セキュリティの問題と領域の種類を分類および整理する方法
私は最近セキュリティレビューを実施し、非常に多様なトピックをカバーするために改善する200ほどの領域を明らかにしました。いくつかのポイントはプロセスであり、いくつかは構成であり、いくつかは実装される新しいシステムです。 SAST、アーキテクチャから使用する暗号まですべて。
現在、それは大きな問題の混乱です。理にかなった、類似したトピックに該当するさまざまな問題をグループ化して優先順位を付けるために、それらをまとまりのあるカテゴリに整理する方法が必要です。私が考慮していない領域があるかどうかを確認することも役立ちます。
私は標準化されたモデルまたはカバーするカテゴリーの非公式のリストを探していましたが、私が見つけたものは非常に限定的で具体的です。
私は次のようなものを考えました:
- 防止(構成、SAST、DAST、WAF、DLPなど)
- 検出(SIEM、脆弱性スキャン、ペンテスト)
- 対応(マルウェアの削除など)
ここでの問題は:
- 私は車輪を再発明しようとしているように感じます
- これは、特に非常に多くのカテゴリに分類される可能性がある予防のために、非常に単純化しています。
既存のシステムが使えないのではないかと思います。何のためにグーグルするかという問題。
NISTには、情報セキュリティのカテゴリとサブカテゴリをカバーする2つのドキュメントがあります。
サイバーセキュリティフレームワーク(NIST CSF- https://www.nist.gov/cyberframework を参照)は、2つのうちより単純ですが、高いレベルで探しているものを確実に提供します。主なカテゴリは、識別、保護、検出、応答、回復であり、これらのそれぞれにいくつかのサブカテゴリがあります。 CSFは100を超える項目をカバーしており、非常に親しみやすくなっています。
もう1つのドキュメントは、連邦情報システムおよび組織のためのセキュリティとプライバシーの管理です( http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf を参照)。セキュリティ管理は付録Fに列挙されています。
上記の分類に当てはまらない結果が見つかった場合は、独自のさまざまなセクションを作成できます。ただし、NISTを順守することで、少なくとも、さまざまなクライアントに使用できる認められた業界フレームワークを使用して調査結果を提示し、標準化された言語を確実に話すことができます。
セキュリティの問題の種類を分類および整理する方法は、誰もが特定の理由でそれを行っているため、人によって異なる場合があります。したがって、分類を行う目的を決定し、それに応じてセキュリティの問題を整理することができます。次のように分類できます。
- セキュリティ問題の重大度タイプ。
- セキュリティ問題の反復性。
- セキュリティの問題の影響を受けるシステムはありません。
一般的に、上記はセキュリティ問題を分類および整理する方法です。