TONY HOBY 犬服 クリスマス 雪花柄 雰囲気作り 男女わけ 犬の秋冬用パジャマ 保温性 新年お 激安直営店 100%デベルベット 犬の術後服 最大80%OFFクーポン

TONY HOBY 犬服 クリスマス 雪花柄 雰囲気作り 男女わけ 犬の術後服 100%デベルベット 保温性 犬の秋冬用パジャマ クリスマス 新年お

犬服,TONY,/lying747538.html,クリスマス,犬の秋冬用パジャマ,クリスマス,新年お,雪花柄,保温性,犬の術後服,100%デベルベット,男女わけ,HOBY,984円,discover.detroitnewsletter.com,雰囲気作り,住まい・ペット・DIY , ペットフード・ペット用品 , 犬用品 TONY HOBY 犬服 クリスマス 雪花柄 雰囲気作り 男女わけ 犬の秋冬用パジャマ 保温性 新年お 100%デベルベット 犬の術後服 最大80%OFFクーポン 984円 TONY HOBY 犬服 クリスマス 雪花柄 雰囲気作り 男女わけ 犬の術後服 100%デベルベット 保温性 犬の秋冬用パジャマ クリスマス 新年お 住まい・ペット・DIY ペットフード・ペット用品 犬用品 犬服,TONY,/lying747538.html,クリスマス,犬の秋冬用パジャマ,クリスマス,新年お,雪花柄,保温性,犬の術後服,100%デベルベット,男女わけ,HOBY,984円,discover.detroitnewsletter.com,雰囲気作り,住まい・ペット・DIY , ペットフード・ペット用品 , 犬用品 984円 TONY HOBY 犬服 クリスマス 雪花柄 雰囲気作り 男女わけ 犬の術後服 100%デベルベット 保温性 犬の秋冬用パジャマ クリスマス 新年お 住まい・ペット・DIY ペットフード・ペット用品 犬用品 TONY HOBY 犬服 クリスマス 雪花柄 雰囲気作り 男女わけ 犬の秋冬用パジャマ 保温性 新年お 100%デベルベット 犬の術後服 最大80%OFFクーポン

984円

TONY HOBY 犬服 クリスマス 雪花柄 雰囲気作り 男女わけ 犬の術後服 100%デベルベット 保温性 犬の秋冬用パジャマ クリスマス 新年お


TONY HOBY 犬服 クリスマス 雪花柄 雰囲気作り 男女わけ 犬の術後服 100%デベルベット 保温性 犬の秋冬用パジャマ クリスマス 新年お

情報セキュリティー、時々短縮されます infosecは、情報のリスクを軽減することによって情報を保護する慣行です。これは情報リスク管理の一部です。これには通常、データへの不正/不適切なアクセス、または情報の違法な使用、開示、中断、削除、破損、変更、検査、記録、または切り下げの可能性を防止または少なくとも軽減することが含まれます。[1] また、そのようなインシデントの悪影響を軽減することを目的としたアクションも含まれます。保護された情報は、どのような形式でもかまいません。電子的または物理的、有形(例:事務処理)または無形(例:知識)。情報セキュリティの主な焦点は、組織の生産性を損なうことなく、効率的なポリシーの実装に焦点を合わせながら、データの機密性、整合性、および可用性(CIAトライアドとも呼ばれます)のバランスの取れた保護です。これは主に、以下を含む構造化されたリスク管理プロセスを通じて達成されます。

  • 情報と関連資産に加えて、潜在的な脅威、脆弱性、影響を特定する。
  • リスクの評価;
  • リスクに対処または処理する方法を決定する、つまり、リスクを回避、軽減、共有、または受け入れる方法。
  • リスクの軽減が必要な場合は、適切なセキュリティ管理策を選択または設計し、それらを実装します。
  • 活動を監視し、問題、変更、改善の機会に対処するために必要に応じて調整を行います。

この分野を標準化するために、学者と専門家が協力して、パスワード、ウイルス対策ソフトウェア、ファイアウォール、暗号化ソフトウェア、法的責任、セキュリティの認識とトレーニングなどに関するガイダンス、ポリシー、および業界標準を提供します。この標準化は、データへのアクセス、処理、保存、転送、および破棄の方法に影響を与えるさまざまな法律や規制によってさらに推進される可能性があります。ただし、継続的改善の文化が採用されていない場合、企業内での基準やガイダンスの実施は効果が限定的である可能性があります。

定義

情報セキュリティ属性:または品質、つまり、 守秘義務, 誠実さ そして 可用性 (CIA)。 情報システム ハードウェア、ソフトウェア、通信の3つの主要部分で構成されており、保護と防止のメカニズムとして、情報セキュリティ業界標準を3つのレベルまたはレイヤーで識別して適用することを目的としています。 物理的、個人的および組織的。基本的に、手順またはポリシーは、組織内の情報セキュリティを確保するために製品を使用する方法を管理者、ユーザー、およびオペレーターに指示するために実装されます。[2]

情報セキュリティのさまざまな定義を以下に提案し、さまざまな情報源から要約します。

  1. 「情報の機密性、完全性、および可用性の保持。注:さらに、信頼性、説明責任、否認防止、信頼性などの他のプロパティも関係する可能性があります。」 (ISO / IEC 27000:2009)[3]
  2. 「機密性、完全性、および可用性を提供するための、不正アクセス、使用、開示、中断、変更、または破壊からの情報および情報システムの保護。」 (CNSS、2010)[4]
  3. 「許可されたユーザー(機密性)のみが、必要なときに正確で完全な情報(整合性)にアクセスできるようにします(可用性)。」 (ISACA、2008)[5]
  4. 「情報セキュリティは、組織の知的財産を保護するプロセスです。」 (ピプキン、2000)[6]
  5. 「...情報セキュリティはリスク管理の分野であり、その仕事はビジネスに対する情報リスクのコストを管理することです。」 (McDermott and Geer、2001)[7]
  6. 「情報のリスクと管理のバランスが取れているという十分な情報に基づく安心感。」 (アンダーソン、J.、2003年)[8]
  7. 「情報セキュリティは情報の保護であり、許可されていない第三者に情報を公開するリスクを最小限に抑えます。」 (Venter and Eloff、2003)[9]
  8. 「情報セキュリティは、あらゆる場所(および組織の境界外)、その結果、情報が作成、処理、保存、送信、破棄され、脅威のない情報システム。情報および情報システムへの脅威は分類され、対応するセキュリティ目標は次のカテゴリごとに定義されます。脅威分析の結果として特定された一連のセキュリティ目標は、その適切性と進化する環境への適合性を確保するために定期的に改訂する必要があります。現在関連する一連のセキュリティ目標には、次のものが含まれます。 機密性、完全性、可用性、プライバシー、信頼性と信頼性、否認防止、説明責任、監査可能性。"(Cherdantseva and Hilton、2013)[2]
  9. 通信システムまたはデバイスを使用した情報および情報リソースのセキュリティとは、情報、情報システム、または書籍を不正アクセス、損傷、盗難、または破壊から保護することを意味します(Kurose and Ross、2010)。

概要概要

情報セキュリティの中核となるのは、情報保証です。これは、情報の機密性、整合性、および可用性(CIA)を維持し、次のことを保証する行為です。 情報 重大な問題が発生した場合でも、妥協することはありません。[10] これらの問題には、自然災害、コンピューター/サーバーの誤動作、および物理的な盗難が含まれますが、これらに限定されません。紙ベースの事業運営は依然として普及しており、独自の情報セキュリティ慣行が必要ですが、エンタープライズデジタルイニシアチブはますます強調されています。[11][12] 現在、情報保証は通常、情報技術(IT)セキュリティスペシャリストによって処理されています。これらのスペシャリストは、情報セキュリティをテクノロジー(ほとんどの場合、何らかの形式のコンピューターシステム)に適用します。に注意する価値があります コンピューター 必ずしもホームデスクトップを意味するわけではありません。コンピュータとは、 プロセッサー といくつかのメモリ。このようなデバイスは、電卓のような単純なネットワーク化されていないスタンドアロンデバイスから、スマートフォンやタブレットコンピューターなどのネットワーク化されたモバイルコンピューティングデバイスまで多岐にわたります。 ITセキュリティスペシャリストは、大企業内のデータの性質と価値のために、ほとんどの場合、主要な企業/施設にいます。彼らはすべてを維持する責任があります 技術 社内では、重要な個人情報を取得したり、内部システムを制御したりしようとする悪意のあるサイバー攻撃から保護されています。

情報セキュリティの分野は、近年大きく成長し、進化してきました。ネットワークや関連会社のセキュリティ保護など、専門分野を数多く提供しています。 インフラ、固定 アプリケーション そして データベース, セキュリティテスト、情報システム 監査, 事業継続計画、電子記録の発見、および デジタルフォレンジック。情報セキュリティの専門家は、雇用において非常に安定しています。 2013年現在 専門家の80%以上は、1年間にわたって雇用者や雇用に変化がなく、専門家の数は2014年から2019年まで毎年11%以上継続的に増加すると予測されています。[13]

脅威

情報セキュリティー 脅威 さまざまな形で提供されます。今日の最も一般的な脅威には、ソフトウェア攻撃、知的財産の盗難、個人情報の盗難、機器や情報の盗難、妨害、情報の恐喝などがあります。ほとんどの人は、ある種のソフトウェア攻撃を経験しています。 ウイルス,[14] ワーム, フィッシング攻撃 そして トロイの木馬 ソフトウェア攻撃のいくつかの一般的な例です。ザ・ 知的財産の盗難 また、情報技術(IT)分野の多くの企業にとって大きな問題となっています。 個人情報の盗難 通常、他の誰かとして行動して、その人の個人情報を取得したり、ソーシャルエンジニアリングを通じて重要な情報へのアクセスを利用したりする試みです。今日のほとんどのデバイスはモバイルであるという事実により、機器や情報の盗難は今日ますます蔓延しています。[15] 盗難に遭いやすく、データ容量が増えるにつれて、はるかに望ましいものになりました。 サボタージュ 通常、組織の破壊で構成されます ウェブサイト その顧客の側の信頼の喪失を引き起こそうとして。情報の恐喝は、会社の資産または情報を所有者に返還することと引き換えに支払いを受け取る試みとしての情報の盗難で構成されます。 ランサムウェア。これらの攻撃から身を守る方法はたくさんありますが、最も機能的な予防策の1つは、定期的なユーザーの認識を行うことです。組織にとって最大の脅威はユーザーまたは社内従業員であり、内部脅威とも呼ばれます。

政府, 軍隊, 法人, 金融機関, 病院、非営利団体および民間 ビジネス 従業員、顧客、製品、研究、財務状況に関する大量の機密情報を収集します。企業の顧客、財務、または新製品ラインに関する機密情報が競合他社の手に渡った場合、または ブラックハットハッカー、企業とその顧客は、広範囲にわたる取り返しのつかない経済的損失を被るだけでなく、企業の評判を損なう可能性があります。ビジネスの観点から、情報セキュリティはコストとバランスを取る必要があります。インクルード ゴードン-ローブモデル この懸念に対処するための数学的経済学的アプローチを提供します。[16]

個人にとって、情報セキュリティは プライバシー、さまざまな点で非常に異なって表示されます 文化.

