この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) と IEC (国際電気標準会議) は、世界標準化のための専門システムを形成しています。 ISO または IEC のメンバーである国家機関は、技術活動の特定の分野を扱うために、それぞれの組織によって設立された技術委員会を通じて、国際規格の開発に参加しています。 ISO と IEC の技術委員会は、相互に関心のある分野で協力しています。 ISO および IEC と連携して、政府および非政府の他の国際機関もこの作業に参加しています。情報技術の分野では、ISO と IEC が合同技術委員会 ISO/IEC JTC 1 を設立しました。
この文書の開発に使用された手順と、今後の維持のために意図された手順は、ISO/IEC 指令で説明されています。 1. 特に、さまざまなタイプの文書に必要なさまざまな承認基準に注意する必要があります。この文書は、ISO/IEC 指令の編集規則に従って作成されました。 2 ( www.iso.org/directives を参照)
このドキュメントの要素の一部が特許権の対象となる可能性があることに注意してください。 ISO および IEC は、そのような特許権の一部またはすべてを特定する責任を負わないものとします。ドキュメントの開発中に特定された特許権の詳細は、序文および/または受信した特許宣言の ISO リストに記載されます ( www.iso.org/patents を参照)
このドキュメントで使用されている商号は、ユーザーの便宜のために提供された情報であり、保証を構成するものではありません。
適合性評価に関連する ISO 固有の用語と表現の意味に関する説明、および技術的貿易障壁 (TBT) における世界貿易機関 (WTO) の原則への ISO の準拠に関する情報については、次の URL を参照してください: www.iso .org/iso/foreword.html .
この文書を担当する委員会は、ISO/IEC JTC 1, 情報技術、SC 27, IT セキュリティ技術です。
この ISO/IEC 27035-2 の初版は、ISO/IEC 27035-1 とともに、技術的に改訂された ISO/IEC 27035:2011 を取り消して置き換えます。
ISO/IEC 27035 は、情報技術 — セキュリティ技術 — 情報セキュリティ インシデント管理という一般的なタイトルの下に、次の部分で構成されています。
- Part 1: インシデント管理の原則
- Part 2: インシデント対応を計画および準備するためのガイドライン
さらなる部分が続くかもしれません。
序章
ISO/IEC 27035 は、ISO/IEC 27000 シリーズの規格の拡張であり、情報セキュリティ管理システムの重要な成功要因の 1 つとして ISO/IEC 27000 で特定されている情報セキュリティ インシデント管理に焦点を当てています。
インシデントに対する組織の計画と、インシデントに対する準備ができていることを認識している組織との間には、大きなギャップが生じる可能性があります。したがって、ISO/IEC 27035 のこの部分では、情報セキュリティ インシデントに対応するための組織の実際の準備の信頼性を高めるためのガイドラインの開発に取り組んでいます。これは、インシデント管理に関連するポリシーと計画に対処すること、およびインシデント対応チームを確立し、学んだ教訓を採用して評価することにより、時間の経過とともにそのパフォーマンスを改善する方法に対処することによって達成されます。
1 スコープ
ISO/IEC 27035 のこの部分は、インシデント対応を計画および準備するためのガイドラインを提供します。このガイドラインは、ISO/IEC 27035-1 で示されている「情報セキュリティ インシデント管理フェーズ」モデルの「計画と準備」フェーズと「教訓」フェーズに基づいています。
「計画と準備」フェーズの主なポイントは次のとおりです。
- 情報セキュリティ インシデント管理ポリシーとトップ マネジメントのコミットメント。
- 企業レベルとシステム、サービス、およびネットワークレベルの両方で更新された、リスク管理に関連するものを含む情報セキュリティポリシー。
- 情報セキュリティインシデント管理計画;
- インシデント対応チーム (IRT) の設立。
- 内部および外部の組織との関係およびつながりを確立する。
- 技術的およびその他のサポート (組織的および運用上のサポートを含む);
- 情報セキュリティ インシデント管理に関する説明会とトレーニング。
- 情報セキュリティ インシデント管理計画のテスト。
ISO/IEC 27035 のこの部分に示されている原則は一般的なものであり、種類、規模、または性質に関係なく、すべての組織に適用できることを意図しています。組織は、情報セキュリティのリスク状況に関連するビジネスの種類、規模、および性質に応じて、ISO/IEC 27035 のこの部分で提供されるガイダンスを調整できます。 ISO/IEC 27035 のこの部分は、情報セキュリティ インシデント管理サービスを提供する外部組織にも適用されます。
2 参考文献
以下のドキュメントの全体または一部は、このドキュメントで規範的に参照されており、その適用に不可欠です。日付のある参考文献については、引用された版のみが適用されます。日付のない参照については、参照文書の最新版 (修正を含む) が適用されます。
- ISO/IEC 27000, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 概要と語彙
- ISO/IEC 27035-1:2016, 情報技術 — セキュリティ技術 — 情報セキュリティ インシデント管理 — 1: インシデント管理の原則
3 用語、定義および略語
3.1 用語と定義
このドキュメントの目的のために、ISO/IEC 27000, ISO/IEC 27035-1 および以下に記載されている用語と定義が適用されます。
ISO と IEC は、次のアドレスで標準化に使用する用語データベースを維持しています。
3.1.1
ユーザー
インシデント対応チーム (IRT) が提供するサービスを利用する人または組織
注記 1:ユーザーは、内部 (組織内) または外部 (組織外) の場合があります。
3.2 略語
| CD | コンパクトディスク |
| 証明書 | コンピュータ緊急対応チーム。インシデント対応チーム (IRT) またはコンピュータ セキュリティ対応チーム (CSIRT) とも呼ばれます。 |
| DNS | ドメインネームシステム |
| DVD | デジタルバーサタイルディスク |
| ICMP | インターネット制御メッセージ プロトコル |
| ID | 侵入検知システム |
| IPv4 | インターネット プロトコル v4 |
| IPv6 | インターネット プロトコル v6 |
| IRT | インシデント対応チーム |
