引き続き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は基準 3.3です。
Criteria 3.3
Procedures exist to protect against unauthorized logical access to the defined system.
基準 3.3
定義されたシステムへの未承認の論理的アクセスに対する防御の手続が存在する。
Illustrative Controls
Login sessions are terminated after three unsuccessful login attempts.
Terminated login sessions are logged for follow-up by the security administrator.
Virtual private networking (VPN) software is used to permit remote access by authorized users. Users are authenticated by the VPN server through specific “client” software and user ID and passwords.
Firewalls are used and configured to prevent unauthorized access.
Firewall events are logged and reviewed daily by the security administrator.
Unneeded network services (for example, telnet, ftp, and http) are deactivated on the entity’s servers. A listing of the required and authorized services is maintained by the IT department. This list is reviewed by entity management on a routine basis for its appropriateness for the current operating conditions.
Intrusion detection systems are used to provide continuous monitoring of the entity’s network and early identification of potential security breaches.
The entity contracts with third parties to conduct periodic security reviews and vulnerability assessments. Results and recommendations for improvement are reported to management.
統制の実例
不成功なログインを3回試みた場合、ログインセッションは終了される。
終了されたログインセッションは記録さ れ、セキュリティ管理者によって後に確認される。
仮想プライベートネットワーク(VPN)ソフトウェアは承認されたユーザーによる許可されたリモートアクセスに使用され る。ユーザーは特定のクライアントソフトウェアとIDとパスワードを通してVPNサーバーによって認証される。
ファイアウォールは未承認のアクセスを防 ぐために利用・設定される。
ファイアウォールでの事象は記録され、毎日セキュリティ管理者によって確認される。
不要なネットワークサービス(例:telnet, ftp, http)はサーバーで非稼動にされる。要求・承認されたサービスのリストはIT部門によって維持される。このリストは現状の操作状況の適切性の定常的な 管理として確認される。
侵入検知システムはネットワークと継続的な監視および潜在的なセキュリティー違反の早期特定に利用される。
サードパーティーと定期的なセキュリ ティ確認実施と脆弱性の評価の契約を結ぶ。結果と改善勧告は経営者に報告される。
公認内部監査人(CIA)tunetterのブログです。 内部監査の試行錯誤を記録していきます。
2010年3月30日火曜日
基準 3.2
引き続き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は基準 3.2です。
Criteria 3.2
Procedures exist to restrict physical access to the defined system including, but not limited to, facilities, backup media, and other system components such as firewalls, routers, and servers.
基準 3.2
定義されたシステムに含まれる(が限定されない)、設備、 バックアップ媒体、そしてファイアウォールやルーター、サーバーのような他のシステムコンポーネントへの物理的アクセス制御の手順が存在する。
Illustrative Controls
Physical access to the computer rooms, which house the entity’s IT resources, servers, and related hardware such as firewalls and routers, is restricted to authorized individuals by card key systems and monitored by video surveillance.
Physical access cards are managed by building security staff. Access card usage is logged. Logs are maintained and reviewed by building security staff.
Requests for physical access privileges to the entity’s computer facilities require the approval of the manager of computer operations.
Documented procedures exist for the identification and escalation of potential security breaches.
Offsite backup data and media are stored at service provider facilities.
Access to offsite data and media requires the approval of the manager of computer operations.
統制の実例
ITリソースやサーバー、そして、ファイアウォールやルーターといいった関連ハードウェアを収容したコンピューター ルームへの物理的なアクセスは、カードキーシステムとビデオ監視によって、承認された者に限定される。
物理的アクセスのカードはビルのセキュリティスタッフによって管理さ れる。アクセスカードの利用は記録される。記録は維持され、ビルのセキュリティスタッフによって確認される。
コンピューター設備への特権的な物理的ア クセスの要求コンピューター操作のマネージャーの承認が求められる。
本人確認と潜在的なセキュリティ違反の報告には明文化された手続が存在する。
オフサイトのバックアップデータと媒体 はサービスプロバイダーの設備にて保管される。
オフサイトデータと媒体へのアクセスはコンピューター操作のマネージャーの承認が求められる。
Criteria 3.2
Procedures exist to restrict physical access to the defined system including, but not limited to, facilities, backup media, and other system components such as firewalls, routers, and servers.