脅威への対応

セキュリティの脅威に対する可能な対応または 危険 は:[17]

  • 削減/軽減–脆弱性を排除したり、脅威をブロックしたりするためのセーフガードと対策を実装します
  • 割り当て/転送–保険の購入やアウトソーシングなど、脅威のコストを別のエンティティまたは組織に負担します
  • 受け入れる–対策のコストが脅威による損失の可能性のあるコストを上回っているかどうかを評価します

歴史

コミュニケーションの初期から、外交官と軍事司令官は、通信の機密性を保護するための何らかのメカニズムを提供し、検出するための何らかの手段を持つ必要があることを理解していました 改ざん. ジュリアス・シーザー の発明でクレジットされています シーザー暗号 c。紀元前50年。メッセージが悪意のある人の手に渡った場合に、彼の秘密のメッセージが読まれないようにするために作成されました。ただし、ほとんどの場合、保護は手続き型処理制御の適用によって達成されました。[18][19] 機密情報は、信頼できる人によって保護および輸送され、保護され、安全な環境または強力な箱に保管されるべきであることを示すためにマークアップされました。郵便サービスが拡大するにつれ、政府は手紙を傍受、解読、読み取り、再封するための公式組織を設立しました(例:1653年に設立された英国の秘密事務所)[20]).

19世紀半ばにはもっと複雑になります 分類システム 政府が機密性の程度に応じて情報を管理できるようにするために開発されました。たとえば、英国政府はこれをある程度、 公務秘密法 1889年。[21] 法律のセクション1はスパイ行為と情報の違法な開示に関するものであり、セクション2は公式の信頼の侵害を扱っていました。国家の利益のために開示を擁護するために、公益防衛がすぐに追加されました。[22] 同様の法律が1889年にインドで可決されました。これは、英国植民地時代に関連し、ラージの政策に反対する新聞を取り締まるために使用されたインド公務秘密法です。新しいバージョンが1923年に渡され、ガバナンスのための機密情報または秘密情報のすべての問題に拡張されました。[23]

の時までに 第一次世界大戦、多層分類システムを使用して、さまざまなフロントとの間で情報をやり取りしました。これにより、外交および軍事本部でのコード作成および解読セクションの使用が促進されました。情報のスクランブルとスクランブル解除にマシンが採用されたため、戦争の合間にエンコーディングはより洗練されたものになりました。連合国が共有する情報の量 第二次世界大戦 分類システムと手続き型制御の正式な調整が必要でした。不可解な範囲のマーキングは、誰が文書を処理できるか(通常、入隊した軍隊ではなく役員)、そしてますます複雑になる金庫や保管施設が開発されたときに文書をどこに保管すべきかを示すために進化しました。ザ・ エニグママシン、これは戦争のデータを暗号化するためにドイツ人によって採用され、 アランチューリングは、セキュリティで保護された情報を作成および使用する際の印象的な例と見なすことができます。[24] 文書が適切に破壊されることを確実にするために手順が進化しました、そしてそれは戦争の最大の諜報クーデターのいくつかにつながったこれらの手順に従わなかったのです(例えば、 U-570[24]).

20世紀の終わりと21世紀の初めには、 電気通信、コンピューティング ハードウェア そして ソフトウェア、およびデータ 暗号化。より小さく、より強力で、より安価なコンピューティング機器が利用可能になりました 電子データ処理 の手の届く範囲内 小規模なビジネス およびホームユーザー。[要出典] 1980年代初頭に転送制御プロトコル/インターネットワークプロトコル(TCP / IP)が確立されたことで、さまざまな種類のコンピューターが通信できるようになりました。[25] これらのコンピュータはすぐに相互接続されました インターネット.

電子データ処理の急速な成長と普及、 エレクトロニクスビジネス インターネットを介して行われ、国際的な多くの出来事とともに テロ、コンピュータとそれらが保存、処理、送信する情報を保護するためのより良い方法の必要性を煽った。[26] の学問分野 コンピュータセキュリティ そして 情報保証 多数の専門組織とともに出現し、すべてがセキュリティと信頼性を確保するという共通の目標を共有しています。 情報システム.

基本理念

重要な概念

ロシアによる情報セキュリティを促進するポスター 国防省

機密性、整合性、および可用性のCIAトライアドは、情報セキュリティの中心です。[27] (従来のInfoSecトライアドのメンバー(機密性、整合性、可用性)は、文献ではセキュリティ属性、プロパティ、セキュリティ目標、基本的な側面、情報基準、重要な情報特性、および基本的な構成要素と同じ意味で呼ばれています。)ただし、議論は続いています。このCIAトライアドが、急速に変化するテクノロジーとビジネスの要件に対応するのに十分であるかどうかについて、可用性と機密性の交差点、およびセキュリティとプライバシーの関係を拡大することを検討することをお勧めします。[10] 「説明責任」などの他の原則が提案されることもあります。次のような問題が指摘されています 否認防止 3つのコアコンセプトにうまく適合しません。[28]

トライアドは最初に言及されたようです NIST 1977年に出版。[29]

1992年に改訂され、2002年に改訂されました。 OECD情報システムとネットワークのセキュリティに関するガイドライン[30] 一般的に受け入れられている9つの原則を提案しました。 意識、責任、対応、倫理、民主主義、リスク評価、セキュリティの設計と実装、セキュリティ管理、および再評価。それらに基づいて、2004年に NIST情報技術セキュリティのエンジニアリング原則[28] 33の原則を提案した。これらの派生ガイドラインと実践のそれぞれから。

1998年、 ドン・パーカー 彼が呼んだ古典的なCIAトライアドの代替モデルを提案しました 情報の6つの原子要素。要素は 守秘義務, 所持, 完全性, 信憑性, 可用性、および ユーティリティ。のメリット パーケリアンヘキサド セキュリティの専門家の間で議論の対象となっています。[31]

2011年に、 オープングループ 情報セキュリティマネジメント規格を公開 O-ISM3.[32] この規格は、 運用上の定義 「セキュリティ目標」と呼ばれる要素を含む、セキュリティの主要な概念の アクセス制御 (9), 可用性 (3), データ品質 (1), コンプライアンス および技術的(4)。 2009年に、 国防総省 ソフトウェア保護イニシアチブ リリースされた サイバーセキュリティの3つの信条 これは、システムの感受性、欠陥へのアクセス、および欠陥を悪用する機能です。[33][34][35] これらのモデルはどちらも広く採用されていません。

守秘義務

情報セキュリティにおいて、機密性とは「情報が許可されていない個人、エンティティ、またはプロセスに提供または開示されないという財産です」。[36] 「プライバシー」に似ていますが、2つの単語は互換性がありません。むしろ、機密性は、許可されていない閲覧者からデータを保護するために実装されるプライバシーのコンポーネントです。侵害されている電子データの機密性の例には、ラップトップの盗難、パスワードの盗難、または誤った個人に送信される機密性の高い電子メールが含まれます。[37]

誠実さ

情報セキュリティでは、 データの整合性 ライフサイクル全体にわたってデータの正確性と完全性を維持および保証することを意味します。[38] これは、データを不正または検出されない方法で変更できないことを意味します。これはと同じものではありません 参照整合性データベース、古典で理解されているように一貫性の特別なケースと見なすことができますが のモデル トランザクション処理。情報セキュリティシステムは通常、機密性とともにメッセージの整合性を提供します。

可用性

情報システムがその目的を果たすためには、情報は次のようになっている必要があります。 利用可能 必要なとき。これは、情報の保存と処理に使用されるコンピューティングシステムを意味します。 セキュリティ管理 それを保護するために使用され、それにアクセスするために使用される通信チャネルは正しく機能している必要があります。 高可用性 システムは、停電、ハードウェア障害、およびシステムアップグレードによるサービスの中断を防ぎ、常に利用可能な状態を維持することを目的としています。可用性の確保には、防止も含まれます サービス拒否攻撃、ターゲットシステムへの着信メッセージのフラッドなど、基本的にシステムを強制的にシャットダウンします。[39]

情報セキュリティの分野では、可用性は、成功する情報セキュリティプログラムの最も重要な部分の1つと見なされることがよくあります。最終的に、エンドユーザーは職務を遂行できる必要があります。可用性を確保することにより、組織は組織の利害関係者が期待する基準を実行できます。これには、プロキシ構成、外部Webアクセス、共有ドライブにアクセスする機能、電子メールを送信する機能などのトピックが含まれる場合があります。多くの場合、経営幹部は情報セキュリティの技術的側面を理解しておらず、可用性を簡単な解決策と見なしていますが、これには、ネットワーク運用、開発運用、インシデント対応、ポリシー/変更管理など、さまざまな組織チームのコラボレーションが必要になることがよくあります。情報セキュリティチームを成功させるには、CIAトライアドを効果的に提供するために、さまざまな重要な役割を組み合わせて調整する必要があります。

否認防止

法定上の、 否認防止 契約に対する義務を履行する意図を意味します。また、トランザクションの一方の当事者がトランザクションの受信を拒否することも、他方の当事者がトランザクションの送信を拒否することもできないことを意味します。[40]

暗号化システムなどのテクノロジーは否認防止の取り組みを支援できますが、この概念は、テクノロジーの領域を超えた法的な概念の中核であることに注意することが重要です。たとえば、メッセージが送信者の秘密鍵で署名されたデジタル署名と一致することを示すだけでは不十分であるため、送信者だけがメッセージを送信でき、他の誰もメッセージを転送中に変更できませんでした(データの整合性)。申し立てられた送信者は、その見返りに、デジタル署名アルゴリズムが脆弱または欠陥があることを示したり、署名キーが侵害されたと主張または証明したりする可能性があります。これらの違反の過失は送信者にある場合とない場合があり、そのような主張は送信者の責任を軽減する場合としない場合がありますが、署名は必然的に信頼性と整合性を証明するという主張を無効にします。そのため、送信者はメッセージを否認する可能性があります(否認防止の前提条件は信頼性と整合性であるため)。

危機管理

大まかに言えば、リスクとは、情報資産に害を及ぼす(または資産の損失を引き起こす)何か悪いことが起こる可能性です。脆弱性とは、情報資産を危険にさらしたり、危害を加えたりするために使用される可能性のある弱点です。脅威は何でもあります(人工または 自然災害)害を及ぼす可能性がある。脅威が脆弱性を使用して危害を加える可能性は、リスクを生み出します。脅威が脆弱性を使用して危害を加える場合、影響があります。情報セキュリティのコンテキストでは、影響は可用性、整合性、機密性の喪失であり、場合によってはその他の喪失(収入の喪失、人命の喪失、不動産の喪失)です。[41]

ザ・ 公認情報システム監査人 (CISA)レビューマニュアル2006 定義する 危機管理 「識別するプロセス 脆弱性 そして 脅威 組織がビジネス目標を達成し、何を決定するために使用する情報リソースに 対策、もしあれば、組織にとっての情報リソースの価値に基づいて、リスクを許容可能なレベルまで削減することを取り入れること。」[42]

この定義には、いくつかの説明が必要な2つのことがあります。まず、 処理する リスク管理は継続的で反復的です 処理する。それは無期限に繰り返されなければなりません。ビジネス環境は常に変化し、新しい 脅威 そして 脆弱性 毎日出現します。第二に、 対策 (コントロール)リスクを管理するために使用されるものは、生産性、コスト、対策の有効性、および保護されている情報資産の価値の間でバランスを取る必要があります。さらに、セキュリティ違反は一般にまれであり、簡単に複製できない特定のコンテキストで発生するため、これらのプロセスには制限があります。したがって、プロセスと対策自体を脆弱性について評価する必要があります。[43] すべてのリスクを特定することも、すべてのリスクを排除することもできません。残りのリスクは「残留リスク」と呼ばれます。

A リスクアセスメント ビジネスの特定の分野の知識を持っている人々のチームによって実行されます。チームのメンバーシップは、ビジネスのさまざまな部分が評価されるため、時間の経過とともに変化する可能性があります。評価では、情報に基づいた意見に基づく主観的な定性分析を使用する場合があります。または、信頼できるドルの数値と履歴情報が利用できる場合、分析では次のように使用できます。 定量的 分析。

調査によると、ほとんどの情報システムで最も脆弱な点は、人間のユーザー、オペレーター、設計者、またはその他の人間です。[44] ザ・ ISO / IEC 27002:2005 の実践規範 情報セキュリティ管理 リスク評価中に以下を検討することをお勧めします。

大まかに言えば、リスク管理プロセスは次のもので構成されます。[45][46]

  1. 資産の特定とその価値の見積もり。含める:人、建物、ハードウェア、ソフトウェア、データ(電子、印刷、その他)、消耗品。
  2. 実施する 脅威の評価。含まれるもの:自然の行為、戦争の行為、事故、組織の内外から発生する悪意のある行為。
  3. 実施する 脆弱性評価、および各脆弱性について、それが悪用される確率を計算します。ポリシー、手順、基準、トレーニングを評価し、 物理的セキュリティ, 品質管理、技術的なセキュリティ。
  4. 各脅威が各資産に与える影響を計算します。定性分析または定量分析を使用します。
  5. 適切なコントロールを特定、選択、および実装します。比例応答を提供します。生産性、費用対効果、および資産の価値を考慮してください。
  6. 管理措置の有効性を評価します。コントロールが、生産性を著しく損なうことなく、必要な費用効果の高い保護を提供することを確認します。

特定のリスクについて、経営陣は、資産の価値が比較的低く、発生頻度が比較的低く、ビジネスへの影響が比較的低いことに基づいて、リスクを受け入れることを選択できます。または、リーダーシップは、リスクを軽減するための適切な管理手段を選択して実装することにより、リスクを軽減することを選択する場合があります。場合によっては、保険を購入したり、別の事業にアウトソーシングしたりすることで、リスクを別の事業に移すことができます。[47] いくつかのリスクの現実は論争されるかもしれません。そのような場合、リーダーシップはリスクを否定することを選択するかもしれません。

セキュリティ管理

適切なセキュリティ管理策を選択して実装することは、最初は組織がリスクを許容可能なレベルまで下げるのに役立ちます。コントロールの選択は従うべきであり、リスク評価に基づくべきです。コントロールは性質が異なる場合がありますが、基本的には、情報の機密性、整合性、または可用性を保護する方法です。 ISO / IEC 27001 さまざまな分野でコントロールを定義しています。組織は、組織の要件に応じて追加の制御を実装できます。YEEZY 700V3イージーブースト350 slide FOAM RUNNER ISO / IEC 27002 組織の情報セキュリティ基準のガイドラインを提供します。

管理

管理制御は、承認された書面によるポリシー、手順、標準、およびガイドラインで構成されます。管理制御は、ビジネスを運営し、人々を管理するためのフレームワークを形成します。彼らは、ビジネスがどのように運営されるべきか、そして日常業務がどのように行われるべきかについて人々に知らせます。政府機関によって作成された法規制も、ビジネスに情報を提供するため、一種の行政管理です。一部の産業部門には、従わなければならないポリシー、手順、基準、およびガイドラインがあります– ペイメントカード業界のデータセキュリティ標準[49] (PCI DSS)が必要 ビザ そして MasterCard そのような例です。管理制御の他の例には、企業のセキュリティポリシーが含まれます。 パスワードポリシー、採用方針、および懲戒方針。

管理制御は、論理的および物理的制御の選択と実装の基礎を形成します。論理的および物理的制御は、最も重要な管理制御の現れです。

論理的

論理制御(技術制御とも呼ばれます)は、ソフトウェアとデータを使用して、情報とコンピューティングシステムへのアクセスを監視および制御します。パスワード、ネットワークおよびホストベースのファイアウォール、ネットワーク 侵入検知 システム、 アクセス制御リスト、およびデータ暗号化は、論理制御の例です。

見過ごされがちな重要な論理制御は、最小特権の原則です。これは、個人、プログラム、またはシステムプロセスに、タスクの実行に必要な以上のアクセス特権を付与しないことを要求します。[50] 最小特権の原則を順守できなかった露骨な例は、ユーザー管理者としてWindowsにログインして、電子メールを読んだりWebを閲覧したりすることです。この原則への違反は、個人が時間の経過とともに追加のアクセス権限を収集した場合にも発生する可能性があります。これは、従業員の職務が変更された場合、従業員が新しい役職に昇進した場合、または従業員が別の部門に異動した場合に発生します。新しい職務に必要なアクセス権限は、既存のアクセス権限に頻繁に追加されますが、これはもはや必要ではないか、適切ではない可能性があります。

物理的

物理的制御は、職場とコンピューティング施設の環境を監視および制御します。また、そのような施設へのアクセスと施設からのアクセスを監視および制御し、ドア、ロック、冷暖房、煙と火災警報、消火システム、カメラ、バリケード、フェンシング、警備員、ケーブルロックなどが含まれます。ネットワークと職場の分離機能領域への物理的な制御もあります。

見過ごされがちな重要な物理的管理は、職務の分離です。これにより、個人が自分で重要なタスクを完了できないようになります。たとえば、払い戻しのリクエストを送信する従業員は、支払いを承認したり、小切手を印刷したりすることもできません。アプリケーションプログラマーは、 サーバー管理者 または データベース管理者;これらの役割と責任は互いに分離する必要があります。[51]

多層防御

ザ・ タマネギモデル 多層防御

情報セキュリティは、情報の最初の作成から最終的な廃棄まで、その存続期間を通じて情報を保護する必要があります。移動中および静止中は、情報を保護する必要があります。その存続期間中、情報は多くの異なる情報処理システムを通過し、情報処理システムの多くの異なる部分を通過する可能性があります。情報および情報システムが脅かされる可能性のあるさまざまな方法があります。情報をその存続期間中に完全に保護するには、情報処理システムの各コンポーネントに独自の保護メカニズムが必要です。セキュリティ対策の構築、階層化、重複は「多層防御」と呼ばれます。多層防御戦略は、最も弱いリンクと同じくらい強いことで有名な金属チェーンとは対照的に、1つの防御手段が失敗した場合に、他の手段が引き続き保護を提供する構造を目指しています。[52]

管理制御、論理制御、および物理制御に関する以前の説明を思い出してください。 3種類のコントロールを使用して、多層防御戦略を構築するための基礎を形成できます。このアプローチでは、多層防御は、3つの異なるレイヤーまたは平面を重ねて配置することで概念化できます。多層防御についての追加の洞察は、タマネギのコア、タマネギの次の外側の層、および ネットワークセキュリティー、ホストベースのセキュリティと アプリケーションのセキュリティ タマネギの最外層を形成します。どちらの視点も等しく有効であり、それぞれが多層防御戦略の実装に関する貴重な洞察を提供します。

情報のセキュリティ分類

情報セキュリティとリスク管理の重要な側面は、情報の価値を認識し、情報の適切な手順と保護要件を定義することです。すべての情報が等しいわけではないため、すべての情報が同じ程度の保護を必要とするわけではありません。これには、情報を割り当てる必要があります セキュリティ分類。情報分類の最初のステップは、分類される特定の情報の所有者として上級管理職のメンバーを特定することです。次に、分類ポリシーを作成します。ポリシーでは、さまざまな分類ラベルを記述し、特定のラベルを割り当てる情報の基準を定義し、必要なものをリストする必要があります。 セキュリティ管理 分類ごとに。[53]

どの分類情報を割り当てるかを左右するいくつかの要因には、その情報が組織にとってどれだけの価値があるか、情報がどれくらい古いか、情報が陳腐化したかどうかなどがあります。法律やその他の規制要件も、情報を分類する際の重要な考慮事項です。ザ・ 情報システム監査管理協会 (ISACA)とその 情報セキュリティのビジネスモデル また、セキュリティの専門家がシステムの観点からセキュリティを検討するためのツールとしても機能し、セキュリティを総合的に管理できる環境を構築し、実際のリスクに対処できるようにします。[54]

選択および使用される情報セキュリティ分類ラベルの種類は、組織の性質によって異なります。例は次のとおりです。[53]

  • ビジネス部門では、次のようなラベル:パブリック、センシティブ、プライベート、機密。
  • 政府部門では、次のようなラベル:未分類、非公式、保護、機密、秘密、極秘、およびそれらの英語以外の同等物。
  • 部門横断的なフォーメーションでは、 トラフィックライトプロトコル、これは、白、緑、琥珀、赤で構成されています。

組織内のすべての従業員とビジネスパートナーは、分類スキーマのトレーニングを受け、各分類に必要なセキュリティ管理と処理手順を理解している必要があります。割り当てられた特定の情報資産の分類を定期的に確認して、分類が情報に適切であることを確認し、分類に必要なセキュリティ管理が実施され、適切な手順に従っていることを確認する必要があります。

アクセス制御

保護された情報へのアクセスは、情報へのアクセスを許可された人に制限する必要があります。コンピュータプログラム、および多くの場合、情報を処理するコンピュータも許可されている必要があります。これには、保護された情報へのアクセスを制御するメカニズムが整っている必要があります。アクセス制御メカニズムの洗練度は、保護されている情報の価値と同等である必要があります。情報の機密性や価値が高いほど、制御メカニズムを強化する必要があります。アクセス制御メカニズムが構築される基盤は、識別と 認証.

