この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
3 用語と定義
この文書の目的上、ISO/IEC 27000, ISO/IEC 27034-1, および以下に示されている用語と定義が適用されます。
ISO と IEC は、標準化に使用する用語データベースを次のアドレスで維持しています。
3.1
予測
特定のことが将来起こる、または何かの結果であるという声明または推定
項目への注記 1:この語の起源は 17 世紀初頭です。ラテン語の praedict-「事前に知らせる、宣言する」、prae-「事前に」+ dicere「言う」の動詞 praedicere から来ています。
注記 2: この文書での使用は、セキュリティーおよび検証の測定アクティビティーが実行された場合、元のアプリケーションからの結果と一致するという期待を反映しています。
3.2
予測フレームワーク
リスク分析を実行し、 期待される信頼レベル (3.8) を確立し、 PASR (3.7) に Application Security Control 検証を割り当て、その後、 期待される信頼レベル レポート (3.9) を作成するプロセス。
3.3
オリジナルのアプリケーション
ベースラインの実際の信頼レベルを確立するアプリケーション
注記 1:元のアプリケーションは必ずしもバージョン 1.0 である必要はないため、期待される信頼レベルが関連付けられている可能性があります。
3.4
その後の適用
バージョン管理を通じて 元のアプリケーション (3.3) に関連するアプリケーション
例:
バージョン 1 からバージョン 1.1 へ。
3.5
予測セキュリティ
元の出願( 3.3)のセキュリティクレーム (3.6)の信頼を 後続の出願(3.4) のセキュリティクレームに移転する
3.6
担保請求
セキュリティプロパティがアプリケーションに存在するという特定の主張
注記 1: ISO/IEC 27034 フレームワーク (すべての部分) では、アプリケーション セキュリティ コントロールによって指定されたアクティビティによって、特定のセキュリティ リスクが許容可能なレベルまで軽減されると主張されています。
注記 2: PASR の文脈では、PASR によって予測された Application Security Control アクティビティの検証により、Application Security Control アクティビティが実行された場合と同じ結果が生成されるという主張です。
3.7
予測アプリケーションのセキュリティ理論的根拠
PASR
予測 (3.1) の理論的根拠。リスク分析文書によって裏付けられ、アプリケーション所有者によって承認され、特定のアプリケーション セキュリティ コントロールの検証アクティビティを実行する必要がないことを説明しています。
注記 1: PASR の使用には、両方のアプリケーション所有者の承認と、組織規範フレームワーク委員会によるアプリケーション・セキュリティー管理に PASR ガイドラインを含めることが必要です。
3.8
期待される信頼レベル
組織規範フレームワークここで, 一部のアプリケーション セキュリティ コントロールのアクティビティは 、PASR (3.7) の作成を通じて満たされます。
注記 1:この文書は、 後続のアプリケーション (3.4) の期待される信頼レベルで使用されるアプリケーション セキュリティ制御に適用される最小要件について説明します。期待される信頼レベルのコンテキストでは、プロジェクト チームが指定されたアプリケーション セキュリティ コントロールのアクティビティを実行しwhere 元のアプリケーション (3.3) が常に存在します。
3.9
期待される信頼レベルのレポート
後続のアプリケーション用に作成された 予測 (3.1) を裏付けるリスク分析を提示およびサポートする文書
3.10
予測されたアプリケーション セキュリティ コントロール
予測された ASC
セキュリティ アクティビティが PASR (3.7) に置き換えられるアプリケーション セキュリティ コントロール
3.11
予測消費者
期待される信頼レベルに依存する人 (3.8)
注記 1:主に、アプリケーションの消費者、アプリケーションの取得者、およびアプリケーションの所有者。
3.12
予測イニシエーター
アプリケーションに対して 期待される信頼レベル (3.8) を選択するエンティティ
注記 1:通常、アプリケーション所有者の承認を得たプロジェクト・チーム。
3.13
検証測定
アプリケーション セキュリティ コントロールによって提供されるアクティビティ。セキュリティ アクティビティが正しく実装され、必要な証拠/結果を生成することで期待どおりに機能するかどうかを検証します。
3.14
大幅な変化
リスク評価に十分な影響を与える変更により、アプリケーション所有者が 予測されたアプリケーション セキュリティ コントロール (3.10) を許可しなくなり、プロジェクト チームが実際の信頼レベルで必要なアプリケーション セキュリティ コントロール アクティビティを実行することになります。
3.15
回帰試験
システムコンポーネントへの変更が機能、信頼性、またはパフォーマンスに悪影響を与えておらず、追加の欠陥が生じていないことを判断するために必要なテスト
参考文献
| 1 | ISO/IEC/IEEE 29119-1, ソフトウェアおよびシステム エンジニアリング — ソフトウェア テスト — Part 1: 概念と定義 |
| 2 | ISO/IEC 90003, ソフトウェアエンジニアリング — ISO 9001:2008 をコンピュータソフトウェアに適用するためのガイドライン |
| 3 | ISO/IEC 19770-5, 情報技術 - IT 資産管理 - Part 5: 概要と用語 |
| 4 | ISO/IEC 19770-2, 情報技術 - ソフトウェア資産管理 - Part 2: ソフトウェア識別タグ |
| 5 | ISO/IEC 20009-1, 情報技術 - セキュリティ技術 - 匿名エンティティ認証 - Part 1: 一般 |
| 6 | ISO/IEC 1540, 情報技術 - セキュリティ技術 - IT セキュリティの評価基準 |
| 7 | ISO/IEC 1502, システムおよびソフトウェア エンジニアリング — システムおよびソフトウェアの保証 |
| 8 | ISO/IEC 27000, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 概要と用語 |
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 27000, ISO/IEC 27034-1 and the following apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
3.1
prediction
statement or estimate that a specific thing will happen in the future or will be a consequence of something
Note 1 to entry: The origin of the word is early 17th century: from Latin praedict-“made known beforehand, declared”, from the verb praedicere from prae-“beforehand” + dicere “say”.
