セキュリティ設計の流れ 
1.業務の規定
- どのようなサービスを誰に行うかといったサービス内容を明確にする。
2.セキュリティーポリシーの策定
- サービス内容を元に、保護対象とすべき電子情報資産とセキュリティ基準の概要を規定する。
3.セキュリティ設計
- セキュリティーポリシーを元に、システム上のどういった機能で行うかの設計。
- 予算、スケジュールは考慮せず理想設計を行う事が重要。
- 以下の三つ要素の順番に設計を行う。
(1)環境設計
- 情報資産を管理する物理的な環境。
- 以下の要素からなる。
- 地理的場所の規定
- ビルの規定
- 部屋の規定
- 機器設備の規定
(2)システム設計
- システム設計はさらに以下の要素に分かれる。
- ネットワーク
- 外部ネットワーク
- 外部端末・サーバ
- 内部ネットワーク
- 外向サーバ
- 内部サーバ
- 内部端末
- 外部ネットワーク
- 上記の要素を以下の各レイヤーにて規定する。
- ネットワークレベル(アクセス規定ベース[ファイアウォール]、VPNベース)
- OSレベル(SSL等)
- 業務レベル(認証規定[ユーザーID、パスワード]、アクセス制限規定)
(3)運用設計
- 設備に関する運用規定(入退館、入退室等)
- システムに関する運用規定(リアルタイム監視、ログ分析、パッチ等)
- 障害に対する運用規定
- 開発の運用規定
- 監査、検査
4.構築設計
- 3での理想設計から予算、スケジュールを考慮した現実設計を行う。
- 機能の優先付け、製品の選択など。
- 環境に対する構築設計
- システムに対する構築設計
- 運用に対する構築設計
5.判定
- 設計が問題がないかの判定を行い、問題がある場合は差し戻し再度上記いづれかのフローから見直しを行う。
6.実構築
- 実機の設定と実運用の手順書を作成する。
7.評価
- 外部監査やセキュリティ診断を受け、評価する。
8.問題の把握
- 評価結果を元に問題を把握し、必要なものについては設計の見直しなどの対応を行う。
9.実運用
- 運用設計に従い運用を実施し、必要によっては見直しを行う。
タグ
このページへのコメント
U5PdhO Enjoyed every bit of your post.Thanks Again. Great.