アクセス制御は一般的に3つのステップで考慮されます:識別、 認証、および 承認.[37]

識別

識別とは、誰かが誰であるか、または何かが何であるかを主張することです。人が「こんにちは、私の名前は ジョン・ドウ「彼らは自分が誰であるかを主張しています。しかし、彼らの主張は真実である場合とそうでない場合があります。JohnDoeが保護された情報へのアクセスを許可される前に、JohnDoeであると主張する人物が本当にJohnDoeであることを確認する必要があります。 。通常、申し立てはユーザー名の形式で行われます。そのユーザー名を入力すると、「私はそのユーザー名が属する人物です」と申し立てることになります。

認証

認証は、身元の主張を検証する行為です。 John Doeが引き出しを行うために銀行に入るとき、彼は 銀行の出納係 彼は、アイデンティティの主張であるJohnDoeです。銀行の出納係は写真付きの身分証明書を確認するように求めたので、出納係に 運転免許証。銀行の出納係は、ライセンスをチェックしてJohn Doeが印刷されていることを確認し、ライセンスの写真をJohnDoeであると主張する人物と比較します。写真と名前が人物と一致する場合、出納係はジョン・ドーが彼が主張した人物であることを認証しました。同様に、正しいパスワードを入力することにより、ユーザーは自分がユーザー名の所属者であるという証拠を提供します。

認証に使用できる情報には、次の3つのタイプがあります。

強力な認証では、複数の種類の認証情報を提供する必要があります(2要素認証)。ザ・ ユーザー名 は今日のコンピュータシステムで最も一般的なIDの形式であり、パスワードは最も一般的な認証の形式です。ユーザー名とパスワードはその目的を果たしてきましたが、ますます不十分になっています。[55] ユーザー名とパスワードは、次のようなより高度な認証メカニズムに徐々に置き換えられたり、補足されたりしています。 時間ベースのワンタイムパスワードアルゴリズム.

承認

人、プログラム、またはコンピューターが正常に識別および認証されたら、アクセスを許可する情報リソースと、実行を許可するアクション(実行、表示、作成、削除、または変更)を決定する必要があります。これは呼ばれます 承認。情報やその他のコンピューティングサービスにアクセスするための承認は、管理ポリシーと手順から始まります。ポリシーは、どの情報およびコンピューティングサービスに、誰が、どのような条件下でアクセスできるかを規定しています。次に、アクセス制御メカニズムは、これらのポリシーを適用するように構成されます。さまざまなコンピューティングシステムには、さまざまな種類のアクセス制御メカニズムが装備されています。いくつかは、異なるアクセス制御メカニズムの選択を提供することさえあります。システムが提供するアクセス制御メカニズムは、アクセス制御への3つのアプローチのいずれかに基づくか、3つのアプローチの組み合わせから派生する場合があります。[37]

非裁量的アプローチは、集中管理下ですべてのアクセス制御を統合します。情報やその他のリソースへのアクセスは、通常、組織内の個人の機能(役割)または個人が実行する必要のあるタスクに基づいています。裁量的アプローチにより、情報リソースの作成者または所有者は、それらのリソースへのアクセスを制御できます。強制アクセス制御アプローチでは、情報リソースに割り当てられたセキュリティ分類に基づいてアクセスが許可または拒否されます。

現在使用されている一般的なアクセス制御メカニズムの例には、次のものがあります。 ロールベースのアクセス制御、多くの高度なデータベース管理システムで利用可能。シンプル ファイルのアクセス許可 UNIXおよびWindowsオペレーティングシステムで提供されます。 グループポリシーオブジェクト Windowsネットワークシステムで提供されます。そして Kerberos, 半径, TACACS、および多くで使用される単純なアクセスリスト ファイアウォール そして ルーター.

効果的にするには、ポリシーおよびその他のセキュリティ制御が実施可能であり、支持されている必要があります。効果的なポリシーにより、人々は自分の行動に責任を持つことができます。ザ・ 米国財務省たとえば、機密情報や専有情報を処理するシステムに関するのガイドラインでは、認証とアクセスの試行の失敗と成功はすべてログに記録する必要があり、情報へのすべてのアクセスは何らかの種類の情報を残す必要があると述べています。 監査証跡.[56]

また、アクセス制御について話すときは、知る必要の原則が有効である必要があります。この原則は、職務を遂行するためのアクセス権を人に与えます。この原則は、政府で差異クリアランスを処理するときに使用されます。異なる部門の2人の従業員が 極秘クリアランス、情報を交換するためには、知っておく必要があります。知る必要のある原則の範囲内で、ネットワーク管理者は、従業員が想定以上にアクセスできないようにするために、従業員に最小限の特権を付与します。知る必要があることは、機密性-整合性-可用性のトライアドを実施するのに役立ちます。知る必要があることは、トライアドの機密領域に直接影響します。

暗号化

情報セキュリティの用途 暗号化 使用可能な情報を、許可されたユーザー以外の誰もが使用できないようにする形式に変換するため。このプロセスはと呼ばれます 暗号化。暗号化された(使用不可にレンダリングされた)情報は、を所有する許可されたユーザーが元の使用可能な形式に戻すことができます。 暗号化キー、復号化のプロセスを通じて。暗号化は、情報セキュリティで使用され、許可されていない、または偶発的な開示から情報を保護します。 情報 転送中(電子的または物理的)で、情報が保存されている間。[37]

暗号化は、改善された認証方法、メッセージダイジェスト、デジタル署名など、他の便利なアプリケーションでも情報セキュリティを提供します。 否認防止、および暗号化されたネットワーク通信。次のような古くて安全性の低いアプリケーション Telnet そして ファイル転送プロトコル (FTP)は、次のようなより安全なアプリケーションに徐々に置き換えられています。 セキュアシェル (SSH)暗号化されたネットワーク通信を使用します。ワイヤレス通信は、次のようなプロトコルを使用して暗号化できます WPA / WPA2 または古い(そして安全性が低い) WEP。有線通信(など ITU‑T G.hn)を使用して保護されます AES 暗号化と X.1035 認証と鍵交換のため。などのソフトウェアアプリケーション GnuPG または PGP データファイルと電子メールの暗号化に使用できます。

暗号化は、正しく実装されていない場合、セキュリティの問題を引き起こす可能性があります。暗号化ソリューションは、暗号化の独立した専門家による厳格なピアレビューを受けた業界で認められたソリューションを使用して実装する必要があります。ザ・ 長さと強さ 暗号化キーの使用も重要な考慮事項です。であるキー 弱い または短すぎると、暗号化が弱くなります。暗号化と復号化に使用されるキーは、他の機密情報と同じ程度の厳密さで保護する必要があります。それらは、許可されていない開示や破壊から保護され、必要なときに利用可能でなければなりません。 公開鍵インフラストラクチャ (PKI)ソリューションは、周囲の問題の多くに対処します VBESTLIFE F型接栓取付工具 同軸圧縮ツールFヘッド 耐摩耗性 超耐久性RG59 RG6コネクタ 同軸ケーブルストリッパ.[37]

処理する

「合理的で賢明な人」という用語は、十分な注意「デューデリジェンス」は、金融、証券、法律の分野で長年使用されてきました。近年、これらの用語は、コンピューティングおよび情報セキュリティの分野に浸透しています。[46] 我ら。 連邦量刑ガイドライン 情報システムの管理において、十分な注意とデューデリジェンスを怠ったことに対して執行役員に責任を負わせることが可能になりました。[57]

ビジネスの世界では、株主、顧客、ビジネスパートナー、および政府は、執行役員が認められた商慣行に従い、法律およびその他の規制要件に従って事業を運営することを期待しています。これはしばしば「合理的で慎重な人」のルールとして説明されます。賢明な人は、健全なビジネス原則と法的、倫理的な方法でビジネスを運営するために必要なすべてが行われるように十分な注意を払います。賢明な人はまた、ビジネスの適切な世話に勤勉です(注意深く、注意深く、継続的です)。

情報セキュリティの分野では、ハリス[58]デューケアとデューデリジェンスの次の定義を提供します。

「十分な注意とは、企業が企業内で行われる活動に責任を負い、企業、そのリソース、および従業員を保護するために必要な措置を講じたことを示すために講じられる措置です。」 そして、[デューデリジェンスは] 「保護メカニズムが継続的に維持され、運用されていることを確認する継続的な活動。」

これらの定義の2つの重要な点に注意を払う必要があります。まず、十分な注意を払って、表示するための手順が実行されます。これは、ステップを検証、測定、または具体的なアーティファクトを生成できることを意味します。第二に、デューデリジェンスでは、継続的な活動があります。これは、人々が実際に保護メカニズムを監視および維持するために何かをしていることを意味し、これらの活動は継続しています。

組織は、情報セキュリティを適用する際に注意義務を実践する責任があります。注意義務リスク分析基準(DoCRA)[59] リスクを評価するための原則と実践を提供します。これらのリスクの影響を受ける可能性のあるすべての関係者を考慮します。 DoCRAは、合理的な負担を提示しながら、他者を危害から保護するのに適切である場合、セーフガードを評価するのに役立ちます。データ漏えい訴訟の増加に伴い、企業はセキュリティ管理、コンプライアンス、およびその使命のバランスを取る必要があります。

セキュリティガバナンス

ザ・ ソフトウェア工学研究所カーネギーメロン大学、というタイトルの出版物で Governing for Enterprise Security(GES)実装ガイド、効果的なセキュリティガバナンスの特性を定義します。これらには以下が含まれます:[60]