基準 3.2
定義されたシステムに含まれる(が限定されない)、設備、 バックアップ媒体、そしてファイアウォールやルーター、サーバーのような他のシステムコンポーネントへの物理的アクセス制御の手順が存在する。
Illustrative Controls
Physical access to the computer rooms, which house the entity’s IT resources, servers, and related hardware such as firewalls and routers, is restricted to authorized individuals by card key systems and monitored by video surveillance.
Physical access cards are managed by building security staff. Access card usage is logged. Logs are maintained and reviewed by building security staff.
Requests for physical access privileges to the entity’s computer facilities require the approval of the manager of computer operations.
Documented procedures exist for the identification and escalation of potential security breaches.
Offsite backup data and media are stored at service provider facilities.
Access to offsite data and media requires the approval of the manager of computer operations.
統制の実例
ITリソースやサーバー、そして、ファイアウォールやルーターといいった関連ハードウェアを収容したコンピューター ルームへの物理的なアクセスは、カードキーシステムとビデオ監視によって、承認された者に限定される。
物理的アクセスのカードはビルのセキュリティスタッフによって管理さ れる。アクセスカードの利用は記録される。記録は維持され、ビルのセキュリティスタッフによって確認される。
コンピューター設備への特権的な物理的ア クセスの要求コンピューター操作のマネージャーの承認が求められる。
本人確認と潜在的なセキュリティ違反の報告には明文化された手続が存在する。
オフサイトのバックアップデータと媒体 はサービスプロバイダーの設備にて保管される。
オフサイトデータと媒体へのアクセスはコンピューター操作のマネージャーの承認が求められる。
2010年3月29日月曜日
g. システム設定や特権ユーザー機能、マスターパスワード、強力なユーティリティ、そしてセキュリティデバイスへのアクセス の制限
引き続き、Trust Services Principles, Criteria and Illustrations for Security, Availability,
Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and
SysTrust®)の勝手訳です。今回はg. システム設定や特権ユーザー機能、マスターパスワード、強力なユーティリティ、そしてセキュリティデバイスへのアクセス の制限です。
g. Restriction of access to system configurations, superuser functionality, master passwords, powerful utilities, and security devices:
g. システム設定や特権ユーザー機能、マスターパスワード、強力なユーティリティ、そしてセキュリティデバイスへのアクセス の制限:
• Hardware and operating system configuration tables are restricted to appropriate personnel.
• ハードウェアとオペレーティングシステムの設定テーブルは適切な担当者に限定される。
• Application software configuration tables are restricted to authorized users and under the control of application change management software.
• アプリケーションソフトウェアの設定テーブルは承認 されたユーザーとアプリケーション変更管理の制御下に限定される。
• Utility programs that can read, add, change, or delete data or programs are restricted to authorized technical services staff. Usage is logged and monitored by the manager of computer operations.
• データの読み取り、追加、変更、削除可能なユーティリティプログラムは承認されたテクニカル サービススタッフに限定される。使用は記録され、コンピュータ操作の管理者が監視される。
• The information security team, under the direction of the CIO, maintains access to firewall and other logs, as well as access to any storage media. Any access is logged and reviewed quarterly.
• CIOの指揮下の情報セキュリティーチームが、あらゆる保存媒体へのアクセスと同様に、ファイアウォー ルや他の記録へのアクセスを維持する。あらゆるアクセスは記録され、四半期ごとに確認される。
• A listing of all master passwords is stored in an encrypted database and an additional copy is maintained in a sealed envelope in the entity safe.
