NIST SP 800-60のVolume 1、「情報および情報システムのタイプとセキュリティ分類のマッピングガイド」のポイントです。日本語版の全体はIPAからダウンロードできます。
全体の概要
情報システムに対するセキュリティは、情報システムの重要性に応じて内容を変更する必要があります。そのため、NIST SP 800-60 Volume 1では、情報システムを機密性(C)、完全性(I)、可用性(A)の3つの観点でレベル分けを行う指針を提供しています。
セキュリティ目的
情報システムに対するセキュリティの目的は、機密性(C)、完全性(I)、可用性(A)の3つを守ること。
機密性(C):情報が不当に開示されないこと。
完全性(I):情報が不当に改ざん/破壊されないこと。
可用性(A):情報/情報システムの利用を妨害されないこと。
影響レベル
機密性(C)、完全性(I)、可用性(A)の3つに対し、侵害された際の影響を下記のレベル分けを行う。なお、「該当なし」は機密性のみ。
低位:侵害されると組織の運営/資産、個人に限定的な悪影響を及ぼす。
中位:侵害されると組織の運営/資産、個人に重大な悪影響を及ぼす。
高位:侵害されると組織の運営/資産、個人に致命的/壊滅的な悪影響を及ぼす。
該当なし:機密性が侵害されても影響は発生しない(公開されている情報)。
セキュリティ分類
情報システムに対し、機密性(C)、完全性(I)、可用性(A)に対する影響レベルがいくつに相当するか決定することで、分類する。機密性(C)が4種類、完全性(I)と可用性(A)がそれぞれ3種類存在するため、36パターンに情報システムを分類することができる。なお、分類はまず情報システムが取り扱う情報を特定し、それらに対する影響レベルを決定後、情報システム全体の影響レベルを決定すること。
0 件のコメント :
コメントを投稿