Note 2 to entry: The use in this document reflects the expectation that, if the security and verification measurement activities are executed, they will match the results from the original application.
3.2
prediction framework
process that performs a risk analysis, establishes an Expected Level of Trust (3.8) , assigns Application Security Control verification to a PASR (3.7) , and then creates an Expected Level of Trust Report (3.9)
3.3
original application
application that establishes the baseline Actual Level of Trust
Note 1 to entry: The original application is not necessarily version 1.0 and, hence, can have an associated Expected Level of Trust.
3.4
subsequent application
application related to the original application (3.3) through versioning
EXAMPLE:
Version 1 to version 1.1.
3.5
predictive security
transfer of confidence in the security claims (3.6) of the original application (3.3) to the security claims of the subsequent application (3.4)
3.6
security claim
specific claim that security properties are present in an application
Note 1 to entry: Under the ISO/IEC 27034 frameworks (all parts), it is the claim that the activities specified by an Application Security Control mitigate specific security risks to an acceptable level.
Note 2 to entry: In the context of a PASR, it is the claim that verification of the Application Security Control activities, which were predicted by the PASR, would produce the same results as if the Application Security Control activities were performed.
3.7
Prediction Application Security Rationale
PASR
rationale for a prediction (3.1) , supported by risk analysis documents, approved by the application owner, explaining that performing the verification activities of a specific Application Security Control is not necessary
Note 1 to entry: Use of PASR requires approval of both application owner and the inclusion of the PASR guidelines in the Application Security Control by the Organization Normative Framework Committee.
3.8
Expected Level of Trust
level of trust, defined in the Organization Normative Framework ここで, the activities of some of the Application Security Controls are satisfied through the creation of a PASR (3.7)
Note 1 to entry: This document describes the minimum requirements applicable to the Application Security Controls used in an Expected Level of Trust for a subsequent application (3.4) . In the context of an Expected Level of Trust, there is always an original application (3.3) where the project team performed the activities of the indicated Application Security Controls.
3.9
Expected Level of Trust Report
document presenting and supporting the risk analysis in support of predictions (3.1) made for a subsequent application
3.10
predicted Application Security Control
predicted ASC
Application Security Control in which security activities are replaced by a PASR (3.7)
3.11
prediction consumer
anyone that relies on an Expected Level of Trust (3.8)
Note 1 to entry: Mainly application consumers, application acquirers, and application owners.
3.12
prediction initiator
entity that selects an Expected Level of Trust (3.8) for an application
Note 1 to entry: Typically, the project team with approval by the application owner.
3.13
verification measurement
activity provided by an Application Security Control to verify if its security activity was correctly implemented and works as expected by producing required evidence/outcomes
3.14
substantial change
change that causes sufficient impact to the risk assessment so that the application owner no longer permits predicted Application Security Controls (3.10) , resulting in the project team performing the necessary Application Security Control activities in the Actual Level of Trust
3.15
regression testing
testing required to determine that a change to a system component has not adversely affected functionality, reliability or performance and has not introduced additional defects
Bibliography
| 1 | ISO/IEC/IEEE 29119-1, Software and systems engineering — Software testing — Part 1: Concepts and definitions |
| 2 | ISO/IEC 90003, Software engineering — Guidelines for the application of ISO 9001:2008 to computer software |
| 3 | ISO/IEC 19770-5, Information technology — IT asset management — Part 5: Overview and vocabulary |
| 4 | ISO/IEC 19770-2, Information technology — Software asset management — Part 2: Software identification tag |
| 5 | ISO/IEC 20009-1, Information technology — Security techniques — Anonymous entity authentication — Part 1: General |
| 6 | ISO/IEC 15408 (all parts), Information technology — Security techniques — Evaluation criteria for IT security |
| 7 | ISO/IEC 15026 (all parts), System and software engineering — Systems and software assurance |
| 8 | ISO/IEC 27000, Information technology — Security techniques — Information security management systems — Overview and vocabulary |