け、組織内のリスク評価の結果に従って保護対策の「調整」を実行する必要があります。





*サンタはリラックスできますが、そうではありません! 安全性に週末はありません*



コントロールの基本セットの「調整」



「調整」とは、特定のISまたは組織のセキュリティ要件を満たすように、制御セットを最適化、最終化、または改善するプロセスを指すことを思い出してください。 このアクティビティは通常、コントロールの基本セットを選択した後に実行され、次のものが含まれます。

  1. 基本セット内の一般的なセキュリティ管理の識別と特徴付け(ここでは、タイプ:一般/システム/ハイブリッド);
  2. 基本セットの残りのコントロールの適用可能な領域の分析。
  3. 必要に応じて補償安全制御の選択。
  4. 組織で既に定義されているセキュリティ制御パラメーターの設定。
  5. 必要に応じて、追加のコントロールとコントロールの「強化」で基本セットを補完します。
  6. 必要に応じて、コントロールの実装に関する追加情報を提供します。


コントロールの選択段階と仕様の一部である「適合」プロセスは、組織で使用されるリスク管理プロセスの一部です。 本質的に、組織は「適合」を使用して、リスク評価に基づいて費用対効果の高いセキュリティを実現し、ビジネスのニーズを満たすことに貢献します(現在の脅威を閉じることができない、またはコストが損失を超える可能性のある情報セキュリティを誰も必要としないため)。 コントロールを「調整」するためのすべての活動は、実施される前に、組織によって任命された人との強制的な調整の対象でなければなりません。

一般に、フィッティングプロセスは本書の中心的な場所の1つを占めており、組織のニーズを満たし、情報セキュリティの実際のリスクを軽減する情報セキュリティシステムの構築に貢献する基本的な活動の1つであるため、非常に詳細に説明されています。 おそらく、このトピックについては後で詳しく説明します。





*安全性は、一年中いつでも必要な懸念事項です*



「オーバーレイ」の開発(「オーバーレイ」)



したがって、情報セキュリティを確保するためのより正確で現実的な手段を得る機会を提供する、基本的なコントロールセットの「適合」プロセスに簡単に慣れるには、出版物NIST SP 800-53を使用する別の非常に有用な可能性を検討する必要があります。

特定の状況では、組織が「適合」ツールを使用して、「オーバーラップ」と呼ばれる一般的なコントロールのセットを取得すると有利な場合があります。これは、あらゆる業界の規模で適用可能であり、たとえば、特定の要件、技術、または機能タスクを満たすために必要です(さらに、このような「重複」産業と呼びます)。 このようなセットの開発は、組織自体と、あらゆる業界の枠組み内の連邦当局の両方によって実行できます。 たとえば、政府は、PKIインフラストラクチャが使用されているすべての連邦機関で実装する必要がある一連のコントロールを発行する場合があります。 したがって、情報セキュリティリスクに適切に対応するために、利害関係者が一連のセキュリティ管理策を開発し、その後、他の業界の参加者や技術や機器のユーザーに配布できます。 「はめ込み」方法論を適用するこの機能は、さまざまな技術分野または特定の動作条件(NIST SP 800-53の基礎にある著者が定めたアプローチの普遍性と均一性がここにあるアプリケーションを見つけます)で情報セキュリティ機能の標準化を確保するための良い基盤を提供します。

「オーバーラップ」の概念は、情報システムおよび組織向けの業界固有および特殊なIS補償手段のセットの開発を可能にするために導入されました。 「オーバーラップ」とは、完全に定義された一連のセキュリティ制御、「増幅」、およびそれらの実装に関する追加情報であり、「適合」プロセスのルールに従って開発されています。

「重複」は、セキュリティコントロールの基本セットを次のように補完します。

  1. コントロールを追加および削除する機能を提供します。
  2. 特殊な情報技術、コンピューターパラダイム、情報の種類、実行時間、技術産業、法的要件と規制当局などに対するセキュリティコントロールとその解釈の適用性を提供します。
  3. セキュリティ制御と「増幅」のパラメータに業界全体の値を設定します。
  4. 必要に応じて、コントロールの使用に関する追加情報の拡張。


通常、組織は、セキュリティコントロールの基本セットが作成される前提で矛盾がある場合に「重複」を使用します(これらの前提については、対応するセクションで既に説明しました)。 組織に基本セットの仮定との大きな矛盾がない場合、ほとんどの場合、「重複」を作成して使用する必要はありません。

「オーバーラップ」は、特定の業界の特定の条件や状況にかかわらず、業界内で全会一致(つまり、関心分野)を達成し、組織のIPのセキュリティ計画を作成する機会を提供します。 重複するカテゴリは、たとえば次のようなさまざまな分野で役立ちます。

  1. 産業部門、連合および企業(ヘルスケア、エネルギー、輸送など)。
  2. 情報技術/コンピューターパラダイム(クラウドサービス、BYOD、PKI、クロスドメインソリューションなど);
  3. 機能する環境。
  4. ISの種類と機能モード(産業/テストシステム、シングルユーザーシステム、武器システム、隔離システム);
  5. タスク/機能の種類(対テロ、緊急対応、研究、開発、テスト、評価など);
  6. 法律および規制要件(ここではアメリカの要件は当社に適用されません)。


「重複」を開発する場合、出版物の著者は、NIST SP 800-39に固有のリスク管理概念を使用して効率を高めることを推奨しています。 「オーバーラップ」の開発を成功させるには、参加が必須です。



