Wondershare EdrawMind
マインドマップギャラリー CISSP-1-セキュリティとリスク管理
- 20
CISSP-1-セキュリティとリスク管理
CISSP-情報システムセキュリティプロフェッショナル認定マインドマップの主な内容は、情報セキュリティとリスク管理の管理基盤、セキュリティガバナンスとセキュリティシステムの枠組み、情報セキュリティ戦略、組織および人事のセキュリティリスク管理、法律、倫理、コンプライアンス、BCP
2021-11-10 12:10:04 に編集されました
- おすすめ
- アウトライン
情報セキュリティガバナンスとリスク管理
情報セキュリティと リスク管理マネジメントの基本
情報
意味
ライフサイクルの処理
情報セキュリティー 基本原則
機密保持 (機密保持)
情報が確実に保存、使用、送信されるようにする 権限のないユーザーまたは団体には開示されません
誠実さ (誠実さ)
不正な改ざんを防止します。
許可されたユーザーによる情報の不適切な変更を防止する
内部および外部の情報の一貫性を維持する
内部
外部の
可用性 (可用性)
許可されたユーザーまたはエンティティによる情報とリソースの通常の使用を保証する 例外が拒否されないため、情報への信頼性とタイムリーなアクセスが可能になります
反対側のトリプレット お父さん
開示
変更
破壊
情報セキュリティー CIA関連技術
機密保持、C
データ暗号化(ディスク全体、データベース暗号化)
通信データ暗号化(IPSec、SSL、PPTP、SSH)
アクセス制御 (物理的および技術的制御)
誠実さ、私
ハッシュ (データ完了)
コードサイニング
構成管理(システム完了)
変更管理(プロセス完了)
アクセス制御 (物理的および技術的制御)
ソフトウェアのデジタル署名
送信CRCチェック機能 (複数層のネットワーク伝送に使用可能)
可用性、A
冗長ディスクアレイ (RAID)
集まる
負荷分散
冗長データと電力線
ソフトウェアとデータのバックアップ
ディスクイメージ
立地と敷地外施設
ロールバック機能
フェイルオーバー構成
安全に制御する
方法と手段
管理制御
戦略、基準、対策、ガイドラインを策定する
危機管理
人員の安全
セキュリティ意識向上トレーニング
技術的制御 (論理制御)
論理アクセス制御メカニズムを実装および維持する
パスワードとリソースの管理
識別および認証方法
安全装置
物理的制御
施設およびさまざまな部門への個人のアクセスを制御するための措置(アクセス制御、セキュリティ、ロック)
保護境界線 (フェンス、壁、照明)
物理的な侵入検知
環境管理
効果
制御機能
予防(抑止)、検知、是正・復旧(バックアップ、BCP、DRP) 補償(制御)
情報セキュリティリスク管理の基本
ガバナンス、リスク管理、コンプライアンス (GRC)
保証
リスク管理の枠組み
セキュリティガバナンスとセキュリティシステムの枠組み
セキュリティ制御参照フレームワーク
IT制御、COBIT
「内部統制 – 全体的なフレームワーク」、COSO 企業の内部統制管理フレームワーク
財務報告を満たすために定義され、 開示目的に応じた5種類の内部統制要素
制御環境
リスクアセスメント
制御活動
情報・通信
モニター
多くの組織が SOX 404 準拠に取り組むためのフレームワーク
ITサービスマネジメント、ITIL(ベストプラクティスフレームワーク)
ITIL はカスタマイズ可能な IT サービス管理フレームワークです
情報技術サービスマネジメント規格(ISO/IEC 20000)
5つの主要ステージ
サービス戦略
サービスデザイン
サービス移行
サービス運営
継続的なサービス改善
ザックマン
TOGAF エンタープライズ フレームワーク
SABSA セキュリティ アーキテクチャ フレームワーク
セキュリティ管理リファレンス、NIST SP 800-53r4
2014 年重要インフラストラクチャ セキュリティ管理フレームワーク: NIST サイバーセキュリティ フレームワーク
