この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
3 用語と定義
このドキュメントの目的のために、ISO/IEC 15408-1, ISO/IEC 18045, および以下に記載されている用語と定義が適用されます。
3.1
成分
システムの機能の一部を実装する運用システムの識別可能で明確な部分
3.2
外部運用システム
評価の対象となる運用システムとインターフェースをとる別個の運用システム。
3.3
管理統制
リスクの管理と情報システムのセキュリティの管理に焦点を当てた、情報システムのセキュリティ管理策(すなわち、セーフガードと対策)。
[出典: NIST SP 800-53]
3.4
運用管理
主に(システムではなく)人によって実装および実行される情報システムのセキュリティ管理策(すなわち、セーフガードと対策)。
[出典: NIST SP 800-53]
3.5
運用システム
非 IT の側面を含む情報システム。その運用環境の文脈で考慮される
3.6
残存リスク
リスク対応後に残るリスク
[出典: ISO/IEC Guide 73:2002]
3.7
危険
特定の脅威が資産または資産グループの脆弱性を悪用し、それによって組織に損害を与える可能性
注記 1:この定義は、ISO/IEC 27005:2008 の「情報セキュリティ リスク」の定義と同じです。
3.8
リスク分析
ソースを特定し、リスクを推定するための情報の体系的な使用
[出典: ISO/IEC Guide 73:2002]
3.9
リスクアセスメント
リスク分析とリスク評価の全体的なプロセス
[出典: ISO/IEC Guide 73:2002]
3.10
危機管理
リスクに関して組織を指揮し、管理するための調整された活動
[出典: ISO/IEC Guide 73:2002]
3.11
危機管理
リスクを修正するオプションの選択と実施のプロセス
[出典: ISO/IEC Guide 73:2002]
3.12
セキュリティ管理
システムとその情報の機密性、完全性、および可用性を保護するために、情報システムに規定された管理、運用、および技術的制御 (すなわち、保護手段または対策)
[出典: NIST SP 800-53]
注記 1:この定義は、説明責任、真正性、否認防止、プライバシー、および信頼性を提供するコントロールを含むことを意図しており、これらは機密性、完全性、および可用性とは異なると見なされることがあります。
3.13
セキュリティ ドメイン
同じ一連のセキュリティ ポリシーを実装する運用システムの一部
3.14
サブシステム
システムの残りの部分とは別に実行できる 1 つまたは複数の運用システム コンポーネント
3.15
システム評価対象
運用ガイダンスに従って運用されている運用システム。技術的管理と運用管理の両方を含む
注記1運用管理は運用環境の一部を形成する。 ISO/IEC 15408 評価では評価されません。
3.16
技術的管理
システムのハードウェア、ソフトウェア、またはファームウェア コンポーネントに含まれるメカニズムを通じて、情報システムによって主に実装および実行される、情報システムのセキュリティ管理策 (すなわち、セーフガードおよび対策)
[出典: NIST SP 800-53]
3.17
検証
運用システムのセキュリティ管理策が正しく実装され、その適用において有効であることを確認するために使用される評価プロセス
参考文献
| [1] | ISO/IEC 27005, 情報技術 - セキュリティ技術 - 情報セキュリティ リスク管理 |
| [2] | Guide for the Security Certification and Accreditation of Federal Information Systems 、NIST Special Publication SP 800-37, Department of Commerce, 米国 |
| [3] | ISO/IEC 27002, 情報技術 — セキュリティ技術 — 情報セキュリティ管理のための行動規範 |
| [4] | 連邦情報システムの推奨セキュリティ管理、NIST Special Publication SP 800-53, 商務省、米国 |
| [5] | ISO/IEC 21827, 情報技術 — セキュリティ技術 — システム セキュリティ エンジニアリング — 能力成熟度モデル® (SSE-CMM®) |
| [6] | ISO/IEC TR 1544, 情報技術 — セキュリティ技術 — IT セキュリティ保証のためのフレームワーク |
| [7] | ISO/IEC TR 15446, 情報技術 — セキュリティ技術 — プロテクション プロファイルとセキュリティ ターゲットの作成ガイド |
| [8] | Guide for Assessing the Security Controls in Federal Information Systems 、NIST Special Publication SP 800-53A, Department of Commerce, 米国 |
| [9] | IT ベースライン保護マニュアル、連邦情報セキュリティ局、ドイツ。 ISBN 3-88784-915-9 |
| [10] | 連邦情報および情報システムの最小セキュリティ要件、FIPS PUB 200, 2006 年 3 月、米国商務省 |
| [11] | Common Criteria for Information Technology Security Evaluation 、バージョン 3.1, 改訂 2, 2007 年 9 月、Common Criteria Development Board |
| [12] | ISO Guide 73:2002, リスク管理 — 語彙 — 規格で使用するためのガイドライン1) |
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 15408-1, ISO/IEC 18045 and the following apply.