• 全てのマスターパスワードのリストは暗号化された データベースに保管され、追加のコピーは金庫にて封筒に封入され維持される。
Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and
SysTrust®)の勝手訳です。今回はg. システム設定や特権ユーザー機能、マスターパスワード、強力なユーティリティ、そしてセキュリティデバイスへのアクセス の制限です。
g. Restriction of access to system configurations, superuser functionality, master passwords, powerful utilities, and security devices:
g. システム設定や特権ユーザー機能、マスターパスワード、強力なユーティリティ、そしてセキュリティデバイスへのアクセス の制限:
• Hardware and operating system configuration tables are restricted to appropriate personnel.
• ハードウェアとオペレーティングシステムの設定テーブルは適切な担当者に限定される。
• Application software configuration tables are restricted to authorized users and under the control of application change management software.
• アプリケーションソフトウェアの設定テーブルは承認 されたユーザーとアプリケーション変更管理の制御下に限定される。
• Utility programs that can read, add, change, or delete data or programs are restricted to authorized technical services staff. Usage is logged and monitored by the manager of computer operations.
• データの読み取り、追加、変更、削除可能なユーティリティプログラムは承認されたテクニカル サービススタッフに限定される。使用は記録され、コンピュータ操作の管理者が監視される。
• The information security team, under the direction of the CIO, maintains access to firewall and other logs, as well as access to any storage media. Any access is logged and reviewed quarterly.
• CIOの指揮下の情報セキュリティーチームが、あらゆる保存媒体へのアクセスと同様に、ファイアウォー ルや他の記録へのアクセスを維持する。あらゆるアクセスは記録され、四半期ごとに確認される。
• A listing of all master passwords is stored in an encrypted database and an additional copy is maintained in a sealed envelope in the entity safe.
• 全てのマスターパスワードのリストは暗号化された データベースに保管され、追加のコピーは金庫にて封筒に封入され維持される。
2010年3月26日金曜日
d. システムアクセス権限との許可の付与の過程、e. アウトプットの配布、f. オフラインストレージ、バックアップデータ、システムそして媒体への論理的アクセスの制限
引き続き、Trust Services Principles, Criteria and Illustrations for Security, Availability,
Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and
SysTrust®)の勝手訳です。今回はd. システムアクセス権限との許可の付与の過程、e. アウトプットの配布、f. オフラインストレージ、バックアップデータ、システムそして媒体への論理的アクセスの制限です。
d. The process to grant system access privileges and permissions:
d. システムアクセス権限との許可の付与の過程:
• All paths that allow access to significant information resources are controlled by the access control system and operating system facilities. Access requires users to provide their user ID and password.
Privileges are granted to authenticated users based on their user profiles.
• 全ての重要な情報源へのアクセスが許可されるパスはア クセスコントロールシステムとオペレーティングシステムの機能によってコントロールされている。
アクセスにはユーザーがユーザーIDとパスワードの入力を要求される。
権限認証されたユーザーは、ユーザープロファイルに基づいて付与される。
• The login session is terminated after three unsuccessful login attempts.
Terminated login sessions are logged for follow-up.
• 3回のログイン不成功があるとログインセッションは中止される。中止されたログインセッションはフォローアップのために記録 される。
e. Distribution of output:
e. アウトプットの配布:
• Access to computer processing output is provided to authorized individuals based on the classification of the information.
• コンピュータの処理の出力へのアクセスは、情報の分類に基づき、認可された者に提供される。
• Processing outputs are stored in an area that reflects the classification of the information.
• 処理の出力は情報の分類を反映した場所に格納される。
f. Restriction of logical access to offline storage, backup data, systems, annd media:
f. オフラインストレージ、バックアップデータ、システムそして媒体への論理的アクセスの制限:
• Logical access to offline storage, backup data, systems, and media is limited to computer operations staff.
• オフラインストレージやバックアップデータ、システ ムそして媒体への論理的なアクセスはコンピューター操作スタッフに限定される。
Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and
SysTrust®)の勝手訳です。今回はd. システムアクセス権限との許可の付与の過程、e. アウトプットの配布、f. オフラインストレージ、バックアップデータ、システムそして媒体への論理的アクセスの制限です。
d. システムアクセス権限との許可の付与の過程:
• All paths that allow access to significant information resources are controlled by the access control system and operating system facilities. Access requires users to provide their user ID and password.
Privileges are granted to authenticated users based on their user profiles.
• 全ての重要な情報源へのアクセスが許可されるパスはア クセスコントロールシステムとオペレーティングシステムの機能によってコントロールされている。
アクセスにはユーザーがユーザーIDとパスワードの入力を要求される。
権限認証されたユーザーは、ユーザープロファイルに基づいて付与される。
• The login session is terminated after three unsuccessful login attempts.
Terminated login sessions are logged for follow-up.
• 3回のログイン不成功があるとログインセッションは中止される。中止されたログインセッションはフォローアップのために記録 される。
e. Distribution of output:
e. アウトプットの配布:
• Access to computer processing output is provided to authorized individuals based on the classification of the information.
• コンピュータの処理の出力へのアクセスは、情報の分類に基づき、認可された者に提供される。
• Processing outputs are stored in an area that reflects the classification of the information.
• 処理の出力は情報の分類を反映した場所に格納される。
f. Restriction of logical access to offline storage, backup data, systems, annd media:
f. オフラインストレージ、バックアップデータ、システムそして媒体への論理的アクセスの制限:
• Logical access to offline storage, backup data, systems, and media is limited to computer operations staff.
• オフラインストレージやバックアップデータ、システ ムそして媒体への論理的なアクセスはコンピューター操作スタッフに限定される。
2010年3月25日木曜日
c. ユーザープロフィールの変更と更新
引き続き、Trust Services Principles, Criteria and Illustrations for Security, Availability,
Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and
SysTrust®)の勝手訳です。今回はc. ユーザープロフィールの変更と更新です。
c. Changes and updates to user profiles:
c. ユーザープロフィールの変更と更新:
• Changes and updates to self-registered customer accounts can be done by the individual user at any time on the entity’s Web site after the user has successfully logged onto the system. Changes are reflected immediately.
• 自己登録の顧客アカウントへの変更と更新は個々の ユーザーによって、ユーザーがシステムへのログオン成功後、いつでもウェブサイトで行われることができる。
• Unused customer accounts (no activity for six months) are purged by the system.
• 利用されない顧客 アカウント(6ヶ月間利用無し)はシステムにより削除される。
• Changes to other accounts and profiles are restricted to the security administration team and require the approval of the appropriate lineof-
business supervisor or customer account manager.
• アカウントとプロフィールへの変更は管理チームに限定され、ビジネスラインの監督者または顧客アカウントのマネージャーの 承認が要求される。
• Accounts for terminated employees are deactivated upon notice of termination being received from the human resources team.
• 退職者のアカウントは人事チームから受け取る退職通知に基づき失効される。
Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and
SysTrust®)の勝手訳です。今回はc. ユーザープロフィールの変更と更新です。
c. Changes and updates to user profiles:
c. ユーザープロフィールの変更と更新:
• Changes and updates to self-registered customer accounts can be done by the individual user at any time on the entity’s Web site after the user has successfully logged onto the system. Changes are reflected immediately.
• 自己登録の顧客アカウントへの変更と更新は個々の ユーザーによって、ユーザーがシステムへのログオン成功後、いつでもウェブサイトで行われることができる。
• Unused customer accounts (no activity for six months) are purged by the system.
• 利用されない顧客 アカウント(6ヶ月間利用無し)はシステムにより削除される。
• Changes to other accounts and profiles are restricted to the security administration team and require the approval of the appropriate lineof-
business supervisor or customer account manager.
