この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) と IEC (国際電気標準会議) は、世界標準化のための専門システムを形成しています。 ISO または IEC のメンバーである各国機関は、特定の技術活動分野に対処するためにそれぞれの組織によって設立された技術委員会を通じて国際規格の開発に参加しています。 ISO と IEC の技術委員会は、相互に関心のある分野で協力します。政府および非政府の他の国際機関も、ISO および IEC と連携してこの作業に参加しています。
この文書の作成に使用される手順と、そのさらなる保守を目的とした手順は、ISO/IEC 指令第 1 Part に記載されています。特に、さまざまなタイプの文書に必要なさまざまな承認基準に注意する必要があります。この文書は、ISO/IEC 指令Part 2 部の編集規則に従って起草されました ( www.iso.org/directives or www.iec.ch/members_experts/refdocs を 参照)
ISO および IEC は、この文書の実装に特許の使用が含まれる可能性があることに注意を促しています。 ISO および IEC は、請求された特許権の証拠、有効性、または適用性に関していかなる立場もとりません。この文書の発行日の時点で、ISO および IEC は、この文書の実装に必要となる可能性のある特許の通知を受け取っていません。ただし、実装者は、これが www.iso.org/patents および https://patents.iec.ch で入手可能な特許データベースから取得できる最新情報を表していない可能性があることに注意してください。 ISO および IEC は、そのような特許権の一部またはすべてを特定する責任を負わないものとします。
本書で使用されている商号は、ユーザーの便宜のために提供された情報であり、推奨を構成するものではありません。
規格の自主的な性質の説明、適合性評価に関連する ISO 固有の用語と表現の意味、および貿易の技術的障壁 (TBT) における世界貿易機関 (WTO) 原則への ISO の準拠に関する情報については、 www を 参照してください。 .iso.org/iso/foreword.html IEC については、 www.iec.ch/ Understanding-standards を参照してください。
この文書は、ISO/IEC JTC 1 合同技術委員会、情報技術、分科会 SC 27, 情報セキュリティ、サイバーセキュリティおよびプライバシー保護によって作成されました。
ISO/IEC 27035 シリーズのすべての部品のリストは、ISO および IEC の Web サイトでご覧いただけます。
導入
調整は情報セキュリティ インシデント管理における重要な側面です。組織の境界を越えたインシデントが発生する可能性があり、単一の組織だけでは簡単に解決できません。新たな脅威はますます洗練されており、以前よりもはるかに大きな影響を与える可能性があります。新たな脅威や攻撃の特徴により、組織全体でインシデントを調整することがこれまで以上に緊急になっています。
調整には、組織内外の関係者が含まれる場合があります。たとえば、組織内の関係者には、ビジネス マネージャーや IT 担当者が含まれます。外部の利害関係者には、外部組織のインシデント対応チームや法執行機関が含まれます。完全なリストについては、ISO/IEC 27035-2:2023, 第 8 条を参照してください。ただし、この文書では複数の組織間の調整のみを考慮しています。この文書は、複数の組織が協力して情報セキュリティ インシデントに対処するためのガイドラインを提供します。調整活動は、ISO/IEC 27035-1 で定義されている情報セキュリティ インシデント管理プロセス全体で行われます。
この文書では、複数の組織間の情報セキュリティ インシデント管理の調整について説明します。インシデントには技術的な脆弱性が伴う場合があります。技術的脆弱性の調整、開示、および処理に関するガイダンスは、ISO/IEC 29147 および ISO/IEC 30111 によって提供されます。複数の組織間での技術的脆弱性の調整に関する追加情報は、ISO/IEC TR 5895 によって提供されます。
1 スコープ
この文書は、情報セキュリティ インシデントを連携して処理する複数の組織のためのガイドラインを提供します。また、個々の組織の内部インシデント管理に対する外部協力の影響にも対処し、個々の組織が調整プロセスに適応するためのガイドラインを提供します。さらに、調整チームが存在する場合、組織を超えたインシデント対応をサポートする調整活動を実行するためのガイドラインも提供します。
この文書に記載されている原則は一般的なものであり、情報セキュリティ インシデントの種類、規模、性質に関係なく、複数の組織が協力して情報セキュリティ インシデントに対処できるように適用できることを目的としています。組織は、情報セキュリティのリスク状況に関連して、ビジネスの種類、規模、性質に応じて、この文書に記載されているガイダンスを調整できます。この文書は、パートナー関係に参加する個々の組織にも適用されます。
2 規範的参照
以下の文書は、その内容の一部またはすべてがこの文書の要件を構成する形で本文中で参照されています。日付が記載された参考文献については、引用された版のみが適用されます。日付のない参照については、参照文書の最新版 (修正を含む) が適用されます。
- ISO/IEC 27000, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 概要と用語
- ISO/IEC 27035-1, 情報技術 - 情報セキュリティ インシデント管理 - Part 1: 原則とプロセス
- ISO/IEC 27035-2, 情報技術 - 情報セキュリティ インシデント管理 - Part 2: インシデント対応を計画および準備するためのガイドライン
- ISO/IEC 27035-3, 情報技術 — 情報セキュリティ インシデント管理 — Part 3: ICT インシデント対応業務のガイドライン
3 用語と定義
この文書の目的上、ISO/IEC 27000, ISO/IEC 27035-1, ISO/IEC 27035-2, ISO/IEC 27035-3, および以下に記載されている用語と定義が適用されます。
