掲示板お問い合わせランダムジャンプ

Google広告

2007年10月26日
フォレンジック
フォレンジックと言う聴きなれない言葉に出会うが直ぐに忘れてしまう。

「法的に有効な手段で過去に発生した事象を立証することが可能になる」ことがらかな。

改ざんが行なわれた、アクセスがあった、メールが送られた、などの情報システムの利用に関わる事象を合理的に証明可能とする活動が、多分、デジタル・フォレンジックかな。

法的な問題が発生した時に、確実に相手(加害者)を訴えることが出来る、あるいは、訴えられた時に抗弁できる材料として用意すること。

近頃、電話をすると証拠のために録音しますとメッセージが出ることがある。これは変ないたずら電話などは防止できてしまう。

ところで、証拠を集めまくった時に、自分に非がある材料も集めてしまう。この場合、隠蔽・隠匿しても良いのかな?

[ 投稿者:ISMSNEWS at 20:04 | (道草) | コメント(0) | トラックバック(0) ]

2007年10月04日
ISO1007
ISO1007

「品質管理-構成管理の指針」と言うものらしい。構成管理って実はあまり馴染みがないので基本を押さえたいが、指針の中で構成管理の定義を以下のように行なっているらしい。

***/+/***

「構成管理とは,製品の構成を文書化するものである。構成管理は,ライフサイクルの全段階で,識別及びトレーサビリティ,その物理的及び機能的要求事項の達成状況並びに正確な情報へのアクセスをもたらす。構成管理は,組織の規模並びに,製品の複雑さ及び性質に基いて実施できる。構成管理は,ISO9001 に規定されている製品識別及びトレーサビリティ要求事項を満たすために使用することができる。」

***/+/***

これってとっても大変なこと。

しかし、意識していなくても都度開発現場でやっていた。レベルはバラバラ。組織としての取組みは弱い。そうでもない。コンフィギュレーションマネジャーなんか置いていたりするから、商品開発ではしっかりやっている。問題は社内情報システムはもともとかき集め的な要素があるので、この辺のマネジメントは弱い。

だから、担当が変わるとこぼれる物もあったはず。

規格にするのはそれを許さない業界の姿勢。これは要求規格ではなくて規範規格だろう。

ISMSでは、17799の12.4.3.の実現の時に記載(宣言)してしまえば要求規格になる。ただ、12.4.3はプログラムソースコードのアクセス制御の切り口での要求なので構成管理全体の要求に答えるものではない。

*

構成管理と変更管理の整合化:

構成管理と変更管理はものの本をつまみ読みするとどうも上下がはっきりしない。一度ここで関連を整理しておきたい。

今の変更管理はシステム変更というイベント(プロジェクト)を立上げ・実施し・完了させるための手順を明確にすることに主眼が行っている。承認プロセス
である。正しい要求を正しくレビューし実行し確認する。

一方、構成管理は、システムのライフサイクルを通じて、構成内容(構成方法、環境、パフォーマンス、不具合などシステムを確実に実現させるために必要な一切の情報を含む)を管理するもの。

変更イベントの出発点と終了点の間の手順は変更管理、出発点の状況と終了点の状況の管理は構成管理のスパンと理解して良さそうだ。ストックとフローの関係のイメージで宜しいかと。

***/+/***

構成管理は、システムをターミネートしてから一定期間保管する。構成管理のスタートポイントは遅くとも最初にシステムインテグレーションを行なうシステムテストの段階から始めなければならない。

構成管理の担当者は構成(インテグレーション)を識別し、システムの各バージョンの構成の内容を台帳で管理すること。

不具合対応時に参照する性格のものであるため、台帳は容易に参照できるように考慮すること。

システム主管はシステムの構成管理を行なうとともに、その内容を構成管理統括担当提出すること。構成管理統括担当はシステムのシステムテスト開始からターミネートまで構成管理データの保管を行なうこと。

構成管理としては以下の内容を含めること。システムの特性により適宜追加すること。

・システム名、システムインテグレーション識別名
・文書構成:文書名、版番号、発効日・改定日
・ソフトウエア構成:プログラムタイトル、ファイル名、バージョン、日付
・ハードウエア構成:
・ネットワーク構成:
文書には設計書・手順書・テスト結果・不具合情報・前バージョンとの差異などシステムの機能的・物理的特性の管理に関するもの一切を含める。

構成管理情報の改ざんが行なわれると、トラブル時のトレースあるいはシステム変更が正しく出来ない。構成管理の独立した担当が望ましいが、兼務でやる場合は、結果を構成管理統括担当に提示し、他による改ざんが出来ない手当てが必要である。

***/+/***

(規則案)

上記でいいだろうか。

各システムの主管は、システムの構成管理を行なうこと。バージョンの変更が生じた時は、その構成を明確にし、全バージョンとの差異を容易に理解できるようにすること。

***/+/***

[ 投稿者:ISMSNEWS at 21:24 | (道草) | コメント(0) | トラックバック(0) ]

JIS X 0160
JIS X 0160 あまり目にしたことのないナンバーです。ネットで見ると国際規格「ISO/IEC 12207:1995 Information technology - Software life cycle process」を日本語に翻訳したものとのこと。1996年発行ってその後の見直しはどうなっているのか知らん。



・取得プロセス
・供給プロセス
・開発プロセス
・運用プロセス
・保守プロセス

これが普通の開発運用のフェーズ。



・文章化プロセス
・構成管理プロセス
・品質保証プロセス
・検証プロセス
・妥当性確認プロセス
・共同レビュープロセス
・監査プロセス
・問題解決プロセス

これは支援プロセス又は管理プロセスですね。これもプロジェクト単位のプロセス。



・管理プロセス
・環境整備プロセス
・改善プロセス
・教育訓練プロセス
・修正プロセス

マネジメントプロセス。年度計画のイメージですね。組織単位のプロセスと見てもいいかな。



今更、規格を読む気にもならないが、今まで特に困ることもなかったから無視していいのかな?

[ 投稿者:ISMSNEWS at 21:20 | (道草) | コメント(0) | トラックバック(0) ]