情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。
カテゴリ:

13.法律や規格 > 13.2 マネジメント系

GIMITS(Guidelines for the Management of IT Security)と言われ、JIS Q 27002と同様に、セキュリティ管理のガイドラインである。GIMITSでは、ITセキュリティに限定しているため紙などのセキュリティには触れていない点がJIS Q 27002と異なる。
関連用語としてTCSECやCCがある。

2001年に発行された、「リスクマネジメントシステム構築の指針」
きっかけは阪神淡路大震災だったようで、この規格が指すリスクは大震災を含んだ幅広いものを想定している。

過去問では、「JIS Q 2001:2001に規定されたリスク算定の定量的評価を、組織のセキュリティ対策の優先度を検討するリスク分析に適用したものはどれか。」として、「被害が発生する確率と被害額で評価する。(H21AP秋午前問41)」と述べられている。

PCI DSSとは、クレジットカード業界のセキュリティ基準のことです。
PCI DSSに関しては、詳しく解説された過去問(H21SC春午後2問2)があるので、引用します。言葉の定義に関しては、以下の冒頭を読んでもらえばわかることでしょう。
Fさん:先日の話ですが,国際クレジットカードブランド5社が共同で設立したPCISSC (Payment Card Industry Security Standards Council, LLC)という国際協議会が, PCIデータセキュリティ基準(Payment Card Industry Data SecurityStandard,以下, PCI DSS という)という業界基準を設けています。この基準を参考にして対応を考えてはどうでしょうか。

Fさんは図2に示すPCIDSS(バージョン1.2)の要件をG部長に提示した。
安全なネットワークの構築と維持
 要件1 :カード会員データ(')を保護するために,ファイアウォールをインストールして構成を維持すること
 要件2 :システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しないこと
カード会員データの保護
 要件3 :保存されたカード会員データを保護すること
 要件4 :オープンな公共ネットワーク経由でカード会員デー夕を伝送する場合・暗号化すること
脆弱性管理プログラムの整備
 要件5 :アンチウィルスソフトウェア(')またはプログラムを使用し,定期的に更新すること
 要件6 :安全性の高いシステムとアプリケーションを開発し,保守すること
強固なアクセス制御手法の導入
 要件7 :カード会員データへのアクセスを,業務上必要な範囲内に制限すること
 要件8 :コンピュータにアクセスできる各ユーザ(=>)に一意のIDを割り当てる。
 要件9 :カード会員データへの物理アクセスを制限する。
ネットワークの定期的な監視およびテスト
 要件10 :ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する。要件11 :セキュリティシステムおよびプロセスを定期的にテストする。
情報セキュリティポリシー(4)の整備
 要件12 :従業員および派遣社員向けの情報セキュリティポリシーを整備する。
3









G部長:全部で12個の要件があるのか。観察事項に対応する要件は要件6, 8辺りかな。これらの要件が更に細かく分かれているわけだね。
Fさん:そうです。例えば,観察事項として指摘されたパスワード管理に関しては,要件8の中に,図3に示すような詳細要件が定められています。
要件8:コンピュータにアクセスできる各ユーザ(')に一意のIDを割り当てる。
(省略)
8.5 すべてのシステムコンポーネントで. 以下のように,消費者以外のユーザおよび管理者に対して適切なユーザ認証とパスワード管理を確実に行う。
 8.5.1 ユーザID.資格情報,およびその他の識別子オブジェクトの追加,削除,変更を管理する。
 8.5.2 パスワードのリセットを実行する前にユーザIDを確認する。
 8.5.3 初期パスワードをユーザごとに一意の値に設定し,初回使用後に直ちに変更する。
(省略)
 8.5.9 少なくとも90日ごとにユーザパスワードを変更する。
 8.5.10 パスワードに7文字以上が含まれることを要求する。
 8.5.11 数字と英文字の両方を含むパスワードを使用する。
 8.5.12 ユーザが新しいパスワードを送信する際,最後に使用した4つのパスワードと同じものを使用できないようにする。
(省略)
4






G部長:クレジットカード加盟店では,今後このレベルの管理が求められるということか。当社の現状からみるとかなり厳しい要件もあるが,クレジットカード決済を利用していくのであれば実施する方がいいのだろうね。

このページのトップヘ