ISO と IEC は、標準化に使用する用語データベースを次のアドレスで維持しています。
3.1
インシデント対応チーム
IRT
組織内で適切なスキルを持ち、信頼できるメンバーで構成され、調整された方法でインシデントに対応し、解決するチーム
注記 1: インシデントの各側面に 1 つずつ、複数の IRT が存在する可能性があります。
注記 2:コンピュータ緊急対応チーム (CERT 1 ) およびコンピュータ・セキュリティ・インシデント対応チーム (CSIRT) は、大規模な ICT およびサイバーセキュリティ・インシデントへの対応を調整したいと考えている組織および部門別、地域別、国別の団体における IRT の具体的な例です。
[出典:ISO/IEC 27035-1:2023, 3.1.2]
3.2
調整されたインシデント管理
CIM
複数の組織の IRT が連携して情報セキュリティ インシデントに対処するプロセス
3.3
コミュニティ
共通の利益を共有する関連組織、個人、およびグループのグループ
注記 1:影響を受けるコミュニティとは、セキュリティサービス、プロジェクト、または運用の提供によって影響を受ける人々および関連組織のグループです。
[出典:ISO 22300:2021, 3.1.39]
参考文献
| 1 | ISO 22300:2021, セキュリティと回復力 — 語彙 |
| 2 | ISO 22320:2018, セキュリティと回復力 — 緊急事態管理 — インシデント管理のガイドライン |
| 3 | ISO 22397:2014, 社会セキュリティ — 提携協定を確立するためのガイドライン |
| 4 | ISO/IEC 27010:2015, 情報技術 — セキュリティ技術 — 部門間および組織間のコミュニケーションのための情報セキュリティ管理 |
| 5 | ISO/IEC 29147:2018, 情報技術 - セキュリティ技術 - 脆弱性の開示 |
| 6 | 国立標準技術研究所。コンピュータ セキュリティ インシデント処理ガイド[オンラインポール・チチョンスキー、トーマス・ミラー、ティム・グランス、カレン・スカーフォア。 2012 年 8 月 [2024 年 7 月 15 日閲覧 https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final で入手可能 |
| 7 | 国立標準技術研究所。サイバー脅威情報共有ガイド[オンラインクリストファー・ジョンソン、マーク・アナグマ、デヴィッド・ウォルターマイア、ジュリー・スナイダー、クレム・スコルプカ。 2016 年 10 月 [2024 年 7 月 15 日閲覧 https://csrc.nist.gov/publications/detail/sp/800-150/final で入手可能 |
| 8 | インターネットエンジニアリングタスクフォース。 (IETF) RFC 5070: インシデント オブジェクト記述交換形式 [オンライン R. Danyliw, J. Meijer, Y. Demchenko が編集。 2007 年 12 月 [2024 年 7 月 15 日閲覧 https://www.rfc-editor.org/rfc/rfc5070.txt で入手可能 |
| 9 | インターネットエンジニアリングタスクフォース。 (IETF) RFC 6545: リアルタイム インターネットワーク ディフェンス (RID) [オンライン K.モリアーティ編集。 2012 年 4 月 [2024 年 7 月 15 日閲覧 https://www.rfc-editor.org/rfc/rfc6545.txt で入手可能 |
| 10 | バージョンSTIX 2.1[オンラインブレット・ジョーダン、リッチ・ピアザ、トレイ・ダーリー。 2021年6月10日 [2024年7月15日閲覧オアシス規格。 https://docs.oasis-open.org/cti/stix/v2.1/os/stix-v2.1-os.html で入手できます。 |
| 11 | ベリス。 [オンライン [2024-07-15閲覧 https://verisframework.org/index.html で入手可能 |
| 12 | Facebook の脅威交換。 [オンライン [2024-07-15閲覧 https://developers.facebook.com/docs/threat-exchange/ で入手可能 |
| 13 | CRITのデータモデル。 [オンライン [2024-07-15閲覧 https://crits.github.io/ で入手可能 |
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work.
The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the different types of document should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives or www.iec.ch/members_experts/refdocs ).
ISO and IEC draw attention to the possibility that the implementation of this document may involve the use of (a) patent(s). ISO and IEC take no position concerning the evidence, validity or applicability of any claimed patent rights in respect thereof. As of the date of publication of this document, ISO and IEC had not received notice of (a) patent(s) which may be required to implement this document. However, implementers are cautioned that this may not represent the latest information, which may be obtained from the patent database available at www.iso.org/patents and https://patents.iec.ch . ISO and IEC shall not be held responsible for identifying any or all such patent rights.
Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO's adherence to the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www.iso.org/iso/foreword.html . In the IEC, see www.iec.ch/understanding-standards .
This document was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology, Subcommittee SC 27, Information security, cybersecurity and privacy protection.
A list of all parts in the ISO/IEC 27035 series can be found on the ISO and IEC websites.
Introduction
Coordination is an important aspect in information security incident management. Incidents crossing organizational boundaries can occur and cannot be easily resolved by a single organization. Emerging threats are becoming increasingly sophisticated and can have a much larger impact than previously. The characteristics of emerging threats and attacks make it more urgent than ever to coordinate incidents across organizations.
Coordination can include relevant parties both within and outside the organization. For example, relevant parties within the organization include business managers and representatives from IT; external interested parties include incident response teams of external organizations and law enforcement organizations. See ISO/IEC 27035-2:2023, Clause 8 for a complete list. This document, however, only considers coordination between multiple organizations. This document provides guidelines for multiple organizations to work together to handle information security incidents. The coordination activities occur throughout the information security incident management process as defined in ISO/IEC 27035-1.
This document addresses the coordination of information security incident management between multiple organizations. Incidents sometimes involve technical vulnerabilities. Guidance on the coordination, disclosure, and handling of technical vulnerabilities is provided by ISO/IEC 29147 and ISO/IEC 30111. Additional information on the coordination of technical vulnerabilities between multiple organizations is provided by ISO/IEC TR 5895.
1 Scope
This document provides guidelines for multiple organizations handling information security incidents in a coordinated manner. It also addresses the impacts of external cooperation on the internal incident management of an individual organization and provides guidelines for an individual organization to adapt to the coordination process. Furthermore, it provides guidelines for the coordination team, if it exists, to perform coordination activities supporting the cross-organization incident response.