| ISP | インターネットサービスプロバイダ |
| PoC | 接点 |
| SMTP | シンプルなメール転送プロトコル |
| SSL | セキュア ソケット レイヤ プロトコル |
| TCP | 伝送制御プロトコル |
| TLP | 信号プロトコル |
| TLS | トランスポート層セキュリティ プロトコル |
| UDP | ユーザーデータグラムプロトコル |
| Wi-Fi | ワイヤレス・フィディリティー |
参考文献
| [1] | ISO 8601, データ要素と交換フォーマット — 情報交換 — 日付と時刻の表現 |
| [2] | ISO/IEC 27001:2013, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件 |
| [3] | ISO/IEC 27002:2013, 情報技術 — セキュリティ技術 — 情報セキュリティ管理のための実施基準 |
| [4] | ISO/IEC 27005, 情報技術 - セキュリティ技術 - 情報セキュリティ リスク管理 |
| [5] | ISO/IEC 27031, 情報技術 — セキュリティ技術 — 事業継続のための情報通信技術の準備に関するガイドライン |
| [6] | ISO/IEC 27033-1, 情報技術 — セキュリティ技術 — ネットワーク セキュリティ — 1: 概要と概念 |
| [7] | ISO/IEC 27033-2, 情報技術 — セキュリティ技術 — ネットワーク セキュリティ — 2: ネットワーク セキュリティの設計と実装に関するガイドライン |
| [8] | ISO/IEC 27033-3, 情報技術 — セキュリティ技術 — ネットワーク セキュリティ — 3: リファレンス ネットワーキング シナリオ — 脅威、設計手法、および制御の問題 |
| [9] | ISO/IEC 27033-4, 情報技術 — セキュリティ技術 — ネットワーク セキュリティ — 4: セキュリティゲートウェイを使用してネットワーク間の通信を保護する |
| [10] | ISO/IEC 27039, 情報技術 — セキュリティ技術 — 侵入検知システム (IDPS) の選択、展開、運用 |
| [11] | インターネット エンジニアリングタスクフォース( IETF )サイトセキュリティ ハンドブック。 http://www.ietf.org/rfc/rfc2196.txt?number=2196 |
| [12] | Internet Engineering Task Force (IETF) RFC 5070, The Incident Object Description Exchange Format, http://www.ietf.org/rfc/rfc5070.txt? number=5070 |
| [13] | ミトレコーポレーション。 STIX, 構造化された脅威情報の表現、 https: //stix.mitre.org/ |
| [14] | ミトレコーポレーション。インジケーター情報の信頼できる自動交換。 http://taxii.mitre.org/ |
| [15] | カーネギー メロンのソフトウェアエンジニアリング研究所、「CERT Coordination Center」、インシデント管理機能のためのミッション リスク診断の概要、 http: //resources.sei.cmu.edu/asset_files/technicalnote/2014_004_001_91462.pdf |
| [16] | NIST SP 800-61, コンピューター セキュリティ インシデント処理ガイド (2012) http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf |
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.
The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, 1. In particular the different approval criteria needed for the different types of document should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, 2 (see www.iso.org/directives ).
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights. Details of any patent rights identified during the development of the document will be in the Introduction and/or on the ISO list of patent declarations received (see www.iso.org/patents ).
Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.
For an explanation on the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO's adherence to the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see the following URL: www.iso.org/iso/foreword.html .
The committee responsible for this document is ISO/IEC JTC 1, Information technology, SC 27, IT Security techniques.
This first edition of ISO/IEC 27035-2, together with ISO/IEC 27035-1, cancels and replaces ISO/IEC 27035:2011, which has been technically revised.
ISO/IEC 27035 consists of the following parts, under the general title Information technology — Security techniques — Information security incident management:
- Part 1: Principles of incident management
- Part 2: Guidelines to plan and prepare for incident response
Further parts may follow.