CMMI ソフトウェア開発管理 (第 8 章)
三次元測定機
初期、反復可能、定義済み、管理対象、最適化中
CMMI
初期、管理、定義、定量管理、最適化
情報セキュリティ管理
情報セキュリティの成否を分ける 2 つの要素: テクノロジーとマネジメント
ISO27001 (情報セキュリティー マネジメントシステム基準)
BS7799から派生したBS7799-1はISO27002に対応し、 BS7799-2はISO27001に対応
情報セキュリティのベストプラクティスから構成される包括的な一連の管理
2013 バージョン、14 ドメイン、35 カテゴリ、114 コントロール
情報セキュリティ管理モデル
PDCAモデル
プラン
リスク評価の結果、法規制の要件、組織の業務に基づいて、 運用上のニーズに基づいて管理目標と管理措置を決定する
実装する、実行する
選択したセキュリティ制御を実装します。
チェック
ポリシー、手順、基準および法令に従って、 安全対策の実施に関するコンプライアンスチェックの実施
対策・法
検査結果に基づいた対策を講じ、安全性の向上を図る
情報セキュリティパフォーマンス
ISO27004
情報セキュリティポリシー、組織および人材のセキュリティ
セキュリティ戦略
セキュリティ文書の階層
ポリシー (ポリシーの変更頻度は低くなりますが、手順の変更頻度は高くなります)
情報セキュリティに関する最も一般的な声明
情報セキュリティに対する経営トップの責任の表明
守るべきものと目的を説明する
標準
ポリシー実施のための強制メカニズムを確立する
ガイドライン
標準と同様に、システムのセキュリティを強化する方法も推奨されます。
セキュリティベースライン
ポリシーで要求される最小レベルのセキュリティ要件を満たす
手順(手順・手順・手順)
特定のタスクを実行するための詳細な手順 (特定)
この手順は、保護タスクを実行するための特定の手順の詳細な説明 (HOW) です。
治安組織
経営幹部(経営陣/CEO、CFO、COO)
情報セキュリティの全責任者および情報セキュリティの最終責任者
情報セキュリティを計画し、目標と制限された手順を決定し、情報セキュリティの責任を委任します。
情報セキュリティ活動の方向性を示す情報セキュリティの目標と方針を明確にする
情報セキュリティ活動のためのリソースの提供
重要事項の決定を下す
組織のさまざまな部門のさまざまなリンク間の関係を調整する
情報セキュリティの専門家
上級管理者 (通常は CIO) からの委任に従って、セキュリティの実装と維持に責任を負います。
組織のセキュリティ ポリシー、標準、ガイドライン、手順を設計、実装、管理、レビューする
組織内の部門間のセキュリティ関連のやり取りをすべて調整する
最高情報責任者、CIO
会社の日常的な技術業務を監督し、責任を負います
最高セキュリティ責任者、CSO
ビジネス情報資産が適切に保護されていることを確認する
社内の情報セキュリティコーディネーターおよびファシリテーターの役割を担う
組織のビジネス目標を理解し、リスク管理プロセスを導く必要がある 事業運営と許容可能なリスクとの間の適切なバランスを確保する
具体的な責任:
情報セキュリティ活動の予算
開発戦略、手順、ベースライン、標準およびガイドラインの開発
セキュリティ意識向上プログラムを開発する
経営会議に参加する
内部および外部監査を支援する
セキュリティ運営委員会
メンバーは、CEO リーダーシップ、CFO、CIO、部門マネージャー、主任内部監査人を含む、組織のすべての部門の人々で構成されています。
明確な議題を持って少なくとも四半期に 1 回会議を開く
責任:
組織の許容可能なリスクレベルを定義する
セキュリティの目標と戦略を決定する
ビジネス ニーズへの対応がセキュリティ活動の優先順位を決定します
リスク評価と監査レポートをレビューする
セキュリティリスクによるビジネスへの影響を監視する
重大な安全違反を伴う原子力事故の見直し
セキュリティ ポリシーと計画に対する重要な変更を承認する
監査委員会
