「DCID 6/3 Integrity High」レポート

このレポートでは、Web アプリケーションのスキャン結果を分析することで、「Protecting Sensitive Compartmented Information Within Information Systems」マニュアルの 5 章に記載されている、高完全性レベルでのシステム運用の完全性要件に違反する項目がないかを検出します。このレポートは、認定プロセスのステップ 3、4、5、8 の要件に違反する項目の検出に役立ちます。「高」レベルとは、無許可の変更に対して必要となる保護の度合いが非常に高いことを意味します。完全性が大きく失われると、人命の喪失や、国益または機密性への悪影響が生じるおそれがあります。

問題点

この米連邦の指令は、情報システム内で分類された情報資料の保管、処理、通信のためのセキュリティー・ポリシーと手順を定めています。情報資料は、米国の国家安全の役割を効果的に実施するうえできわめて重要な資産であるため、かかる情報を適切に管理し、情報の機密性、完全性、可用性を保証することが重要です。

本ポリシーは、情報資料を処理、保管、または通信する米国政府機関、民間請負業者、同盟国政府の IS すべてに適用されます。

認定プロセス

DCI が発行した「Protecting Sensitive Compartmented Information Within Information Systems」マニュアルには、情報システムの認定に必要な 11 のステップが記載されています。ステップは次のとおりです。

  1. 問題のレベルの決定
  2. 保護レベルの決定
  3. 相互接続されたシステム要件の決定
  4. 技術上のセキュリティーと保証要求事項の特定
  5. 必要な文書化とテスト・アクティビティーの決定
  6. システム・セキュリティー計画の記述
  7. 実施中のセキュリティーの検証
  8. セキュリティー要件に対するテスト
  9. 認定パッケージの作成
  10. 認定パッケージの転送
  11. DAA による認定の決定