Introduction
ISO/IEC 27035 is an extension of ISO/IEC 27000 series of standards and it focuses on information security incident management which is identified in ISO/IEC 27000 as one of the critical success factor for the information security management system.
There can be a large gap between an organization’s plan for an incident and an organization knowing it is prepared for an incident. Therefore, this part of ISO/IEC 27035 addresses the development of guidelines to increase the confidence of an organization’s actual readiness to respond to an information security incident. This is achieved by addressing the policies and plans associated with incident management, as well as how to establish the incident response team and improve its performance over time by adopting lessons learned and by evaluation.
1 Scope
This part of ISO/IEC 27035 provides the guidelines to plan and prepare for incident response. The guidelines are based on the “Plan and Prepare” phase and the “Lessons Learned” phase of the “Information security incident management phases” model presented in ISO/IEC 27035-1.
The major points within the “Plan and Prepare” phase include the following:
- information security incident management policy and commitment of top management;
- information security policies, including those relating to risk management, updated at both corporate level and system, service and network levels;
- information security incident management plan;
- incident response team (IRT) establishment;
- establish relationships and connections with internal and external organizations;
- technical and other support (including organizational and operational support);
- information security incident management awareness briefings and training;
- information security incident management plan testing.
The principles given in this part of ISO/IEC 27035 are generic and intended to be applicable to all organizations, regardless of type, size or nature. Organizations can adjust the guidance given in this part of ISO/IEC 27035 according to their type, size and nature of business in relation to the information security risk situation. This part of ISO/IEC 27035 is also applicable to external organizations providing information security incident management services.
2 Normative references
The following documents, in whole or in part, are normatively referenced in this document and are indispensable for its application. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
- ISO/IEC 27000, Information technology — Security techniques — Information security management systems — Overview and vocabulary
- ISO/IEC 27035-1:2016, Information technology — Security techniques — Information security incident management — 1: Principles of incident management
3 Terms, definitions and abbreviated terms
3.1 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 27000, ISO/IEC 27035-1 and the following apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
3.1.1
users
people or organizations that utilise services provided by the incident response team (IRT)
Note 1 to entry: Users can be internal (within the organization) or external (outside the organization).
3.2 Abbreviated terms
| CD | compact disk |
| CERT | computer emergency response team, sometimes also referred as incident response team (IRT) or computer security response team (CSIRT) |
| DNS | domain name system |
| DVD | digital versatile disk |
| ICMP | internet control message protocol |
| IDS | intrusion detection system |
| IPv4 | internet protocol v4 |
| IPv6 | internet protocol v6 |
| IRT | incident response team |
| ISP | internet service provider |
| PoC | point of contact |
| SMTP | simple mail transfer protocol |
| SSL | secure sockets layer protocol |
| TCP | transmission control protocol |
| TLP | traffic light protocol |
| TLS | transport layer security protocol |
| UDP | user datagram protocol |
| WiFi | wireless fidelity |
Bibliography
| [1] | ISO 8601, Data elements and interchange formats — Information interchange — Representation of dates and times |
| [2] | ISO/IEC 27001:2013, Information technology — Security techniques — Information security management systems — Requirements |
| [3] | ISO/IEC 27002:2013, Information technology — Security techniques — Code of practice for information security controls |
| [4] | ISO/IEC 27005, Information technology — Security techniques — Information security risk management |
| [5] | ISO/IEC 27031, Information technology — Security techniques — Guidelines for information and communication technology readiness for business continuity |
| [6] | ISO/IEC 27033-1, Information technology — Security techniques — Network security — 1: Overview and concepts |
| [7] | ISO/IEC 27033-2, Information technology — Security techniques — Network security — 2: Guidelines for the design and implementation of network security |
| [8] | ISO/IEC 27033-3, Information technology — Security techniques — Network security — 3: Reference networking scenarios — Threats, design techniques and control issues |
| [9] | ISO/IEC 27033-4, Information technology — Security techniques — Network security — 4: Securing communications between networks using security gateways |
| [10] | ISO/IEC 27039, Information technology — Security techniques — Selection, deployment and operations of intrusion detection systems (IDPS) |
| [11] | Internet Engineering Task Force (IETF) Site Security Handbook. http://www.ietf.org/rfc/rfc2196.txt?number=2196 |
| [12] | Internet Engineering Task Force (IETF) RFC 5070, The Incident Object Description Exchange Format, http://www.ietf.org/rfc/rfc5070.txt?number=5070 |
| [13] | Mitre Corporation. STIX, Structured Threat Information eXpression, https://stix.mitre.org/ |
| [14] | Mitre Corporation. Trusted Automated eXchange of Indicator Information. http://taxii.mitre.org/ |
| [15] | Software Engineering Institute at Carnegie Mellon, “CERT Coordination Centre”, An Introduction to the Mission Risk Diagnostic for Incident Management Capabilities, http://resources.sei.cmu.edu/asset_files/technicalnote/2014_004_001_91462.pdf |
| [16] | NIST SP 800-61, Computer Security Incident Handling Guide (2012) http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf |