「DCID 6/3 Availability Medium」レポート

このレポートでは、Web アプリケーションのスキャン結果を分析することで、「Protecting Sensitive Compartmented Information within Information Systems」マニュアルの 6 章に記載されている、中保護レベルでのシステム運用の可用性要件に違反する項目がないかを検出します。このレポートは、認定プロセスのステップ 3、4、5、8 の要件に違反する項目の検出に役立ちます。「中」レベルとは、遅延が最低限許容される状態で情報が利用可能であること、または、可用性が失われると、身体的な被害または組織レベルの利益への悪影響が生じるおそれがあることを意味します。

問題点

この米連邦の指令は、情報システム内で分類された情報資料の保管、処理、通信のためのセキュリティー・ポリシーと手順を定めています。情報資料は、米国の国家安全の役割を効果的に実施するうえできわめて重要な資産であるため、かかる情報を適切に管理し、情報の機密性、完全性、可用性を保証することが重要です。

本ポリシーは、情報資料を処理、保管、または通信する米国政府機関、民間請負業者、同盟国政府の IS すべてに適用されます。

認定プロセス

DCI が発行した「Protecting Sensitive Compartmented Information Within Information Systems」マニュアルには、情報システムの認定に必要な 11 のステップが記載されています。ステップは次のとおりです。

  1. 問題のレベルの決定
  2. 保護レベルの決定
  3. 相互接続されたシステム要件の決定
  4. 技術上のセキュリティーと保証要求事項の特定
  5. 必要な文書化とテスト・アクティビティーの決定
  6. システム・セキュリティー計画の記述
  7. 実施中のセキュリティーの検証
  8. セキュリティー要件に対するテスト
  9. 認定パッケージの作成
  10. 認定パッケージの転送
  11. DAA による認定の決定