取締役会によって任命され、会社の内部業務、内部監査システム、財務諸表の透明性と正確性のレビューと評価を支援します。
責任者:
会社の財務諸表および財務情報の完全性
会社の内部統制システム
独立監査人の雇用と業績
内部監査機能の遂行
倫理に関する法的要件および会社ポリシーを遵守します。
リスク管理委員会
組織全体のリスクを理解し、上級管理者がリスクを許容可能なレベルまで低減できるよう支援します。
IT セキュリティ リスクだけでなく、ビジネス リスク全体を調査する
セキュリティプラン
組織の情報セキュリティ構築は計画通りに実施し、セキュリティ管理計画をトップダウンで策定する必要があります。
責任:
上級管理者が組織のセキュリティ ポリシーを定義する
中間層は、標準、ベースライン、ガイドライン、手順を使用してセキュリティ ポリシーを完成させ、その実行を監視します。
ビジネス マネージャーとセキュリティ専門家は、セキュリティ部門のドキュメントで開発された構成を実装する責任を負います。
エンドユーザーは、組織のすべてのセキュリティ ポリシーに準拠する責任があります。
タイプ
戦略計画、 戦略計画
長期計画(例:5年)
比較的安定しており、組織の目標と使命を定義します。
戦術計画、 戦術計画
中期計画(例:1年)
戦略計画で定められた目標の達成に向けたタスクと進捗状況の詳細な説明。 雇用計画、予算計画など。
運営計画、 運用計画
短期的で詳細な計画、頻繁に更新される
トレーニング計画、システム展開計画などの月次または四半期ごとの更新。
従業員の安全 (第 7 章)
人事責任
データ所有者
特定の事業部門の管理を担当し、特定の情報の保護と適用を担当します
「相当の注意」を払う義務がある
責任
データの分類を決定する
分類ごとにセキュリティ要件とバックアップ要件を定義する
ユーザーアクセスガイドラインを定義する
技術的な役割ではなくビジネス上の役割
データ管理者(保管者)
IT 部門またはセキュリティ部門の役割
責任
データの定期的なバックアップを実行する
データの整合性を定期的に検証する
バックアップしてデータを復元する
情報セキュリティとデータ保護のための企業の情報セキュリティ ポリシー、標準、ガイドラインを導入する
システム所有者
1 つ以上のシステムを担当し、それぞれが異なるデータ所有者が所有するデータを保持および処理する場合があります。
セキュリティ要素をアプリケーションとシステムに統合する責任を負います
システムの脆弱性が確実に評価されるようにする
システムのセキュリティを確保するために適切なセキュリティ対策を講じてください
セキュリティ管理者
セキュリティ規制とポリシーの実装、監視、施行を担当します
セキュリティ委員会および情報セキュリティ責任者への報告
情報システム監査人
システムをチェックして、セキュリティ要件が満たされているかどうか、およびセキュリティ制御が有効であるかどうかを判断します。
セキュリティ目標管理に対する独立した保証を提供する
セキュリティアナリスト
ポリシー、標準、ガイドラインの開発を支援し、ベンチマークを設定する
主に設計レベルであり、実装レベルではありません
ユーザー
アプリケーションのセキュリティ意識を持ち、セキュリティ ポリシーを遵守し、システムを適切に使用し、セキュリティ インシデントを報告する
人材採用管理
身元調査
リスクを軽減し、採用コストを削減し、離職率を削減します。
スキル評価
秘密保持契約
企業の機密情報を保護する
従業員の現場管理
職務の分離
機密性の高い、価値のある、または重要なタスクを最初から最後まで完全に制御できる人は一人もいないはずです
目的: 不正またはエラーの可能性を減らす
例:
金融取引では、1 人が入力を担当し、2 人目がチェックを担当し、3 人目が最終取引の確認を担当します。
開発・運用保守、セキュリティ管理・運用・監査、 暗号鍵管理・鍵変更
知識の細分化
最低限の特権
責任を割り当てるために必要な最小限の権限
ジョブローテーション
個人が過度に制御できるようにするために、1 人が長時間固定された位置を保持しないようにします。