  • 全社的な問題
  • リーダーは責任があります
  • ビジネス要件と見なされる
  • リスクベース
  • 定義された役割、責任、および職務の分離
  • ポリシーで対処および実施
  • コミットされた適切なリソース
  • スタッフは認識し、訓練を受けています
  • 開発ライフサイクルの要件
  • 計画、管理、測定、および測定
  • レビューと監査

インシデント対応計画

インシデント対応計画は、サイバー攻撃に対する組織の反応を指示するポリシーのグループです。セキュリティ違反が特定されると、計画が開始されます。データ漏えいには法的な影響がある可能性があることに注意することが重要です。地方および連邦の法律を知ることは重要です。すべての計画は組織のニーズに固有のものであり、ITチームの一部ではないスキルセットが含まれる場合があります。たとえば、データ侵害への法的影響をナビゲートするのに役立つ弁護士を対応計画に含めることができます。[61]

上記のように、すべてのプランは一意ですが、ほとんどのプランには次のものが含まれます。[62]

準備

適切な準備には、インシデント対応チーム(IRT)の開発が含まれます。このチームが使用する必要のあるスキルは、侵入テスト、コンピューターフォレンジック、ネットワークセキュリティなどです。このチームは、サイバーセキュリティと最新の攻撃戦略の傾向も追跡する必要があります。エンドユーザー向けのトレーニングプログラムは重要であり、最新の攻撃戦略のほとんどはネットワーク上のユーザーを対象としています。[62]

識別

インシデント対応計画のこの部分は、セキュリティイベントが発生したかどうかを識別します。エンドユーザーが情報を報告したり、管理者が不正に気付いたりすると、調査が開始されます。インシデントログは、このステップの重要な部分です。チームのすべてのメンバーは、情報ができるだけ速く流れるように、このログを更新する必要があります。セキュリティ違反が発生したことが確認された場合は、次の手順を実行する必要があります。[63]

封じ込め

このフェーズでは、IRTは、セキュリティイベントの範囲を制限するために、違反が発生した領域を分離するように機能します。このフェーズでは、情報を法医学的に保存して、プロセスの後半で分析できるようにすることが重要です。封じ込めは、サーバールームを物理的に封じ込めるような単純なものから、ウイルスの拡散を許可しないようにネットワークをセグメント化するような複雑なものまであります。[64]

根絶

これは、特定された脅威が影響を受けるシステムから削除される場所です。これには、悪意のあるファイルの削除、侵害されたアカウントの終了、または他のコンポーネントの削除の使用が含まれる可能性があります。一部のイベントはこのステップを必要としませんが、このステップに進む前にイベントを完全に理解することが重要です。これは、脅威が完全に除去されることを保証するのに役立ちます。[64]

回復

この段階では、システムが元の操作に復元されます。この段階には、データの回復、ユーザーアクセス情報の変更、または将来の侵害を防ぐためのファイアウォールルールまたはポリシーの更新が含まれる可能性があります。この手順を実行しなくても、システムは将来のセキュリティの脅威に対して脆弱になる可能性があります。[64]

学んだ教訓

このステップでは、このプロセス中に収集された情報を使用して、セキュリティに関する将来の決定を行います。このステップは、将来のイベントを確実に防止するために重要です。この情報を使用して管理者をさらにトレーニングすることは、プロセスにとって重要です。このステップは、セキュリティイベントを経験した他のエンティティから配布された情報を処理するためにも使用できます。[65]

変更管理

変更管理は、情報処理環境への変更を指示および制御するための正式なプロセスです。これには、デスクトップコンピューター、ネットワーク、サーバー、およびソフトウェアの変更が含まれます。変更管理の目的は、情報処理環境の変更によってもたらされるリスクを軽減し、変更が行われたときの処理環境の安定性と信頼性を向上させることです。変更管理の目的は、必要な変更の実装を防止または妨害することではありません。[66]

情報処理環境に変更を加えると、リスクの要素が生じます。明らかに単純な変更でさえ、予期しない影響を与える可能性があります。経営者の多くの責任の1つは、リスクの管理です。変更管理は、情報処理環境の変更によって生じるリスクを管理するためのツールです。変更管理プロセスの一部は、重要なビジネスプロセスを混乱させたり、実装されている他の変更を妨害したりする可能性のある不適切なタイミングで変更が実装されないようにします。

すべての変更を管理する必要はありません。ある種の変更は、情報処理の日常業務の一部であり、事前定義された手順に準拠しているため、処理環境に対する全体的なリスクレベルが低下します。新しいユーザーアカウントの作成や新しいデスクトップコンピューターの展開は、通常は変更管理を必要としない変更の例です。ただし、ユーザーファイル共有の再配置、または電子メールサーバーのアップグレードは、処理環境にはるかに高いレベルのリスクをもたらし、通常の日常的な活動ではありません。変更管理の重要な最初のステップは、(a)変更を定義する(そしてその定義を伝達する)ことと、(b)変更システムの範囲を定義することです。

変更管理は通常、主要なビジネス領域、セキュリティ、ネットワーキング、システム管理者、データベース管理、アプリケーション開発者、デスクトップサポート、およびヘルプデスクの代表者で構成される変更レビュー委員会によって監督されます。自動化されたワークフローアプリケーションを使用すると、変更レビューボードのタスクを容易にすることができます。変更レビュー委員会の責任は、組織の文書化された変更管理手順に従っていることを確認することです。変更管理プロセスは次のとおりです[67]

  • リクエスト: 誰でも変更をリクエストできます。変更要求を行う人は、分析を実行したり、変更を実装したりする人と同じである場合とそうでない場合があります。変更のリクエストを受け取った場合、リクエストされた変更が組織と互換性があるかどうかを判断するために予備審査を受ける場合があります 事業の型 と実践、および変更を実装するために必要なリソースの量を決定します。
  • 承認: 管理者はビジネスを実行し、リソースの割り当てを制御します。したがって、管理者は変更の要求を承認し、すべての変更に優先順位を割り当てる必要があります。変更がビジネスモデル、業界標準、またはベストプラクティスと互換性がない場合、経営陣は変更要求を拒否することを選択する場合があります。管理者は、変更に割り当て可能なリソースよりも多くのリソースが変更に必要な場合、変更要求を拒否することも選択できます。
  • 予定: 変更の計画には、提案された変更の範囲と影響を発見することが含まれます。変更の複雑さを分析する。リソースの割り当て、および実装計画とバックアウト計画の両方の開発、テスト、および文書化。バックアウトの決定が下される基準を定義する必要があります。
  • テスト: すべての変更は、変更を実稼働環境に適用する前に、実際の実稼働環境を厳密に反映する安全なテスト環境でテストする必要があります。バックアウト計画もテストする必要があります。
  • スケジュール: 変更レビュー委員会の責任の一部は、他のスケジュールされた変更または重要なビジネス活動との潜在的な競合について提案された実装日をレビューすることにより、変更のスケジュールを支援することです。
  • コミュニケーション: 変更がスケジュールされたら、それを通知する必要があります。コミュニケーションは、変更をスケジュールするときに見落とされた可能性のある他の変更または重要なビジネス活動について、変更レビュー委員会に思い出させる機会を他の人に与えることです。このコミュニケーションは、ヘルプデスクとユーザーに変更が発生しようとしていることを知らせるのにも役立ちます。変更審査委員会のもう1つの責任は、スケジュールされた変更が、変更の影響を受けるか、変更に関心を持つ人々に適切に伝達されていることを確認することです。
  • 実装: 指定された日時に、変更を実装する必要があります。計画プロセスの一部は、実装計画、テスト計画、およびバックアウト計画を作成することでした。変更の実装が失敗した場合、実装後のテストが失敗した場合、または他の「ドロップデッド」基準が満たされた場合は、バックアウト計画を実装する必要があります。
  • 資料: すべての変更を文書化する必要があります。文書には、変更の最初の要求、その承認、それに割り当てられた優先順位、実装、テストおよびバックアウト計画、変更レビュー委員会の批評の結果、変更が実装された日時、誰がそれを実装したか、およびが含まれます。変更が正常に実装されたか、失敗したか、延期されたか。
  • 変更後のレビュー: 変更レビュー委員会は、変更の実装後レビューを開催する必要があります。失敗して取り消された変更を確認することは特に重要です。審査委員会は、発生した問題を理解し、改善すべき領域を探すように努める必要があります。

従うのが簡単で使いやすい変更管理手順は、情報処理環境に変更が加えられたときに生じる全体的なリスクを大幅に減らすことができます。優れた変更管理手順は、変更が実装されるときに、変更の全体的な品質と成功を向上させます。これは、計画、ピアレビュー、文書化、およびコミュニケーションを通じて達成されます。

ISO / IEC 20000、The Visible OPS Handbook:4つの実用的で監査可能なステップでのITILの実装[68] (完全な本の要約)、[69] そして ITIL これらはすべて、効率的かつ効果的な変更管理プログラムの情報セキュリティを実装するための貴重なガイダンスを提供します。

事業継続性

事業継続管理(BCM)インシデントによる中断から組織の重要なビジネス機能を保護すること、または少なくとも影響を最小限に抑えることを目的とした取り決めに関係します。 BCMは、テクノロジーとビジネスを通常どおりビジネスの継続に対する現在の脅威と一致させるために、どの組織にとっても不可欠です。 BCMは組織に含まれている必要があります リスク分析 必要なすべてのビジネス機能が、ビジネス機能に対するあらゆるタイプの脅威が発生した場合に継続するために必要なものを備えていることを確認するように計画します。[70]

これには以下が含まれます。

  • 要件の分析。たとえば、重要なビジネス機能、依存関係、潜在的な障害点、潜在的な脅威、したがって組織にとって懸念されるインシデントまたはリスクを特定します。
  • 仕様、たとえば、最大許容停止期間。目標復旧時点(データ損失の最大許容期間)。
  • アーキテクチャと設計、たとえば、復元力(たとえば、ITシステムとプロセスを高可用性のためにエンジニアリングする、ビジネスを中断する可能性のある状況を回避または防止する)、インシデントおよび緊急管理(たとえば、施設からの避難、緊急サービスの呼び出し、トリアージ/状況の評価と復旧計画の呼び出し)、復旧(再構築など)、および不測の事態の管理(利用可能なリソースを使用して発生したものに積極的に対処する一般的な機能)。
  • 実装、たとえば、バックアップ、データ転送などの構成とスケジューリング、重要な要素の複製と強化。サービスおよび機器サプライヤーとの契約。
  • テスト、たとえば、さまざまなタイプ、コスト、および保証レベルのビジネス継続性の演習。
  • 管理、例えば、戦略の定義、目的と目標の設定;作業の計画と指示。資金、人員、その他のリソースの割り当て。他の活動と比較した優先順位付け。チームビルディング、リーダーシップ、コントロール、モチベーション、および他のビジネス機能や活動(IT、施設、人事、リスク管理、情報リスクとセキュリティ、運用など)との調整。状況を監視し、状況が変化したときに取り決めを確認および更新します。継続的な改善、学習、適切な投資を通じてアプローチを成熟させる。
  • 保証、例えば、指定された要件に対するテスト。重要なパラメータの測定、分析、報告。追加のテスト、レビュー、および監査を実施して、取り決めが呼び出された場合に計画どおりに進むという確信を高めます。