• アカウントとプロフィールへの変更は管理チームに限定され、ビジネスラインの監督者または顧客アカウントのマネージャーの 承認が要求される。
• Accounts for terminated employees are deactivated upon notice of termination being received from the human resources team.
• 退職者のアカウントは人事チームから受け取る退職通知に基づき失効される。
a. 新規ユーザーの登録と承認、b. ユーザーの識別と認証
引き続き、Trust Services Principles, Criteria and Illustrations for Security, Availability,
Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and
SysTrust®)の勝手訳です。今回はa. 新規ユーザーの登録と承認とb. ユーザーの識別と認証です。
a. Registration and authorization of new users:
a. 新規ユーザーの登録と承認:
• Customers can self-register on the entity’s Web site, under a secure
session in which they provide new user information and select an appropriate user identification (ID) and password. Privileges and authorizations associated with self-registered customer accounts provide specific limited system functionality.
• 顧客はWebサイトにて、新ユーザー情報と専用の個人識別(ID)とパスワードの選択が提供された安全な接続で、自身で登録できる。権限と許可は、特定の限定されたシステム機能が提供される自己 登録顧客アカウントと関連付けられる。
• The ability to create or modify users and user access privileges (other than the limited functionality “customer accounts”) is limited to the security administration team.
• ユーザーとユーザーのアクセス権限(機能が限定された「お客様アカウント」以外)を作成または修正する能力はセキュリ ティ管理チームに限定される。
• The line-of-business supervisor authorizes access privilege change requests for employees and contractors. Customer access privileges beyond the default privileges granted during self-registration are approved by the customer account manager. Proper segregation of duties is considered in granting privileges.
• ビジネスラインの監督者は従業員と契約者のアクセス権の変更要求 を承認する。顧客の、自己登録 中に付与される既定の権限を超えるアクセス権は、顧客アカウントマネージャーによって認定される。適切な職務の分離は権限の付与を考慮する。
b. Identification and authentication of users:
b. ユーザーの識別と認証:
• Users are required to log on to the entity’s network and application systems with their user ID and password before access is granted.
Unique user IDs are assigned to individual users. Passwords must contain at least six characters, one of which is nonalphanumeric.
Passwords are case sensitive and must be updated every 90 days.
• ユーザーは、アクセスが付与される前に、ネットワークとアプリケーションシステムに彼らのユーザーIDとパスワードで ログオンすることが要求される。
一意のユーザーIDとパスワードはユーザー個人に割り当てられる。パスワードは最低でも6文字以上であり、一文字は英数 字以外である。
パ スワードは大文字小文字の区別をし、90日毎に更新されなければならない。
Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and
SysTrust®)の勝手訳です。今回はa. 新規ユーザーの登録と承認とb. ユーザーの識別と認証です。
a. Registration and authorization of new users:
a. 新規ユーザーの登録と承認:
• Customers can self-register on the entity’s Web site, under a secure
session in which they provide new user information and select an appropriate user identification (ID) and password. Privileges and authorizations associated with self-registered customer accounts provide specific limited system functionality.
• 顧客はWebサイトにて、新ユーザー情報と専用の個人識別(ID)とパスワードの選択が提供された安全な接続で、自身で登録できる。権限と許可は、特定の限定されたシステム機能が提供される自己 登録顧客アカウントと関連付けられる。
• The ability to create or modify users and user access privileges (other than the limited functionality “customer accounts”) is limited to the security administration team.
• ユーザーとユーザーのアクセス権限(機能が限定された「お客様アカウント」以外)を作成または修正する能力はセキュリ ティ管理チームに限定される。
• The line-of-business supervisor authorizes access privilege change requests for employees and contractors. Customer access privileges beyond the default privileges granted during self-registration are approved by the customer account manager. Proper segregation of duties is considered in granting privileges.