相互トレーニングを促進し、不正行為を検出するために人員のバックアップを設定する
強制休暇
機密性の高い部門の担当者に休暇を強制することで、不正行為、データ改ざん、リソース乱用などを効果的に検出できます。
職員の退去管理
退職した従業員のアクセス権の無効化
識別可能なアイテムのリサイクル
第三者による人事管理
第三者が存在しないが管理者権限を持っている場合
機密保持契約は第三者の組織および個人と署名する必要があります
第三者のすべての作業活動を監視する
アクセス時にサードパーティ担当者の身元が確認されるようにする
第三者が存在し、管理者権限を持っている場合
上記の措置を踏まえ、追加の人事経歴調査を実施
サードパーティの担当者がサイトを離れたため、関連する許可を取り戻す必要がある
第三者との契約条件に機密保持要件および関連するビジネス条件を追加します。
セキュリティの意識向上、トレーニング、教育
教育
安全専門家に仕事に必要な専門スキルを提供する。
方法:
理論指導、セミナー、読書・研究、研究
セキュリティに関する洞察
"なぜ"
トレーニング
情報システムの管理・保守担当者を中心に、セキュリティ関連の業務スキルを指導
方法:
実習指導、講義、事例研究、実験
知識を得ます
"実行する方法"
意識
セキュリティと管理の重要性についての、組織の従業員間の一般的な集合的認識
方法:
ビデオ、メディア、ポスターなど
メッセージを送る
"それは何ですか"
危機管理
コンセプト:
リスクを特定して評価し、リスクを許容可能なレベルまで低減します。 このレベルのプロセスを維持するための適切なメカニズムを実装する
100% 安全な環境は存在しません。リスク管理は重要です。 メリットとコスト、セキュリティと使いやすさのバランス
リスク = 脅威 * 脆弱性 * 資産価値
リスク = 可能性 * 影響
関連要素
資産: 組織にとって価値のある情報資産
資産や組織に損害を与える可能性があります セキュリティインシデントの潜在的な原因
脅かす
脅威モデリング (ストライド)
脅威モデリングには構造化されたアプローチがあります。 システムに影響を与える可能性のある脅威は体系的に特定され、評価されます。
私たちを攻撃したいと考えている可能性が最も高いのは誰かを確認するには、まずブレインストーミングを行ってください。 どうすれば目標を達成できるかを徹底的に考え、 そうした攻撃を防ぐための対策を提案する
脆弱性 (脆弱性)
資産または資産グループに存在する、脅威によって悪用される可能性のある脆弱性または弱点 一度悪用されると資産に損害を与える可能性がある弱点
危険
特定の脅威が資産の弱点を利用して、資産または資産グループに損害を与える可能性。
可能性
影響
予期せぬ出来事によって組織に引き起こされる結果、直接的または間接的な損害または危害
セキュリティ対策
脅威を防ぎ、脆弱性を最小限に抑え、予期せぬ事態を制限する制御または対策 影響やその他の手段を通じてリスクを軽減するためのメカニズム、方法、対策
残留リスク
セキュリティ対策を講じた後に残るリスク
リスクアセスメント (評価)
メインミッション:
リスクを引き起こす要素を特定する
リスクの可能性と影響を評価し、最終的にリスクのレベルまたは規模を評価します。
組織のリスク耐性を判断する
リスクの軽減と管理のための戦略、目的、優先順位を決定する
リスク軽減策の実施を推奨
方法
リスクアセスメント(ISO27005)
リスクを特定する
リスクを分析する
リスクを評価する
NIST SP800-30 および SP800-66
ITリスクに焦点を当てた定性的RAアプローチ
1. システムの分類、2. 弱点の特定、3. 脅威の特定。 4. 対策の特定 5. 可能性の評価 6. 影響評価。 7. リスク評価 8. 新たな対策の推奨 9. 文書による報告。
オクターブ
情報資産リスクに基づく自律的な情報セキュリティリスク評価仕様書、 これは資産主導であることを重視しており、3 つのステージと 8 つのプロセスで構成されています。
