「DCID 6/3 Confidentiality Reqs Protection Level 3」レポート

このレポートでは、Web アプリケーションのスキャン結果を分析することで、「Protecting Sensitive Compartmented Information Within Information Systems」マニュアルの 4 章に記載されている、保護レベル 3 でのシステム運用の機密性要件に違反する項目がないかを検出します。このレポートは、認定プロセスのステップ 3、4、5、8 の要件に違反する項目の検出に役立ちます。

問題点

この指令は、情報システム (IS: Information Systems) 内で分類された情報資料の保管、処理、通信のためのセキュリティー・ポリシーと手順を定めています。情報システムとは、音声およびデータ (デジタルまたはアナログ) の収集、保管、操作、管理、移動、制御、表示、切り替え、交換、送信、受信に使用するソフトウェア、ファームウェア、またはハードウェアのことです。

本ポリシーは、情報資料を処理、保管、または通信する米国政府機関、民間請負業者、同盟国政府の IS すべてに適用されます。

認定プロセス

DCI が発行した「Protecting Sensitive Compartmented Information Within Information Systems」マニュアルには、情報システムの認定に必要な 11 のステップが記載されています。ステップは次のとおりです。

  1. 問題のレベルの決定
  2. 保護レベルの決定
  3. 相互接続されたシステム要件の決定
  4. 技術上のセキュリティーと保証要求事項の特定
  5. 必要な文書化とテスト・アクティビティーの決定
  6. システム・セキュリティー計画の記述
  7. 実施中のセキュリティーの検証
  8. セキュリティー要件に対するテスト
  9. 認定パッケージの作成
  10. 認定パッケージの転送
  11. DAA による認定の決定