web-dev-qa-db-ja.com

セキュリティポリシーがないリスクの表現(例:ISO 27002、第5章)

ISO 27002の第5章への非準拠をリスクとしてどのように表現しますか?

ISO 27001に基づくISMSの基本原則は、リスクベースのアプローチです。これに続いて、Annex A(ISO 27002)のすべてのコントロールを評価し、SOAステートメントに含めるか、または(理由により)除外する必要があります。

実際の制御については、それは取るに足らないことです。しかし、私は、ISMSとそのドキュメントをリスクとして(そしてできればそれらを定量化して)持つことを基本的に扱う初期の章を表現したいと思います。

現時点で、私の最善のアイデアは、セキュリティに対する統一された明確なアプローチがないというメタリスクを定義することです。ただし、これだけではビジネスリスクは発生しません。他のリスクの可能性が高まると私は主張することができます。

この問題に取り組むための他のアイデアを探しています。たとえば、ISO 27002の5.1.1節に準拠していないことをリスクとして表現したい場合は、どのようにすればよいですか。

2
Tom

この質問には2つのタイプの回答があります。 1つは、直接それに対処することです。第二に、質問自体を質問します。

それらについて一つずつ議論していきましょう。

質問に答えるために、情報に対する組織のリスクには、その場限りの方法では実行できない体系的なアプローチが必要です。彼らは熟考し、適切に管理する必要があります。したがって、管理システム(情報のセキュリティを管理するプロセスのシステム)の必要性。

さて、リスク評価の演習では、統制の欠如をリスクとして挙げるべきではありません。それは私の控えめな意見では、リスク評価を行う正しい方法ではありません(「ロックの欠如」をリスクとして引用しないでください。「盗難の可能性」をリスクとして言います)。あなたの心はこれが正しい方法ではないことを何らかの形で直感的に知っているので、それはあなたの混乱の理由でもあります(無礼な意図はありません)。これは実際には反対の見方です。この見方をすると、利害関係者によって破棄されるか、強い抵抗に直面するシステムを作成することになります(そのように設計されていないため、直感的に理解されていないため)。これは、会社のISO 27001ドキュメントが実際の業務と異なる場合がある理由の1つでもあります。

より良いオプションは:-

  • ビジネスとそのコンポーネントを定義します。 (環境)
  • ビジネスにとって重要な情報を特定します。これには、情報に関連する法的、契約的、義務も含まれます(たとえば、一部の国では、過去10年間の財務データを保持することを要求する法律があります。別の例として、顧客との契約を他のすべてのデータから分離することを規定しています提供している競合他社など)
  • 社内に情報の流れを描きます(これは非常に大きな演習であり、おそらく長い時間がかかる可能性があります)
  • 情報の機密性、整合性、および可用性を損なう可能性のあるリスクを特定します。ここでは、脆弱性評価ツールを利用して、保護しようとしている情報を含むネットワークの侵入テストを実行できます。 VAPTレポートをリスク評価への入力として使用できます。
  • コントロールが0の会社はありません。システムにいくつかのコントロールがすでに存在している必要があります。関連するリスクに対してそれらを記録します。
  • 次に、統制を特定し(詳細については、ISO 27001付属文書またはISO 27002を参照)、各リスク全体に適用します。
  • リスクのアクションプランを準備します。
  • アクションプランを実装します。

私はあなたがコントロールのほぼすべての条項に合うことができると確信しています。

2
M S Sripati

楽観主義者として私は言うでしょう:あなたはこの半分正しい見ています。

セキュリティポリシーがないとリスクが生じるというのはあなたの言うとおりです。

これにはビジネスリスクが含まれないことについては、あなたは正しくありません。 ISO/IEC 27000自体は3.6章で述べています:

ISMSの実装を成功させるには、組織がビジネス目標を達成できるようにするために、多数の要因が重要です。重要な成功要因の例は次のとおりです。

a)情報セキュリティポリシー、目的、および目的に沿った活動;

あなたの質問をさらに修正するには:組織が直面しているリスクはISO標準に準拠していない、リスクはセキュリティポリシーがないことから生じる結果

それらの結果は何ですか?これらは、セキュリティポリシーが存在しないために各組織が直面する可能性のある脅威です。 ISO27005には、付録Cの「情報の漏えい」または「不正なアクション」の例がいくつかあります。完全に明確にするために脆弱性との組み合わせについては、付録Dを参照してください。

例えば:

機密情報の処理手順の欠如-使用中のエラー

この脆弱性とペアの脅威は、機密情報を処理するための欠落しているポリシーに対応しています。組織には、機密情報がどのように処理され、誰がどのような状況でその情報にアクセスできるかなどを説明するこのようなポリシーが必要です。程度の差はありますが

ポリシーがない場合->実施できません->手順はありません->分類された情報は適切に処理されません=>たとえば:従業員は秘密のファイルを廃棄する前に細断しません。

(このすべては、ISO/IEC 27002規格の8.2章に記載されています。)

では、最後にリスクをどのように説明しますか?
他のリスクを説明するのとまったく同じように。唯一の違いは、これははるかにインパクトがあるということです。 ISO/IEC 27005のリスク評価プロセスに従って、セキュリティポリシーのない組織を想像してみてください。

それはすべて標準です、あなたはただしなければなりません 見て どこを知っています。

3
Tom K.

セキュリティへの統一された定義されたアプローチがなければ、ビジネス、人員、およびプロセスは、ビジネスの継続的なセキュリティにどのように貢献すべきかについての参照枠なしに、与えられたビジネス機能を提供し続けます。

これは、プロセスが安全に実装され、維持され、レビューされ、回帰テストされ、改善されることを保証する一貫したガイダンスまたはフレームワークの欠如というリスクです。

ポリシーがなければ、すべてが有機的で、その場限りで、無秩序です。構造化され、業界のベストプラクティスに沿って調整されていることを確認および実証できれば、それは偶然に過ぎないでしょう。

1
AndyMac

私が理解している範囲では、あなたのアプローチは健全に見えます(ただし、ISO 27002環境では動作しません)。私が反対する点は、セキュリティ戦略を持たないことにはビジネスリスクがないとあなたが述べるときです。

セキュリティ戦略がない場合、セキュリティに合理的に投資することはできません。首尾一貫したアプローチと目標/目標状態がない場合、セキュリティ投資は任意に割り当てられます。一部の領域は無視されますが、他の領域は複製されます。敵はあなたが投資に失敗した場所を知らせます。

戦略がない場合、セキュリティがミッションを妨害/損なう可能性は非常に高く、事実上確実です。

私が言ったように、私はISO環境で働いていませんが、それが私のアプローチでしょう。少なくとも少しはお役に立てば幸いです。

0
Mark C. Wallace