BCMは、インシデントの可能性と重大度の両方を低減することにより、災害関連のリスクを最小限に抑えるための幅広いアプローチを採用していますが、 災害復興計画 (DRP)は、災害後できるだけ早く事業を再開することに特に重点を置いています。災害発生直後に呼び出される災害復旧計画は、重要な復旧に必要な手順を示しています。 情報通信技術 (ICT)インフラストラクチャ。ディザスタリカバリ計画には、計画グループの確立、リスク評価の実行、優先順位の確立、回復戦略の開発、計画のインベントリとドキュメントの準備、検証基準と手順の開発、最後に計画の実装が含まれます。[71]

法令

プライバシーインターナショナル 2007年のプライバシーランキング
緑:保護と保護
赤:風土病監視協会

以下は、データ処理と情報セキュリティに重大な影響を及ぼした、またはもたらした、またはもたらすであろう世界のさまざまな地域の政府の法律および規制の部分的なリストです。重要な業界セクターの規制も、情報セキュリティに重大な影響を与える場合に含まれています。

  • イギリス 1998年データ保護法 個人に関連する情報の取得、保持、使用、または開示を含む、個人に関連する情報の処理の規制に関する新しい規定を作成します。欧州連合データ保護指令(EUDPD)では、すべてのE.U.メンバーは、保護を標準化するために国内規制を採用しています データのプライバシー EU全域の市民向け[72]
  • ザ・ コンピュータ誤用法 1990年は 英国議会 コンピュータ犯罪(ハッキングなど)を犯罪にする。この法律は、以下を含む他のいくつかの国のモデルとなっています。 オークランド アスレチックス ニューエラ キャップ そしてその アイルランド共和国は、その後独自の情報セキュリティ法を起草したときにインスピレーションを得ています。[73]
  • EUの データ保持指令 (無効)インターネットサービスプロバイダーと電話会社は、送信されたすべての電子メッセージと発信された電話に関するデータを6か月から2年間保持する必要がありました。[74]
  • ザ・ 家族教育の権利とプライバシー法 (FERPA)(20 U.S.C. § 1232 g; 34 CFR Part 99)は、学生の教育記録のプライバシーを保護する米国連邦法です。この法律は、米国教育省の該当するプログラムの下で資金を受け取るすべての学校に適用されます。一般的に、学校は、生徒の教育記録から情報を公開するために、親または資格のある生徒からの書面による許可を持っている必要があります。[75]
  • 監査人向けの連邦金融機関審査評議会(FFIEC)のセキュリティガイドラインでは、オンラインバンキングのセキュリティ要件を指定しています。[76]
  • ザ・ 医療保険の相互運用性と説明責任に関する法律 1996年の(HIPAA)では、電子医療取引の国内基準と、プロバイダー、健康保険プラン、および雇用者の国内識別子の採用が義務付けられています。さらに、医療提供者、保険提供者、雇用者は、健康データのセキュリティとプライバシーを保護する必要があります。[77]
  • ザ・ グラム・リーチ・ブライリー法 1999年の金融サービス近代化法としても知られる1999年の(GLBA)は、金融機関が収集、保持、および処理する個人の金融情報のプライバシーとセキュリティを保護します。[78]
  • のセクション404 2002年サーベンスオクスリー法(SOX) 上場企業は、各会計年度末に提出する年次報告書の財務報告に対する内部統制の有効性を評価する必要があります。最高情報責任者は、財務データを管理および報告するシステムのセキュリティ、正確性、および信頼性に責任を負います。この法律はまた、上場企業が彼らの評価の有効性を証明し、報告しなければならない独立監査人と関わることを要求しています。[79]
  • ザ・ ペイメントカード業界のデータセキュリティ標準(PCI DSS) 支払いアカウントのデータセキュリティを強化するための包括的な要件を確立します。これは、PCI Security StandardsCouncilの創設者である決済ブランドによって開発されました。 アメリカンエキスプレス, 金融サービスを発見する、JCB、MasterCard Worldwide、および Visaインターナショナル —一貫性のある幅広い採用を促進するため データセキュリティ グローバルベースでの対策。 PCI DSSは、セキュリティ管理、ポリシー、手順、 ネットワークアーキテクチャ、ソフトウェア設計およびその他の重要な保護手段。[80]
  • 状態 セキュリティ違反通知法 (カリフォルニアおよび他の多くの)企業、非営利団体、および州の機関は、暗号化されていない「個人情報」が危険にさらされたり、紛失したり、盗まれたりした可能性がある場合に消費者に通知する必要があります。[81]
  • 個人情報保護および電子文書法(ピペダ)of Canadaは、特定の状況で収集、使用、または開示される個人情報を保護し、情報またはトランザクションを通信または記録するための電子的手段の使用を提供し、 カナダ証拠法、法定文書法および法定改正法。[82]
  • ギリシャの通信セキュリティおよびプライバシーに関するギリシャ当局(ADAE)(法律165/2011)は、顧客の機密性を保護するためにギリシャで電子通信ネットワークおよび/またはサービスを提供するすべての企業が展開する必要のある最小限の情報セキュリティ管理策を確立および説明しています。 。これらには、管理管理と技術管理の両方が含まれます(たとえば、ログレコードは2年間保存する必要があります)。[83]
  • ギリシャの通信セキュリティとプライバシーに関するギリシャ当局(ADAE)(法律205/2013)は、ギリシャの電気通信会社が提供するサービスとデータの整合性と可用性の保護に重点を置いています。法律は、これらおよびその他の関連会社に、適切な事業継続計画と冗長インフラストラクチャを構築、展開、およびテストすることを強制しています。[84]

情報セキュリティ文化

情報セキュリティ文化とは、単にセキュリティを意識している従業員がどの程度であるかを説明するだけでなく、情報セキュリティにプラスとマイナスの両方の方法で影響を与える組織のアイデア、習慣、社会的行動です。[85] 文化的概念は、組織のさまざまなセグメントが効果的に機能したり、組織内の情報セキュリティに向けて効果に反したりするのに役立ちます。従業員がセキュリティについて考え、感じる方法と彼らがとる行動は、組織の情報セキュリティに大きな影響を与える可能性があります。 Roer&Petric(2017)は、組織における情報セキュリティ文化の7つのコアディメンションを特定しています。[86]

  • 態度:情報の組織的なセキュリティに関連するさまざまな活動に対する従業員の感情と感情。
  • 行動:情報セキュリティに直接的または間接的に影響を与える従業員の実際のまたは意図された活動およびリスクを冒す行動。
  • 認知:情報セキュリティに関連する実践、活動、および自己効力感の関係に関する従業員の認識、検証可能な知識、および信念。
  • コミュニケーション:従業員同士のコミュニケーション方法、帰属意識、セキュリティ問題のサポート、インシデント報告。
  • コンプライアンス:組織のセキュリティポリシーの順守、そのようなポリシーの存在の認識、およびそのようなポリシーの内容を思い出す能力。
  • 規範:従業員とその仲間によって非公式に正常または逸脱していると見なされるセキュリティ関連の組織の行動および慣行の認識。セキュリティ行動に関する隠された期待と情報通信技術の使用に関する不文律。
  • 責任:情報のセキュリティ、ひいては組織を維持または危険にさらす重要な要素としての従業員の役割と責任についての従業員の理解。

Andersson and Reimers(2014)は、従業員が自分自身を組織の情報セキュリティの「努力」の一部と見なさず、組織の情報セキュリティの最善の利益を無視する行動を取ることが多いことを発見しました。[87] 調査によると、情報セキュリティ文化は継続的に改善する必要があります。に 分析から変化への情報セキュリティ文化、著者は、「これは終わりのないプロセスであり、評価と変更または保守のサイクルです」とコメントしています。情報セキュリティ文化を管理するには、事前評価、戦略的計画、運用計画、実装、および事後評価の5つのステップを実行する必要があります。[88]

  • 事前評価:従業員内の情報セキュリティの認識を特定し、現在のセキュリティポリシーを分析します
  • 戦略的計画:より良い意識向上プログラムを考案するには、明確な目標を設定する必要があります。人々をクラスタリングすることはそれを達成するのに役立ちます
  • 運用計画:内部コミュニケーション、マネジメントバイイン、セキュリティ意識向上、トレーニングプログラムに基づいて、優れたセキュリティ文化を構築します。
  • 実装:管理のコミットメント、組織のメンバーとのコミュニケーション、すべての組織のメンバーのためのコース、および従業員のコミットメントを特徴とする必要があります[88]
  • 事後評価:前のステップの有効性をより適切に評価し、継続的な改善に基づいて構築する

標準のソース

ザ・ 国際標準化機構 (ISO)は、スイスのジュネーブにある事務局を通じて調整された、157か国の国家標準化機構のコンソーシアムです。 ISOは、世界最大の規格開発者です。 ISO 15443:「情報技術–セキュリティ技術– ITセキュリティ保証のフレームワーク」、 ISO / IEC 27002:「情報技術–セキュリティ技術–情報セキュリティ管理の実践規範」、 ISO-20000:「情報技術–サービス管理」、および ISO / IEC 27001:「情報技術–セキュリティ技術–情報セキュリティ管理システム–要件」は、情報セキュリティの専門家にとって特に興味深いものです。

アメリカ 米国国立標準技術研究所 (NIST)は、 米国商務省。 NISTコンピュータセキュリティ部門は、標準、メトリック、テスト、および検証プログラムを開発し、安全なIT計画、実装、管理、および運用を強化するための標準とガイドラインを公開しています。 NISTは、米国の管理者でもあります。 連邦情報処理標準 出版物(FIPS)。

インターネットソサエティ は、180か国以上に100を超える組織と20,000を超える個人会員を擁する専門会員協会です。これは、インターネットの将来が直面する問題に対処する上でリーダーシップを発揮し、インターネットインフラストラクチャの標準を担当するグループの組織的な拠点です。 インターネットエンジニアリングタスクフォース (IETF)と インターネットアーキテクチャ委員会 (IAB)。 ISOCは、公式インターネットプロトコル標準とRFC-2196を含むRequests for Comments(RFC)をホストします。 サイトセキュリティハンドブック.