OCTAVE アプローチは、リスク管理プログラムを組織全体に展開し、セキュリティ計画と統合します。
学習塾
基本プロセス: 資産の特定と評価、対策の選択と推奨。
フラップ
コストと時間を削減するために本当に評価が必要なシステムのみに焦点を当てる事前審査
予算が限られている状況
STA
システムが直面する可能性のあるすべての脅威のツリーを作成します。枝はサイバー脅威などを表すことができます。 物理的な脅威やコンポーネントの障害などのカテゴリでは、RA の実行時に未使用のブランチを剪定する必要があります。
FEMA
ハードウェア分析から得られます。各コンポーネントまたはモジュールの潜在的な障害を調査し、障害の影響を調査します。
AS/NZS 4360
オーストラリアのリスク評価方法は安全性を目的として使用されていない
評価プロセス
情報資産の特定
各資産の所有者、管理者、ユーザーを特定する
資産リストを作成し、業務プロセスに基づいて情報資産を特定する
情報資産の存在形態
電子データ:データベースやデータファイル、ユーザーマニュアルなど
書面による契約: 契約、戦略ガイドライン、アーカイブ文書、重要な業績
ソフトウェア資産:アプリケーションソフトウェア、システムソフトウェア、開発ツール、ソフトウェアプログラム
物理資産: 磁気メディア、電力および空調、ネットワーク インフラストラクチャ、サーバーなど。
人事: 特定の能力と責任を持つ個人または役割
サービス: コンピューティングおよび通信サービス、アウトソーシング サービス、その他の技術サービス
組織のイメージと評判: 無形資産
情報資産の評価
評価要素
破損による直接損失
資産回復のコスト (検出、制御、修理にかかる人件費と物理的コストを含む)
組織の公的イメージと評判の喪失、競争上の優位性の喪失
保険料の増加などのその他の損失
重要性(影響または結果)に基づいて資産を分類し、 また、機密性、完全性、可用性が損なわれた場合に起こり得る結果も考慮してください。
脅威を特定して評価する
資産は複数の脅威に直面する可能性があり、脅威は複数の資産に影響を与える可能性があります。
脅威の発生源を特定する
職員に対する脅迫
システムの脅威
環境の脅威
自然の脅威
脅威の可能性を評価するには、脅威源の動機と能力が考慮されます。
弱点を特定して評価する
各資産の悪用される可能性のある脆弱性
技術的な弱点
運用上の弱点
経営上の弱さ
識別経路
監査報告書、実践報告書、セキュリティ検査報告書、システムテストおよび評価報告書
自動脆弱性スキャンツール
リスクアセスメント (評価)
リスクへの影響
リスクの可能性
リスク管理戦略
リスクの治療方法
リスクを軽減/軽減/弱体化する (リスクの軽減/軽減) (上位管理措置)
脅威を減らす
悪意のあるコード制御を実装する
弱点を減らす
安全意識訓練による安全運航力の強化
衝撃を軽減する
災害復旧計画と事業継続 計画を立ててバックアップを作成する
リスクを回避する (回避/危険)
移転リスク (譲渡リスク) (アウトソーシング/保険の購入)
リスクを受け入れる (リスクを受け入れる)
リスク管理措置の選択戦略
費用便益分析
基本原則:セキュリティ対策のコスト 保護する資産の価値を超えてはなりません
対策コスト:購入コスト、業務効率への影響 、追加の人的資源と物的リソース、トレーニング費用、メンテナンス費用など。
制御の価値 = 制御前の ALE - 制御後の ALE - 制御の年間コスト
制限
時間的制約、技術的制約、環境的制約
法的制約、社会的制約
保護対策の基本機能と有効性
残留リスクの評価
セキュリティ管理の導入後に残る、または残るリスク
残留リスク Rr = 元のリスク R0 - 管理有効性 R
残留リスク <= 許容リスク Rt
定量的なリスク評価
定量的リスク分析は、リスク分析プロセスのすべての要素を提供しようとします。 具体的で意味のある数字が与えられている