複数の「オーバーラップ」を1つのコントロールセットに適用できます。 オーバーラップ開発の結果として得られた「調整された」コントロールのセットは、最初のコントロールに対して多少安定(強い)になります。 リスク評価は、「テーラード」セットを実装するリスクが、組織が採用したリスクテイク戦略の枠組み内で許容できるのか、または重複を生じさせた「関心のある分野」であるかを判断するのに役立ちます。 いくつかの「重複」の導入の場合、異なる重複が別々の瞬間に互いに矛盾する状況は除外されません。 実装中に競合が発生したり、特定のセキュリティ制御を拒否したりするような矛盾が見つかった場合、責任者、重複する開発者、情報、および事業主の関与により、議論のある状況を解決する必要があります。

一般的に、「オーバーラップ」は、特定の条件、状況、および/または状況に最も適したコントロールと「増幅」のセットを開発することにより、外出先でのコントロールの「フィット」セットの必要性を(急いで)減らすように設計されています したがって、情報セキュリティを確保するための、より成熟した、将来的には統一されたアプローチを実現する必要があります。 同時に、「重複」を使用しても、組織のニーズ、その中に存在する制限および仮定を満たすために、さらに「調整」する必要性が排除されるわけではありません。 「重複」の「調整」も許可されており、責任者と開発者の承認と調整によって行われます。 ただし、一般的なケースでは、急いで実行される一連のセキュリティ制御の構造の変更の予想される数は大幅に削減されます。





*安全性を無視して、薄い氷の上を歩く*



コントロール選択プロセスの文書化



もちろん、NISTには、セキュリティコントロールを操作するプロセスで実行されるすべてのアクションを文書化する問題に専念するセクションがあります。 もちろん、アメリカ人は著名な官僚であり、多くの国内機関の労働者のように、紙で何かの活動をバックアップしたいと思っています。 ただし、今回はまだ便利なことです。

したがって、コントロールの選択に関するすべての決定には、決定の議論を伴う必要があります。 これは、組織の資産に対する潜在的な脅威のその後の評価の成功を促進するために必要です。 両方の個々の情報システムの使用およびそれらの組み合わせに対する制限を含む、セキュリティ管理の最終セットは、適切なセキュリティ計画に反映される必要があります。 将来の責任者にこの情報へのアクセスを提供するために、リスク管理プロセスの一部として重要な決定の文書を提供する必要があります。



追加の調査結果



コントロールの「適合」セットのプロセスで行われた決定は、それ自体ではなく、特定の組織のコンテキストで存在します。 つまり、情報セキュリティの確保に重点を置いている一方で、これらの決定と組織内に存在する他のリスク要因との一貫性を確保する必要があります。 組織での実装を計画している管理策を決定する際には、コスト、スケジュール、パフォーマンスなどの要因を考慮する必要があります。





*セキュリティには細部への注意が必要*



新しい開発とレガシーシステム



この記事で説明したセキュリティ管理策を選択するプロセスは、2つの異なるアプローチで組織の情報システムに適用できます。レガシーシステムとして、または新しい開発として。

開発中のシステムでは、システムが完成した形でまだ存在せず、IPの予備的な分類のみが実行されるため、セキュリティ制御を選択するプロセスは「設計段階で要件を決定する」という観点から実行されます。 この場合、情報システムのセキュリティ計画に含まれるコントロールはセキュリティ要件として機能し、開発および実装の段階でシステムに含まれます。 残りについては、RMFサイクル全体が単純に適用されます。

レガシーシステムの場合、対照的に、コントロールを選択するプロセスは、組織が情報システムに大幅な変更を加えることを計画している場合(たとえば、更新または変更中)に、ギャップ分析の観点から実行されます。 継承とはIPがすでに使用されていることを意味するため、組織がすでにシステムを分類している可能性が高く、セキュリティコントロールの選択により、以前に選択した一連のコントロールが調整されることになります。 したがって、ギャップ分析は次のように実行できます。

  1. システムによって現在処理、保存、または送信されている情報に基づいて、情報システムに対する重大度値と悪影響のレベルの確認または更新が実行されます。
  2. 実装されたセキュリティ制御を説明する既存のセキュリティ計画の分析が行われます。 セキュリティカテゴリ、悪影響のレベル、および組織、ビジネスプロセス、システム、機能環境におけるその他の変更のすべてが考慮されます。 リスクと安全計画の再評価は必須であり、リスクが組織にとって許容可能なレベルに維持されるように実装する必要がある追加の安全管理の文書化も必須です。
  3. , , .
  4. , , .




結論の代わりに



これについては、おそらく、出版物NIST SP 800-53のレビューを終えることができます。この一連の記事以外にも、ドキュメントには450ページを超える印刷テキストが含まれているため、さらに興味深いものがあります。ただし、特にドキュメントに記載されている原則を実際に適用し、説明されているコントロールを実装する経験がなければ、Habréの4つの短い記事でこのドキュメントを使用することのすべての詳細と微妙さに精通することはできません。

NIST SP 800-53の出版物に誰かが興味を持ってくれたことを願っています。すでに彼女について何か聞いたことがある人のために、彼女のデバイスについてもう少し話してください。

そして最後に、別のポスター:



*セキュリティのピンチを追加します。これは重要な成分です!*



このために私はあなたに別れを告げます。質問、コメント、提案がある場合は、コメントとPMを使用してください。

ご清聴ありがとうございました!


More articles:


All Articles