• ビジネスラインの監督者は従業員と契約者のアクセス権の変更要求 を承認する。顧客の、自己登録 中に付与される既定の権限を超えるアクセス権は、顧客アカウントマネージャーによって認定される。適切な職務の分離は権限の付与を考慮する。
b. Identification and authentication of users:
b. ユーザーの識別と認証:
• Users are required to log on to the entity’s network and application systems with their user ID and password before access is granted.
Unique user IDs are assigned to individual users. Passwords must contain at least six characters, one of which is nonalphanumeric.
Passwords are case sensitive and must be updated every 90 days.
• ユーザーは、アクセスが付与される前に、ネットワークとアプリケーションシステムに彼らのユーザーIDとパスワードで ログオンすることが要求される。
一意のユーザーIDとパスワードはユーザー個人に割り当てられる。パスワードは最低でも6文字以上であり、一文字は英数 字以外である。
パ スワードは大文字小文字の区別をし、90日毎に更新されなければならない。
2010年3月24日水曜日
基準 3.0
引き続き、Trust Services Principles, Criteria and Illustrations for Security, Availability,
Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and
SysTrust®)の勝手訳です。今回は基準3.0です。
Criteria 3.0
Procedures: The entity uses procedures to achieve its documented system security objectives in accordance with its defined policies.
基準 3.0手順:定義されたポリシーに従い、明文化されたシステムセキュリティの目的達成のために手順を使用する。
Criteria 3.1
Procedures exist to restrict logical access to the defined system including,
but not limited to, the following matters:
a. Registration and authorization of new users.
b. Identification and authentication of users.
c. The process to make changes and updates to user profiles.
d. The process to grant system access privileges and permissions.
e. Distribution of output restricted to authorized users.
f. Restriction of logical access to offline storage, backup data, systems,
and media.
g. Restriction of access to system configurations, superuser functionality,
master passwords, powerful utilities, and security devices (for example, firewalls).
基準 3.1手順は以下の事柄を含む(が以下の事柄に限定されない)定義されたシステムの制限された論理 的アクセスにより成り立つ。
a. 新規ユーザーの登録と承認
b. ユーザーの識別と認証
c. ユーザープロフィールの変更と更新の過程
d. システムアクセス権限との許可の付与の過程
e. アウトプットの配布は許可されたユーザーに制限
f. オフラインストレージ、バックアップデータ、システムそして媒体への論理的アクセスの制限
g. システム設定や特権ユーザー機能、マスターパスワード、強力なユーティリティ、そしてセキュリティデバイス(例:ファイアーウォール)への論理的アクセス の制限
Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and
SysTrust®)の勝手訳です。今回は基準3.0です。
Criteria 3.0
Procedures: The entity uses procedures to achieve its documented system security objectives in accordance with its defined policies.
基準 3.0手順:定義されたポリシーに従い、明文化されたシステムセキュリティの目的達成のために手順を使用する。
Criteria 3.1
Procedures exist to restrict logical access to the defined system including,
but not limited to, the following matters:
a. Registration and authorization of new users.
b. Identification and authentication of users.
c. The process to make changes and updates to user profiles.
d. The process to grant system access privileges and permissions.
e. Distribution of output restricted to authorized users.
f. Restriction of logical access to offline storage, backup data, systems,
and media.
g. Restriction of access to system configurations, superuser functionality,
master passwords, powerful utilities, and security devices (for example, firewalls).
基準 3.1手順は以下の事柄を含む(が以下の事柄に限定されない)定義されたシステムの制限された論理 的アクセスにより成り立つ。
a. 新規ユーザーの登録と承認
b. ユーザーの識別と認証
c. ユーザープロフィールの変更と更新の過程
d. システムアクセス権限との許可の付与の過程
e. アウトプットの配布は許可されたユーザーに制限
f. オフラインストレージ、バックアップデータ、システムそして媒体への論理的アクセスの制限
g. システム設定や特権ユーザー機能、マスターパスワード、強力なユーティリティ、そしてセキュリティデバイス(例:ファイアーウォール)への論理的アクセス の制限
登録:
投稿 (Atom)