保護対策のコスト、資産価値、ビジネスへの影響、脅威の頻度 保護対策の有効性や脆弱性悪用の可能性などの各要素、 が定量化され、最終的に総リスクと残留リスクが計算されます。
定量分析の手順:
資産に価値を割り当てる
脅威ごとに潜在的な損失を見積もる
脅威と脆弱性を評価し、特定の脅威を評価する 特定の資産に対する影響、つまりEF (0% ~ 100%)
脅威分析を実行する
年間発生率 (ARO) を計算する
発生頻度: ARO (年間発生率)
資産と脅威ごとに計算 単一損失予測 (SLE)
SLE(単一損失期待)=資産価値(資産価値)×EF(エクスポージャファクター)
脅威ごとに潜在的な年間損失を計算する
脅威ごとに計算された年間損失期待値 (ALE)
ALE = SLE × ARO
定性的リスク評価
リスクが発生する可能性のあるさまざまなシナリオを検討し、さまざまな視点に基づいて評価する 各種脅威の深刻度や各種対策の有効性をランキング
定性分析手法
判断力、ベストプラクティス、直感、経験
データを収集するための定性分析手法
グループ意思決定方法、デルファイ
アンケートの質問
診る
インタビュー
定性的手法と定量的手法の比較
定性的な方法と結果は比較的主観的です
定性的手法では費用/便益分析の金銭的価値を確立できません
定量的手法は多くの計算が必要であり、実装が困難です
情報の分類と階層管理
目的: 各データセットに必要な機密性、完全性、可用性の保護のレベルを説明します。
情報の機密性に応じて、当社はさまざまな安全管理措置を採用しています。 情報が適切に保護されていることを確認し、セキュリティ保護を優先します (過剰保護を避けながら)
事業会社
機密
プライバシー
センシティブ
公共
軍事施設
極秘 (極秘)
秘密
機密 (機密)
機密だが機密扱いではない
未分類
法務、倫理、コンプライアンス
コンピュータ犯罪
コンピュータ犯罪の特徴:
捜査や証拠収集が難しく、証拠は隠滅されやすい。
関連する法律が不完全である
地域間の特性
統計的に言えば、内部関係者は犯罪を犯す可能性が高い
被害を受けた機関は、機関の通常の運営に影響を与え、機関に対するユーザーの信頼を損なうことを恐れて報告を怠ることがあります。
コンピュータ犯罪の種類
コンピューター幇助犯罪
犯罪の実行を支援するツールとしてコンピューターを使用する。 コンピュータは犯罪に必須の要素ではありませんが、犯罪を支援するツールとして機能します。
コンピュータを標的とした犯罪
コンピュータ、ネットワーク、およびこれらのシステムに保存されている情報に対する犯罪
コンピュータ関連犯罪
コンピュータは必ずしも攻撃者または被害者であるとは限りません。 それが起こったとき、たまたま攻撃に巻き込まれただけです。
コンピュータ関連法
法制度
コモンロー
市民法
刑法
行政法
民法制度
コモンロー制度
宗教法制度
混合法制度
知的財産法
営業秘密
企業の競争力や市場力が重要
あまり知られていませんが、同社は開発に関連するリソースと労力を投資しました。
開示や不正使用を防ぐために会社から適切な保護を受ける
例:
製品の流通
プログラムのソースコード
暗号化アルゴリズム
著作権
ほとんどの作品を公に公開、コピー、表示、変更する法的に保護された権利
それは作品の創造性を保護するものではなく、創造性の表現を保護するものです。
例:
プログラム コード、ソース コード、実行可能ファイル、さらにはユーザー インターフェイス
文学
絵画
歌のメロディー
商標
企業のイメージを表す言葉、名前、シンボル、形、音、色を保護します。
商標は通常、商標登録機関に登録されます。
商標は、企業が市場活動において確立した品質と信頼性のマークです。
特許
特許登録者または企業による特許所有権の法的承認、他者または企業による無断使用の禁止
特許は20年間有効です
例:
製剤
暗号化アルゴリズム
ソフトウェアの分類
フリーソフトウェア
シェアウェア
オープンソースソフトウェア
商用ソフトウェア
学術用ソフトウェア
プライバシー
処理対象
国民の個人識別情報 (PII) の保護に積極的に努めます
