家studyをつづって

IT技術に関することやセキュリティ、ガイドライン等学んだことをつづっていきます。

連邦情報システムのためのセキュリティ計画策定ガイド (NIST SP800-18)

連邦情報システムのためのセキュリティ計画策定ガイド (NIST SP800-18)

発行機関:NIST

発行年月日:2006年2月

https://www.ipa.go.jp/files/000025324.pdf

 

 

 

概要

NIST SP800-18は、セキュリティ計画を策定する際のガイドラインです。
セキュリティ計画にはいくつかのインプットが必要になります。

例えば、NIST SP800-53は、情報システムに対するセキュリティ管理策のベースラインが策定してあり、(アメリカの政府関連の)情報システムは上記に適合する必要があります。新たに策定するセキュリティ計画では、上記のセキュリティ管理策に適合しているかの確認が必要になります。

www.iestudy.work

f:id:iestudy:20191104230550p:plain

セキュリティ計画を立てる際に必要になるインプット

NIST SP800-18では、セキュリティ計画を策定する際には、広くシステムの関係者から情報を得たうえで、その内容を反映すべきとしています。

 

情報セキュリティ計画にかかわる役職と責任

役職名 責任
最高情報責任者(CIO)
  • システムセキュリティ計画に対してCIOの責任を果たす、政府機関の上級情報セキュリティ責任者 (SAISO)を任命する。
  • システムセキュリティ計画策定のための、情報セキュリティポリシー、手順、および管理手法を作成 し維持管理する。
  • 共通のセキュリティ管理策の明確化、実施、および評価について管理する。
  • システムセキュリティ計画に対する重要な責任を持つ要員に対して確実に訓練を実施する。
  • 政府機関の上級責任者がシステムセキュリティ計画に対する責任を遂行するのを支援する。
  • 政府機関に適用する共通セキュリティ管理策を明確化し調整する。
情報のオーナー
  • 対象データ/情報の適切な使用および保護に関する規則(行動規程)を確立する。
  • 情報が記録されている情報システムに対するセキュリティ要件やセキュリティ管理策に関して、 情報システム所有者に入力を提供する。
  • 情報システムへのアクセス権を誰に与えるか、どのような種類の特権やアクセス権を与えるかを決 定する。
  • 情報が存在する場所の明確化とそれに対する共通セキュリティ管理策の評価を支援する。
政府機関の上級情報セキュリティ責任者(SAISO)
  • システムセキュリティ計画に対して CIO の責任を果たす。
  • システムセキュリティ計画の作成、見直し、受け入れを、情報システムのオーナー、情報システムセ キュリティ責任者、および運用認可責任者と調整する。
  • 共通セキュリティ管理策の明確化、実施、および評価の調整をする。
  • システムセキュリティ計画の作成や見直しを行うのに必要な専門資格(訓練や経験を含む)を持って いる。
情報システムセキュリティ責任者
  • 政府機関の上級情報セキュリティ責任者が実施する共通セキュリティ管理策の明確化、実施、およ び評価を支援する。
  • システムセキュリティ計画の作成および更新に積極的な役割を果たすだけでなく、システムに対する 変更を情報システムのオーナーと調整し、その変更がセキュリティに与える影響を評価する 
運用認可責任者
  • システムセキュリティ計画を承認する。
  • 情報システムの運用を認可する。
  • 特定の条件下で情報システムの運用に暫定的な承認を与える。
  • 容認できないセキュリティリスクが存在する場合は、情報システムの運用認可を与えない(システム がすでに運用されている場合は運用を停止する)。
情報システムのオーナー
  • 情報のオーナー、システム管理者、情報システムセキュリティ責任者、政府機関の上級情報セキュ
  • リティ責任者、および機能の「最終利用者」と連携してシステムセキュリティ計画を策定する。
  • システムセキュリティ計画を保守し、合意済みのセキュリティ要求事項に従ってシステムが、確実に配備され運用されるようにする。
  • システム利用者およびサポート要員が、必要なセキュリティ訓練(例:行動規程の教育)を確実に受けられるようにする。
  • 重大な変更が行われたときに必ずシステムセキュリティ計画を更新する。
  • 共通セキュリティ管理策の明確化、実施、および評価を支援する。