ザ・ 情報セキュリティフォーラム (ISF)は、金融サービス、製造、電気通信、消費財、政府、およびその他の分野における数百の主要な組織からなるグローバルな非営利組織です。情報セキュリティの実践に関する調査を実施し、年2回のアドバイスを提供しています グッドプラクティスの基準 メンバー向けのより詳細なアドバイザリ。

ザ・ 情報セキュリティ専門家協会 (IISP)は、メンバーによって統治される独立した非営利団体であり、情報セキュリティの専門家の専門性を高め、それによって業界全体の専門性を高めることを主な目的としています。研究所はIISPスキルフレームワークを開発しました。このフレームワークは、情報セキュリティおよび情報保証の専門家がその役割を効果的に遂行する上で期待される能力の範囲を説明しています。これは、民間および公共部門の組織と、世界的に有名な学者およびセキュリティリーダーとのコラボレーションを通じて開発されました。[89]

ドイツ人 情報セキュリティのための連邦政府 (ドイツ語で BundesamtfürSicherheitinderInformationstechnik(BSI))BSI-Standards 100-1から100-4は、「情報セキュリティに関連する方法、プロセス、手順、アプローチ、および対策」を含む一連の推奨事項です。[90] BSI規格100-2 IT-Grundschutz方法論 情報セキュリティ管理を実装および運用する方法について説明します。この規格には、非常に具体的なガイドであるITベースライン保護カタログ(IT-Grundschutzカタログとも呼ばれます)が含まれています。 2005年以前は、カタログは以前は「ITベースライン保護 カタログは、IT環境(ITクラスター)のセキュリティ関連の弱点を検出して対処するのに役立つドキュメントのコレクションです。コレクションには、2013年9月の時点で、紹介とカタログを含む4,400ページ以上が含まれています。IT-GrundschutzアプローチISO / IEC2700xファミリに準拠しています。