The principles given in this document are generic and are intended to be applicable to multiple organizations to work together to handle information security incidents, regardless of their types, sizes or nature. Organizations can adjust the guidance given in this document according to their type, sizes and nature of business in relation to the information security risk situation. This document is also applicable to an individual organization that participates in partner relationships.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content constitutes requirements of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
- ISO/IEC 27000, Information technology — Security techniques — Information security management systems — Overview and vocabulary
- ISO/IEC 27035-1, Information technology — Information security incident management — Part 1: Principles and process
- ISO/IEC 27035-2, Information technology — Information security incident management — Part 2: Guidelines to plan and prepare for incident response
- ISO/IEC 27035-3, Information technology — Information security incident management — Part 3: Guidelines for ICT incident response operations
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 27000, ISO/IEC 27035-1, ISO/IEC 27035-2, ISO/IEC 27035-3 and the following apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
3.1
incident response team
IRT
team of appropriately skilled and trusted members of an organization that responds to and resolves incidents in a coordinated way
Note 1 to entry: There can be several IRTs, one for each aspect of the incident.
Note 2 to entry: Computer Emergency Response Team (CERT 1 ) and Computer Security Incident Response Team (CSIRT) are specific examples of IRTs in organizations and sectorial, regional, and national entities wanting to coordinate their response to large scale ICT and cybersecurity incidents.
[SOURCE:ISO/IEC 27035-1:2023, 3.1.2]
3.2
coordinated incident management
CIM
process for IRTs from multiple organizations to work together to handle information security incidents
3.3
community
group of associated organizations, individuals and groups sharing common interests
Note 1 to entry: Impacted communities are the groups of people and associated organizations affected by the provision of security services, projects or operations.
[SOURCE:ISO 22300:2021, 3.1.39]
Bibliography
| 1 | ISO 22300:2021, Security and resilience — Vocabulary |
| 2 | ISO 22320:2018, Security and resilience — Emergency management — Guidelines for incident management |
| 3 | ISO 22397:2014, Societal security — Guidelines for establishing partnering arrangements |
| 4 | ISO/IEC 27010:2015, Information technology — Security techniques — Information security management for inter-sector and inter-organizational communications |
| 5 | ISO/IEC 29147:2018, Information technology — Security techniques — Vulnerability disclosure |
| 6 | NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. Computer Security Incident Handling Guide[online]. Paul Cichonski, Thomas Millar, Tim Grance, Karen Scarfore. August 2012 [viewed 2024-07-15]. Available at https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final |
| 7 | NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. Guide to Cyber Threat Information Sharing[online]. Christopher Johnson, Mark Badger, David Waltermire, Julie Snyder, Clem Skorupka. October 2016 [viewed 2024-07-15]. Available at https://csrc.nist.gov/publications/detail/sp/800-150/final |
| 8 | Internet Engineering Task Force. (IETF). RFC 5070: The Incident Object Description Exchange Format [online]. Edited by R. Danyliw, J. Meijer and Y. Demchenko. December 2007 [viewed 2024-07-15]. Available at https://www.rfc-editor.org/rfc/rfc5070.txt |
| 9 | Internet Engineering Task Force. (IETF). RFC 6545: Real-time Inter-network Defense (RID) [online]. Edited by K. Moriarty. April 2012 [viewed 2024-07-15]. Available at https://www.rfc-editor.org/rfc/rfc6545.txt |
| 10 | Version S.T.I.X. 2.1[online]. Bret Jordan, Rich Piazza, Trey Darley. 10 June 2021 [viewed 2024-07-15]. OASIS Standard. Available at https://docs.oasis-open.org/cti/stix/v2.1/os/stix-v2.1-os.html |
| 11 | VERIS. [online]. [viewed 2024-07-15]. Available at https://verisframework.org/index.html |
| 12 | Facebook Threat Exchange. [online]. [viewed 2024-07-15]. Available at https://developers.facebook.com/docs/threat-exchange/ |
| 13 | CRITs Data Model. [online]. [viewed 2024-07-15]. Available at https://crits.github.io/ |