政府および企業のニーズと、PII の収集および使用に関するセキュリティ上の懸念とのバランスを取るよう積極的に努めます。
個人のプライバシー
タイプ:
一人でいられる権利
個人に対する不当な権利からの保護
どの個人情報を誰に配布するかを決定する権利
注意すべき問題:
不当な侵害を防ぐためには、インフォームド・コンセントと適切な保護措置が肝心です。
適切な方法の欠如を防ぐために、基本は「公平性と正義」であり、エラー修正メカニズムが存在します。
個人情報の利用原則
個人データ管理者の義務
個人データの収集にはデータ主体の同意と目的の通知が必要です
目的に関連するデータのみを収集し、目的に必要な期間のみ使用し、保存します。
データ収集の方法 データの目的の方法
個人情報が悪意により侵害されることを防止するための技術的、管理的および運用上の合理的な措置を講じます。 データの整合性と機密性を確保し、関連する作業を行う必要のない人によるアクセスを防ぐために古いデータを消去します。
個人データ主体の義務と権利
収集した情報を確認し、エラーを修正します
データ侵害
すべてのセキュリティ インシデントの後に、データ侵害があったかどうかの調査を行う必要があります。
倫理
ISC2 倫理規定
社会、公共の利益、インフラを保護し、必要な国民の信頼と信頼を獲得する 正直、誠実、公正、責任感を持ち、法律を遵守すること 業界の発展を促進し、専門的な評判を維持する 勤勉で責任感があり、プロフェッショナル
コンピュータ倫理協会
インターネットアーキテクチャ研究委員会
コンピューター犯罪の神話
BCP&DRP要件
BCP/DRPの概要(第7章)
災害とは何ですか
突然起こる不幸な事故は、大きな損害をもたらします。
含む:
地震、洪水、自然火災、火山噴火、激しい対流気象などの自然災害
システム/技術 (ハードウェア、ソフトウェアの中断、システム/プログラミング エラーなど)
供給システム、通信障害、配電システム障害、配管破断
人工、爆発、火災、破壊行為、化学汚染、有害なコード
政治、テロ活動、暴動、ストライキ
組織的な災害
組織にとって、重要なビジネス機能につながるものはすべて、 一定期間内に実施できない事象を災害とみなす
特徴:
計画外のサービス停止
長期にわたるサービス停止
通常の問題管理手順では機能停止を解決できない
混乱は多大な損失を引き起こす
2つの要素
停止によって影響を受けるビジネス機能の重要性
中断の長さ
災害復旧計画、DRP
災害復旧の目標
災害や事業中断による影響を軽減する
リソース、人員、ビジネスプロセスをできるだけ早く復旧させるために必要な措置を講じます。
ITレベルに注目する傾向がある
事業継続計画、BCP
ビジネス継続性の目標
さまざまな状況に直面しても組織が事業運営を維持できるようにする
長期的な生産停止や災害時の対策・手法の提供を中心に長期的な視点で課題を解決
目標 客観的
緊急時の対応はタイムリーかつ適切に行います
命を守り、安全を確保する
ビジネスへの影響を軽減する
重要なビジネス機能を回復する
災害時の混乱を軽減
ビジネスの存続可能性を確保する
災害発生後はすぐに「稼働」を開始
BCP は組織のビジネス目標と一致しており、全体的な意思決定プロセスの一部である必要があります。
BCP は組織のセキュリティ プログラムの一部であり、セキュリティ プログラムの他の要素と連携する必要があります。
標準とベストプラクティス
NISTSP800-34
継続計画戦略 (ポリシー) を策定する
ビジネスへの影響分析 (BIA) を実行する
予防管理方法の決定
回復戦略を策定する
BCPの策定
BCPのテスト
事業継続計画を維持する
ISO27031
ISO22301
BCPプロジェクトの計画
BCPプロジェクト立ち上げ前の準備活動
BCP のニーズを決定します。これには、対象を絞ったリスク分析が含まれる場合があります。 重要なシステムに発生する可能性のある混乱を特定するため
関連する法律、規制、業界規範、および組織のビジネスを理解する BCP との整合性を確保するための技術的計画要件
BCPプロジェクトリーダーを任命し、営業部門、技術部門の代表者を含むBCPチームを設置
プロジェクト管理計画を作成します。プロジェクトの範囲、目的、 方法、責任、タスク、進捗状況
プロジェクトキックオフミーティングを開催して経営陣のサポートを得る
データ収集に必要な自動化ツールを決定する
施設向けに必要なスキル研修や啓発活動
BCPプロジェクトリーダー
事業継続コーディネーターはBCPプロジェクトのリーダーとしてプロジェクトの計画に全責任を負い、 準備、研修、その他の業務
仕事のタスク
プログラム開発チームと経営陣の間のコミュニケーションと連携
計画に関係する全員と直接連絡し、コミュニケーションをとる権利
事業中断が組織のビジネスに及ぼす影響を完全に理解する
組織のニーズと業務に精通しており、組織の関連部門のさまざまなニーズのバランスをとる能力
上級管理職へのアクセスが容易になる
組織のビジネスの方向性と上級管理者の意図を理解する
上級管理職の決定に影響を与える能力
BCPプロジェクトにおける主な役割
復旧チーム、災害後に評価、復旧、復旧、その他の関連作業を実行する複数のチーム
ビジネスユニットの代表者は、組織の重要なビジネス機能を特定し、回復戦略の選択と開発を支援します。
IT部門
通信部
情報セキュリティ部
法定代理人
BCP戦略
BCP 計画は、最終的には事業継続戦略の枠組みを形成する必要があります。 BCPに記載されている条件
目標、範囲、ニーズ
基本原則とガイドライン
義務と責任
キーリンクの基本要件
ポリシーの条件は上級管理者によって正式に承認され、事業継続の取り組みを導く組織ポリシーとして公開される必要があります。
ビジネスインパクト分析BIA
ビジネスへの影響分析の概要
災害時に重大な被害や業務妨害を引き起こす可能性のあるエリアを特定する
BIA解析手法
災害や混乱イベントの影響を重大度の観点から判断するための定性分析
災害や混乱事象の影響を金額で定量的に分析
BIAの目的
潜在的な混乱の影響を理解するために経営陣を支援する
主要なビジネス機能とこれらの機能をサポートする IT リソースを特定する
マネージャーが組織の機能サポートにおけるギャップを特定できるよう支援する
ITリソースのリカバリを順序立てて実行する
停止の影響を分析する
ビジネス機能ごとに回復期間を決定する
BIAプロセス
情報収集手法を特定する
回答者を選択してください
重要なビジネス機能とそれをサポートするリソースを特定する
これらのリソースからのサポートが失われた場合に、これらの機能がどれくらいの期間存続するかを決定します。
弱点と脅威を特定する
ビジネス機能ごとのリスクを計算する
BIAレポート提出の準備をする
問題点
応答の提案
BIA情報分析
整理、関連付け、分析、確認
定性的および定量的な自動化ツール 情報の統合と分析を支援する
事業者の代表者が情報分析結果を確認・確認
許可される割り込み時間 MTD を決定する
ビジネス影響分析の中核となるタスクは、主要なビジネス機能を特定し、 サポートされているリソースの最大許容中断時間 MTD
複数のビジネス機能をサポートするリソースがより重要です
中断時間が最大許容中断時間を超えています (許容可能な最大ダウンタイム) ビジネス、より重要な機能やリソースの回復が困難になります。
MTD に基づいて、重要なビジネス機能とそのサポート リソースの回復の順序を決定します。
サポートリソースの決定
重要な機能をサポートするすべてのリソース (コンピューター以外のリソースを含む) を特定します。 リソースの使用期間とリソース不足による機能への影響 リソース間の相互依存性
災害復旧メトリクス
作業回復時間、WRT
作業の回復時間は比較的固定されています
目標復旧時間、目標復旧時間、RTO
システムの利用不能が組織に深刻な影響を与える前に 消費できる最大時間
目標復旧時点、目標復旧時点、RPO
処理を続行するためにデータを回復する必要がある時点。 つまり、許容されるデータ損失の最大量
RTO WRT=MTD