ザ・ 欧州電気通信標準化機構 のカタログを標準化 情報セキュリティ指標、Industrial Specification Group(ISG)ISIが率いる。

も参照してください

参考文献

  1. ^ 「SANSInstitute:情報セキュリティリソース」. www.sans.org。取得 2020-10-31.
  2. ^ a b CherdantsevaY。およびHiltonJ。:「情報セキュリティおよび情報保証。意味、範囲、および目標に関する議論」。に: 情報システム管理者の組織的、法的、および技術的側面。アルメイダF.、ポルテラ、I。(編)。 IGIグローバルパブリッシング。 (2013)
  3. ^ ISO / IEC 27000:2009(E)。 (2009)。情報技術–セキュリティ技術–情報セキュリティ管理システム–概要と語彙。 ISO / IEC。
  4. ^ 国家安全保障システム委員会:National Information Assurance(IA)用語集、CNSS命令番号4009、2010年4月26日。
  5. ^ ISACA。 (2008)。用語集、2008年。から取得 http://www.isaca.org/Knowledge-Center/Documents/Glossary/glossary.pdf
  6. ^ ピプキン、D。(2000)。 情報セキュリティ:グローバル企業の保護。ニューヨーク:ヒューレットパッカード社。
  7. ^ B.、McDermott、E。、およびGeer、D。(2001)。情報セキュリティは情報リスク管理です。新しいセキュリティパラダイムに関する2001年ワークショップの議事録NSPW‘01、(pp。97– 104)。 ACM。 土井:10.1145/508171.508187
  8. ^ アンダーソン、J。M。(2003)。 「なぜ情報セキュリティの新しい定義が必要なのか」。 コンピュータとセキュリティ. 22 (4): 308–313. 土井:10.1016 / S0167-4048(03)00407-3.
  9. ^ ベンター、H。S。; Eloff、J。H. P.(2003) 「情報セキュリティ技術の分類法」。 コンピュータとセキュリティ. 22 (4): 299–307. 土井:10.1016 / S0167-4048(03)00406-1.
  10. ^ a b サモナス、S。; Coss、D。(2014) 「CIAの反撃:セキュリティにおける機密性、完全性、可用性の再定義」. 情報システムセキュリティジャーナル. 10 (3):21–45。からアーカイブ オリジナル 2018-09-22に。取得 2018-01-25.
  11. ^ 「ガートナーは、デジタルディスラプターがすべての業界に影響を与えていると述べています。デジタルKPIは成功の測定に不可欠です」。ガートナー。 2017年10月2日。取得 1月25日 2018.
  12. ^ 「Gartnerの調査によると、CEOの42%がデジタルビジネスの変革を開始しました」。ガートナー。 2017年4月24日。取得 1月25日 2018.
  13. ^ 「情報セキュリティ資格ファクトシート」 (PDF). ITガバナンス。取得 3月16日 2018.
  14. ^ スチュワート、ジェームズ(2012)。 CISSP学習ガイド。カナダ:John Wiley&Sons、Inc。pp。255–257。 ISBN 978-1-118-31417-3.
  15. ^ エンゲ、エリック。 「ストーンテンプル」. 携帯電話
  16. ^ ゴードン、ローレンス;ローブ、マーティン(2002年11月)。 「情報セキュリティ投資の経済学」。 情報とシステムセキュリティに関するACMトランザクション. 5 (4): 438–457. 土井:10.1145/581271.581274. S2CID 1500788.
  17. ^ スチュワート、ジェームズ(2012)。 CISSP認定情報システムセキュリティプロフェッショナル学習ガイド第6版。カナダ:John Wiley&Sons、Inc。pp。255–257。 ISBN 978-1-118-31417-3.
  18. ^ スエトニウス・トランキルス、ガイウス (2008). シーザーズの生活(オックスフォードワールドクラシックス)。ニューヨーク:オックスフォード大学出版局。 p。 28。 ISBN 978-0-19-953756-3.
  19. ^ シン、サイモン (2000). コードブック。アンカー。 pp。289–290. ISBN 978-0-385-49532-5.
  20. ^ ジョンソン、ジョン(1997)。 イギリスのシギントの進化:1653–1939。陛下の文房具事務所。 ASIN B00GYX1GX2.
  21. ^ Ruppert、K。(2011)。 「公務秘密法(1889年;新しい1911年; 1920年、1939年、1989年に改正)」。ヘイステッドでは、G.P。 (編)。 スパイ、ワイヤータップ、および秘密の操作:アメリカの諜報活動の百科事典. 2。 ABC-CLIO。 pp。589–590。 ISBN 9781851098088.
  22. ^ マール、ルシンダ;ゲイ(2008年12月30日)。 「公式の秘密」 (PDF). アメリカ科学者連盟.
  23. ^ 「公務秘密法:それがカバーするもの;それが使用されたとき、質問された」. インドエクスプレス. 2019-03-08。取得 2020-08-07.
  24. ^ a b Sebag–Montefiore、H。(2011)。 エニグマ:コードの戦い。オリオン。 p。 576。 ISBN 9781780221236.
  25. ^ 「インターネットの簡単な歴史」. www.usg.edu。取得 2020-08-07.
  26. ^ DeNardis、L。(2007)。 「第24章:インターネットセキュリティの歴史」。 de Leeuw、K.M.M。;バーグストラ、J。(編)。 情報セキュリティの歴史:包括的なハンドブック。エルゼビア。 pp。681–704. ISBN 9780080550589.
  27. ^ ペリン、チャド。 「CIAトライアド」。取得 5月31日 2012.
  28. ^ a b 「情報技術セキュリティの工学原理」 (PDF)。 csrc.nist.gov。
  29. ^ A. J. Neumann、N。Statland、およびR. D. Webb(1977)。 「後処理監査ツールとテクニック」 (PDF)。米国商務省、国立標準局。 pp.11-3--11-4。
  30. ^ 「oecd.org」 (PDF)。からアーカイブ オリジナル (PDF) 2011年5月16日。取得 2014-01-17.
  31. ^ スレイド、ロブ。 「(ICS)2ブログ」.
  32. ^ Aceituno、Vicente。 「オープンな情報セキュリティ成熟度モデル」。取得 2月12日 2017.
  33. ^ http://www.dartmouth.edu/~gvc/ThreeTenetsSPIE.pdf
  34. ^ ヒューズ、ジェフ;ジョージ・チベンコ(2018年6月21日)。 「定量的指標とリスク評価:サイバーセキュリティの3つの信条モデル」. テクノロジーイノベーションマネジメントレビュー. 3 (8).
  35. ^ テプロウ、リリー。 「クライアントはこれらのITセキュリティの神話に陥っていますか?[チャート]」. continuum.net.
  36. ^ Beckers、K。(2015)。 パターンとセキュリティ要件:エンジニアリングベースのセキュリティ標準の確立。スプリンガー。 p。 100。 ISBN 9783319166643.
  37. ^ a b c d e アンドレス、J。(2014)。 情報セキュリティの基礎:理論と実践におけるInfoSecの基礎を理解する。 Syngress。 p。 240。 ISBN 9780128008126.
  38. ^ Boritz、J。Efrim(2005)。 「情報の完全性のコアコンセプトに関するIS実務家の見解」。 会計情報システムの国際ジャーナル。エルゼビア。 6 (4): 260–279. 土井:10.1016 / j.accinf.2005.07.001.
  39. ^ Loukas、G。; Oke、G。(2010年9月)[2009年8月]。 「サービス拒否攻撃に対する保護:調査」 (PDF). 計算します。 J。 53 (7): 1020–1037. 土井:10.1093 / comjnl / bxp078。からアーカイブ オリジナル (PDF) 2012年3月24日。取得 2015-08-28.
  40. ^ マッカーシー、C。(2006)。 「デジタルライブラリ:セキュリティと保存に関する考慮事項」。 Bidgoli、H。(ed。) 情報セキュリティ、脅威、脆弱性、予防、検出、および管理のハンドブック. 3。ジョンワイリー&サンズ。 pp。49–76。 ISBN 9780470051214.
  41. ^ グラマ、J.L。(2014) 情報セキュリティにおける法的問題。ジョーンズ&バートレットラーニング。 p。 550。 ISBN 9781284151046.
  42. ^ ISACA(2006)。 CISAレビューマニュアル2006。情報システム監査および制御協会。 p。 85。 ISBN 978-1-933284-15-6.
  43. ^ スパニョレッティ、パオロ; Resca A.(2008)。 「情報セキュリティ管理の二重性:予測可能な脅威と予測不可能な脅威との戦い」. 情報システムセキュリティジャーナル. 4 (3): 46–62.
  44. ^ Kiountouzis、E.A。; Kokolakis、S.A。(1996-05-31)。 情報システムのセキュリティ:21世紀の情報社会に直面。ロンドン:Chapman&Hall、Ltd。 ISBN 978-0-412-78120-9.
  45. ^ Newsome、B。(2013)。 セキュリティとリスク管理の実用的な紹介。 SAGE出版物。 p。 208。 ISBN 9781483324852.
  46. ^ a b ホイットマン、M.E。; Mattord、H.J。(2016) 情報セキュリティの管理 (第5版)。センゲージラーニング。 p。 592。 ISBN 9781305501256.
  47. ^ 「情報技術システムのためのNISTSP800-30リスク管理ガイド」 (PDF)。取得 2014-01-17.
  48. ^ ジョンソン、L。(2015)。 セキュリティ管理策の評価、テスト、および評価ハンドブック。 Syngress。 p。 678。 ISBN 9780128025642.
  49. ^ 44 U.S.C. § 3542(b)(1)
  50. ^ ランサム、J。;ミスラ、A。(2013)。 コアソフトウェアセキュリティ:ソースでのセキュリティ。 CRCプレス。 pp。40–41。 ISBN 9781466560956.
  51. ^ 「職務分掌管理マトリックス」。 ISACA。 2008年からアーカイブ オリジナル 2011年7月3日。取得 2008-09-30.
  52. ^ カカレカ、A。(2013)。 「第31章:脆弱性評価とは何ですか?」。 Vaccaでは、J.R。(ed。) コンピュータおよび情報セキュリティハンドブック (第2版)。エルゼビア。 pp。541–552。 ISBN 9780123946126.
  53. ^ a b Bayuk、J。(2009)。 「第4章:情報の分類」。アクセルロッドでは、C.W。; Bayuk、J.L。; Schutzer、D。(編)。 エンタープライズ情報セキュリティとプライバシー。アーテックハウス。 pp。59–70。 ISBN 9781596931916.
  54. ^ 「情報セキュリティのビジネスモデル(BMIS)」。 ISACA。取得 1月25日 2018.
  55. ^ Akpeninor、James Ohwofasa(2013)。 セキュリティの最新の概念。インディアナ州ブルーミントン:AuthorHouse。 p。 135。 ISBN 978-1-4817-8232-6。取得 1月18日 2018.
  56. supreme pin up chino pant Lサイズ 「主要なネットワークとシステムを監視するための監査証跡の使用は、コンピュータセキュリティの重大な弱点の一部であり続けるべきです」. www.treasury.gov。取得 2017-10-06.
  57. ^ Vallabhaneni、S.R。 (2008)。 企業経営、ガバナンス、および倫理のベストプラクティス。ジョンワイリー&サンズ。 p。 288。 ISBN 9780470255803.
  58. ^ ション・ハリス (2003). オールインワンCISSP認定試験ガイド (第2版)。 カリフォルニア州エメリービル: マグロウヒル/オズボーン。 ISBN 978-0-07-222966-0.
  59. ^ 「注意義務リスク分析基準」. DoCRA。からアーカイブ オリジナル 2018年8月14日。取得 2018-08-15.
  60. ^ Westby、J.R。;アレン、J.H。 (2007年8月)。 「GoverningforEnterprise Security(GES)実装ガイド」 (PDF)。ソフトウェア工学研究所。取得 1月25日 2018.
  61. ^ 「Iltanget.org」. iltanet.org. 2015.
  62. ^ a b レオナード・ウィルズ(2019) サイバーインシデントを処理するための簡単なガイド. <http://search.ebscohost.com.rcbc.idm.oclc.org/login.aspx?direct=true&db=aph&AN=136883429&site=ehost-live>。 pp。17–18。CS1メンテナンス:場所(リンク)
  63. ^ アーランガー、レオン(2002)。 防御戦略。 PCマガジン。 p。 70。
  64. ^ a b c 「コンピュータセキュリティインシデント処理ガイド」 (PDF). Nist.gov. 2012.
  65. ^ 彼、イン(2017年12月1日)。 「情報セキュリティインシデントラーニングの課題:中国の医療機関における産業のケーススタディ」 (PDF). 健康と社会的ケアのための情報学. 42 (4): 394–395. 土井:10.1080/17538157.2016.1255629. PMID 28068150. S2CID 20139345.
  66. ^ キャンベル、T。(2016)。 「第14章:安全なシステム開発」. 実用的な情報セキュリティ管理:計画と実装の完全ガイド。押してください。 p。 218。 ISBN 9781484216859.
  67. ^ テイラー、J。(2008)。 「第10章:プロジェクト変更プロセスの理解」。 プロジェクトのスケジューリングとコスト管理:ベースラインの計画、監視、および管理。 J.ロス出版。 pp。187–214。 ISBN 9781932159110.
  68. ^ itpi.org アーカイブ 2013年12月10日、 ウェイバックマシン
  69. ^ 「TheVisibleOps Handbookの本の要約:4つの実用的で監査可能なステップでのITILの実装」。 wikisummaries.org。取得 2016-06-22.
  70. ^ ホッチキス、スチュアート。 Business Continuity Management:In Practice、British Informatics Society Limited、2010年。ProQuestEbookCentral、 https://ebookcentral.proquest.com/lib/pensu/detail.action?docID=634527.
  71. ^ 「災害復旧計画」。 Sans Institute。取得 2月7日 2012.
  72. ^ 「1998年データ保護法」. legislation.gov.uk。国立公文書館。取得 1月25日 2018.
  73. ^ 「1990年コンピュータ誤用法」. legislation.gov.uk。国立公文書館。取得 1月25日 2018.
  74. ^ 「2006年3月15日の欧州議会および理事会の指令2006/24 / EC」. EUR-Lex。欧州連合。取得 1月25日 2018.
  75. ^ で成文化 20 U.S.C. §1232g、タイトル34、パート99の規制を実施する 連邦規則集
  76. ^ 「監査小冊子」. 情報技術試験ハンドブック。 FFIEC。取得 1月25日 2018.
  77. ^ 「公法104-191-1996年の医療保険の相互運用性と説明責任に関する法律」。米国政府出版局。取得 1月25日 2018.
  78. ^ 「公法106-102- 1999年のグラム-リーチ-ブライリー法」 (PDF)。米国政府出版局。取得 1月25日 2018.
  79. ^ 「公法107-204-2002年サーベンスオクスリー法」。米国政府出版局。取得 1月25日 2018.
  80. ^ 「ペイメントカード業界(PCI)データセキュリティ標準:要件とセキュリティ評価手順-バージョン3.2」 (PDF)。セキュリティ基準評議会。 2016年4月。取得 1月25日 2018.
  81. ^ 「セキュリティ違反通知法」。全米州議会議員会議。 2017年4月12日。取得 1月25日 2018.
  82. ^ 「個人情報保護および電子文書法」 (PDF)。カナダの法務大臣。取得 1月25日 2018.
  83. ^ 「電子通信における守秘義務の保証に関する規則」 (PDF). ギリシャ共和国政府官報。通信セキュリティとプライバシーのためのギリシャ当局。 2011年11月17日。取得 1月25日 2018.
  84. ^ 「Αριθμ.απόφ.205/ 2013」 (PDF). ギリシャ共和国政府官報。通信セキュリティとプライバシーのためのギリシャ当局。 2013年7月15日。取得 1月25日 2018.
  85. ^ 2NE1 2012 1st Global Tour - NEW EVOLUTION in Japan[Blu-ray] [Blu-ray] / 2NE1 (09/04/2014). 「セキュリティ文化の定義」. セキュリティ文化フレームワーク. 次の日付値を確認してください。 |日付= (助けて)
  86. ^ Roer、Kai;ペトリック、グレゴール(2017)。 2017年のセキュリティ文化レポート-人的要因に関する詳細な洞察。 CLTRe North America、Inc。pp。42–43。 ISBN 978-1544933948.
  87. ^ Anderson、D.、Reimers、K。およびBarretto、C。(2014年3月)。高等教育後のネットワークセキュリティ:エンドユーザーの課題への取り組みの結果。発行日2014年3月11日発行の説明INTED2014(国際技術、教育、開発会議)
  88. ^ a b シュリエンガー、トーマス; Teufel、Stephanie(2003年12月)。 「情報セキュリティ文化-分析から変化まで」。 南アフリカコンピュータ協会(SAICSIT). 2003 (31): 46–52. hdl:10520 / EJC27949.
  89. ^ 翌日・翌々日配達 13時まで [さくら色ブーケ ピンク バラ 10本] 花束 誕生日 プレゼント 生花 送料無料 女性 退職 記念日 かすみ草 恋人の日 父の日 結婚祝い.
  90. ^ 「BSI規格」。 BSI。取得 11月29日 2013.

参考文献

参考文献

  • アレン、ジュリアH.(2001)。 システムおよびネットワークセキュリティ慣行に関するCERTガイド。マサチューセッツ州ボストン:アディソン-ウェスリー。 ISBN 978-0-201-73723-3.
  • クルツ、ロナルドL。;ラッセルディーンヴァインズ(2003)。 CISSP準備ガイド (ゴールド編)。インディアナ州インディアナポリス:ワイリー。 ISBN 978-0-471-26802-4.
  • レイトン、ティモシーP.(2007)。 情報セキュリティ:設計、実装、測定、およびコンプライアンス。ボカラトン、フロリダ州:アウアーバッハの出版物。 ISBN 978-0-8493-7087-8.
  • マクナブ、クリス(2004)。 ネットワークセキュリティ評価。セバストポル、カリフォルニア州:オライリー。 ISBN 978-0-596-00611-2.
  • ペルチェ、トーマスR.(2001)。 情報セキュリティリスク分析。ボカラトン、フロリダ州:アウアーバッハの出版物。 ISBN 978-0-8493-0880-2.
  • ペルチェ、トーマスR.(2002)。 情報セキュリティポリシー、手順、および標準:効果的な情報セキュリティ管理のガイドライン。ボカラトン、フロリダ州:アウアーバッハの出版物。 ISBN 978-0-8493-1137-6.
  • ホワイト、グレゴリー(2003)。 オールインワンのSecurity +認定試験ガイド。カリフォルニア州エメリービル:McGraw-Hill / Osborne。 ISBN 978-0-07-222633-1.
  • Dhillon、Gurpreet(2007)。 情報システムセキュリティの原則:テキストと事例。 NY:John Wiley&Sons。 ISBN 978-0-471-45056-6.

外部リンク