3.1
component
identifiable and distinct portion of an operational system that implements part of that system’s functionality
3.2
external operational system
separate operational system which interfaces to the operational system that is the subject of evaluation
3.3
management controls
security controls (i.e., safeguards and countermeasures) for an information system that focus on the management of risk and the management of information system security
[SOURCE: NIST SP 800-53]
3.4
operational controls
security controls (i.e., safeguards and countermeasures) for an information system that primarily are implemented and executed by people (as opposed to systems)
[SOURCE: NIST SP 800-53]
3.5
operational system
information system, including its non-IT aspects, considered in the context of its operating environment
3.6
residual risk
risk remaining after risk treatment
[SOURCE: ISO/IEC Guide 73:2002]
3.7
risk
potential that a given threat will exploit vulnerabilities of an asset or group of assets and thereby cause harm to the organization
Note 1 to entry: This definition is identical to that of 'information security risk' in ISO/IEC 27005:2008.
3.8
risk analysis
systematic use of information to identify sources and to estimate the risk
[SOURCE: ISO/IEC Guide 73:2002]
3.9
risk assessment
overall process of risk analysis and risk evaluation
[SOURCE: ISO/IEC Guide 73:2002]
3.10
risk management
coordinated activities to direct and control an organization with regard to risk
[SOURCE: ISO/IEC Guide 73:2002]
3.11
risk treatment
process of selection and implementation of options to modify risk
[SOURCE: ISO/IEC Guide 73:2002]
3.12
security controls
management, operational, and technical controls (i.e., safeguards or countermeasures) prescribed for an information system to protect the confidentiality, integrity, and availability of the system and its information
[SOURCE: NIST SP 800-53]
Note 1 to entry: This definition is intended to include controls that provide accountability, authenticity, non-repudiation, privacy and reliability, which are sometimes considered as distinct from confidentiality, integrity and availability.
3.13
security domain
portion of an operational system that implements the same set of security policies
3.14
subsystem
one or more operational system components that are capable of execution separately from the rest of the system
3.15
system target of evaluation
operational system that is being operated in accordance with its operational guidance, including both technical and operational controls
Note 1 to entry: Operational controls form part of the operational environment. They are not evaluated in ISO/IEC 15408 evaluation.
3.16
technical controls
security controls (i.e., safeguards and countermeasures) for an information system that are primarily implemented and executed by the information system through mechanisms contained in the hardware, software, or firmware components of the system
[SOURCE: NIST SP 800-53]
3.17
verification
assessment processes used to confirm that the security controls for an operational system are implemented correctly and are effective in their application
Bibliography
| [1] | ISO/IEC 27005, Information technology — Security techniques — Information security risk management |
| [2] | Guide for the Security Certification and Accreditation of Federal Information Systems, NIST Special Publication SP 800-37, Department of Commerce, United States |
| [3] | ISO/IEC 27002, Information technology — Security techniques — Code of practice for information security management |
| [4] | Recommended Security Controls for Federal Information Systems, NIST Special Publication SP 800-53, Department of Commerce, United States |
| [5] | ISO/IEC 21827, Information technology — Security techniques — Systems Security Engineering — Capability Maturity Model® (SSE-CMM®) |
| [6] | ISO/IEC TR 15443 (all parts), Information technology — Security techniques — A Framework for IT security assurance |
| [7] | ISO/IEC TR 15446, Information technology — Security techniques — Guide for the production of Protection Profiles and Security Targets |
| [8] | Guide for Assessing the Security Controls in Federal Information Systems, NIST Special Publication SP 800-53A, Department of Commerce, United States |
| [9] | IT Baseline Protection Manual, Bundesamt für Sicherheit in der Informationstechnik, Germany. ISBN 3-88784-915-9 |
| [10] | Minimum Security Requirements for Federal Information and Information Systems, FIPS PUB 200, March 2006, Department of Commerce, United States |
| [11] | Common Criteria for Information Technology Security Evaluation, Version 3.1, Revision 2, September 2007, Common Criteria Development Board |
| [12] | ISO Guide 73:2002, Risk management — Vocabulary — Guidelines for use in standards1) |