Chapter7 情報セキュリティに関する国際標準と法制度
- ある意味さんざんやってきたところなので、今さらやる必要ないような気もするんですが、一通りなめておけばなにがしか得ることはあるかもしれない。
- しかし、スケジュールが押している。解くに午前も台はとっくに取りかかっているはずなんですが、まだ体系立って流行っていないので、ペースアップしなくては。
- とはいえ、本日が 9/26 で試験は 10/16 なので、まだ 20 日もあるじゃありませんか!
- BS7799
- BS7799-1
- 情報セキュリティマネジメントシステムの実施基準
- BS7799-2
- 情報セキュリティマネジメントシステムの認証基準
- ただし、U.K.の国内法などを参照しすぎているので、国際標準化されてなかったとか何とか。余談。因みに、日本は国際化の際に反対票を入れたんだって。
- BS7799-1
- 資産の考え方
- ISO/IEC17799とBS7799は情報を含む、全ての資産
- ISO/IEC TR 13335 GMITSは情報に特化
- CIA + AAR
- Confidentiality
- Integrity
- Availability
- Authenticy 真正性
- Accountability 遡及説明可能性
- Reliability 信頼性
- CIA + AAR
- ControlとSafeguardはほぼ同じ意味
- ISO/IEC TR 13335 GMITS
- Concepts and models for IT security
- ITセキュリティの概念及びモデル
- Managing and planning IT Security
- ITセキュリティのマネジメント及び計画
- Techniques for the Management of IT security
- ITセキュリティマネジメントシステムの手法
- リスクアセスメントの手法として4種類
- ベースラインアプローチ
- 被形式的アプローチ
- 詳細リスク分析
- 組み合わせアプローチ
- Selection of Safeguards
- セーフガードの選択
- Management guidance on Network Security
- ネットワークセキュリティ上のマネジメントガイダンス
- Concepts and models for IT security
- ISO/IEC 15408 JIS X 5070
- Evaluation Criteria for Information Technology Security
- ITセキュリティ評価基準
- 機能要件と保証要件
- Security Target セキュリティ基本仕様書
- TOE作成
- 脅威の記述
- 対策の記述...などなど
- 忘れかけているので、一度見直しておこう。
- Protection Profile セキュリティ要求仕様書
- セキュリティ機能要件
- セキュリティ保障要件
- 保証レベルの定義
- EAL-1..7
- 2001年月から情報セキュリティ評価認証制度として発足
- JISX5070ベース
- コンピュータ不正アクセス対策基準
- 情報システム安全対策基準
スケジュール
- さて、本試験まであと20日というわけで、改めてスケジュールを仕切り直し。
- やるべきこと
- 標準教本の残り
- 残り50ページ程度なので、明日で終了予定。
- 問題集による午前問題対策
- 最低二回はやりたい。
- 二回目は、一回目に?マークが付いたところに絞る。
- びしばし問題用紙にマーキングしていこう。
- 目標一週間以内
- 問題集による午後問題対策
- 同じく二回やりたい。
- 目標一週間以内
- 模擬試験を通しでやる
- 本番でのタイムアロケーション確認のため。
- 過去問を使って二回分。
- これ、絶対必要。最悪時間足りなかったら、個別対策を捨ててでもこっちをやるべし。
- 標準教本の残り
- ざっくりと殴り書きですが、こんな感じですかね。
- 客観的に評価して、出題範囲に関する知識と理解は合格水準を十分上回っている自信がある。
- しかし、テストの作法に従ってアウトプットできなければ合格できないわけで、僕に足りないのはその訓練。
- と言うコンセプトに乗っ取って、残り20日頑張りましょう!
