- - PR -
パスワードの定期変更とBS7799について
1
投稿者 | 投稿内容 |
---|---|
|
投稿日時: 2002-07-26 12:23
[パスワードの定期変更とBS7799について]
かちのち と言います。 「スローポリシーのススメ」に関して。 BS7799を硬く捕らえるとそうなるが、適合宣言書を作る目的は、企業の実態に管理策の適用を合理的に対応させることにある。したがって、パスワードの定期的変更はせず、「パスワードの扱いについて半年後に見直しを行う」と言う選択肢があって良いはず。それが、企業の従業員を含む環境において安全であるという分析結果が出ていれば良い。中小企業の中には、従業員環境が比較的安定なケースが多く、対外的な不明確部分を分離すれば、部門のポリシーとしては問題がないものと判断できる。技術的な支援なしに無理に定期的なパスワード変更を持ち込むのは返って問題を発生させる。 少なくとも私はそう判断します。 以 上 |
|
投稿日時: 2002-08-28 17:04
私も「スローポリシーのススメ」を読みましたが、どうもBS7799に関する部分には
疑問が残ります。 そもそもBS7799 Part1はベストプラクティスであって、仕様ではありませんから Part1の内容が、ポリシーの中で必須のファクタになるというのは正しいとは思え ません。 Part1のForewordでもPart1の基準が仕様であるかのように引用してはならないと 書かれています。 つまりPart2にある、「ユーザが正しいセキュリティ慣行を行わなくてはならない」 という管理策においては、その意味そのままで捉えるべきで、それ以降の具体的 策については、かちのちさんのおっしゃられるように、リスク分析結果を踏まえて 組織が許容できるレベルで自ら定める、と、BS7799の仕様でもなっているはずです。 さらにいうと、その「パスワード管理」の策もリスクマネジメントの結果として 不要と判断し、適切な理由が明記されていれば、策を無理に適用する必要はない ですし、それでも認証で適合となるはずです。 「スローポリシーのススメ」を読んでいて、まるで”BS7799の仕様に書かれている こと全て守らないといけない”と私には読めたのですが、 BS7799やISMS適合性評価制度における管理策導入は、 「『リスク分析』をして『管理策を選択(足りなければ必要な策を追加)』しなければ ならない」 また、 「管理策はその『有効性』を定期的に評価し、必要であれば修正しなければならない」 というものですから、実際にやることはスローポリシーもこれら規格も大してかわらない のではないのではとおもうのですが… |
1