CISSP取得を目指して:コントロールフレームワークについて
ちょこちょこ勉強した内容を残しておこう。
以下の本を試し読み中。なかなか実務にも使えそうな体系だった知識が得られそう。 https://www.amazon.co.jp/dp/475710376X/ref=cm_sw_em_r_mt_dp_U_GfSwDb7G152EH
セキュリティフレームワークにつて
組織でセキュリティ要件を満たすためにコントロールフレームワークを採用することになるよ。
セキュリティフレームワークはISO27001やNIST SP 800-53 Revision4 があるけれども いずれにしても次の性質がある。 1.一貫性 2.測定可能 3.標準化 4.包括的 5.モジュール化
NIST SP 800-53 Revision4 は19のファミリーと285のコントロールで構成される。
個人的に逆に避けた方がいいんだなと解釈したアンチパターン
1.一貫性がなく、特定の手法や声の大きい人によってセキュリティ対策が変わる。 2.測定ができないためにルールが守られているのか、ルールを策定した有用性もわからない 3.標準化がなされておらず比較ができない。指針がないので差を検知できない 4.包括的範囲が考慮されておらず組織固有の拡張性がない 5.モジュール化されておらず、部分的な変更ができない