2005年11月07日

テクニカルエンジニア(情報セキュリティ)試験のスキル標準をまとめ始める

春の受験までは、まだ時間はあるようだが、迷っているうちに日が経ってしまう。早めにスケジュールを具体化した方がいい。スキル標準の内容は、「知識体系」のA〜Dが「実務知識」、EとFが「コア知識」。コア知識は、それだけでは午後の試験の問題には、し難い。ただし、知っておくべき知識、という位置づけだから、英単語のように名前と内容を一致させておく必要はあるだろう。

さて、一方では、実務知識があり、これは午後の問題に応用させることになるだろう。今回は、A.の「情報システムのセキュリティ要件定義」をさらっと、項目だけまとめる。セキュリティ要件定義というのは、ソフト開発でも少しだけ出てくる言葉だ。セキュアドには見当たらないので、このあたりのテキストからまずあたることにする。

一応、項目として、あげておく。要件定義のうち、前半の部分になる。脆弱性と脅威の分析。ここは、セキュアドにもある手法が使える。次は、中身にかかることにする。後半の「セキュリティ要件定義」は次回以降。

1 情報システムの脆弱性・脅威分析
 1.1 情報資産の評価
  1.1.1 情報資産の識別方法(情報システム、ネットワーク、データ、文書など)
  1.1.2 情報資産の評価方法(機密性、完全性、可用性に関する重要度、致命度、危険度など)
 1.2 リスクの特定(脆弱性・脅威の検出)
  1.2.1 脅威の分析(情報資産に損害を与える人、物、イベント、災害など)
  1.2.2 脆弱性の分析(脅威によって悪用される情報システムの弱点)
  1.2.3 リスクの存在箇所
     (サーバ、クライアント、ネットワーク、ルータ、ソフトウェア、開発ツール、記録媒体など)
  1.2.4 リスクの発生時期
     (勤務時間、勤務時間外、平日、休日または定休日、緊急対応時、対外説明時など)
  1.2.5 リスクの原因(物理的要因、技術的要因、人的要因など)
 1.3 リスクの算定
  1.3.1 定量的リスク評価方法
  1.3.2 定性的リスク評価方法
  1.3.3 リスク対策のコスト
  1.3.4 リスクの許容
 1.4 リスクの評価
  1.4.1 リスク基準
  1.4.2 リスク対応の優先順位
 1.5 リスク対策の選択
  1.5.1 予防的対策
  1.5.2 緊急時への対策
  1.5.3 災害時への対策
  1.5.4 防護的対策
  1.5.5 保守への対策
  1.5.6 侵入検知および分析
posted by tamaso at 00:27| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

広告


この広告は60日以上更新がないブログに表示がされております。

以下のいずれかの方法で非表示にすることが可能です。

・記事の投稿、編集をおこなう
・マイブログの【設定】 > 【広告設定】 より、「60日間更新が無い場合」 の 「広告を表示しない」にチェックを入れて保存する。


×

この広告は1年以上新しい記事の投稿がないブログに表示されております。