Comments
Description
Transcript
External Supplier Control Requirements
外部サプライヤー管理要件 サイバーセキュリティー 低サイバーリスクに分類されたサプライヤー用 2015年7月付け第6.0版 サイバーセキュリ ティー要件 1.資産保護とシステム設 定 説明 本件が重要である理由 Barclays Data および資産、または、それを格納または処理するシステムは、 物理的改ざん、損失、損害または強制、および、不適切な設定 この原則が履行されない場合、不適切に保護されたBarclays Data は危害を受ける可能性があり、法律上および規制上の制裁、または、名声の 毀損を招くおそれがあります。 同様に、Barclays Data への不正アクセス、サービスの損失、または、他の悪意ある行為を可能にす るセキュリティー上の問題に対して、サービスが脆弱になる可能性がありま または変更から保護しなければなりません。 す。 2.変更とパッチの管理 Barclays Data およびその格納または処理に使用されるすべてのシステムは、 有効性や整合性に危害を加える可能性がある不適切な変更から この原則が履行されない場合、消費者データが危害を受けたり、サービスの 損失、または、他の悪意ある行為を可能にしたりする、セキュリテーィ上の 問題に対して、サービスが脆弱になる可能性があります。 保護することが必要です。 3.クラウド/インターネッ トコンピューティング 公開インターネット接続のクラウドに格納された Barclays Data は、データ漏洩を防止するために、適切な管理によって保護し この原則が履行されない場合、不適切に保護されたBarclays Data は危害を受ける可能性があり、法律上および規制上の制裁、または、名声の 毀損を招くおそれがあります。 なければなりません。 4.サイバーセキュリティ リスク管理 Barclays Data および重要なインフラストラクチャーは、ふさわしい人員とテ クノロジー管理によって適切に保護し、サイバー攻撃後のサー ビス中断を防止しなければなりません。 サイバーリスク評価: 組織運営、資産および個人へのサイバーセキュリティリスクプ ロフィールは、次の観点から理解しなければなりません • 資産アクセスの脆弱性 • 内部および外部両方の脅威の特定; および • ビジネスへの影響の可能性評価 リスクと脅威を特定し、軽減するために、優先順位を付けてそ 2015年7月付け第6.0版 この原則が履行されない場合、秘密情報が曝露され、および/または、サー ビスの損失が発生する可能性があり、法律上および規制上の制裁、または、 名声の毀損を招く場合があります。 れに従って措置を取らなければなりません。 サイバーセキュリ ティー要件 4.サイバーセキュリティ リスク管理(続き) 説明 本件が重要である理由 サイバーセキュリティーガバナンス: 適切なサイバーセキュリティーガバナンスを制定し、以下を担 保しなければなりません: • 情報セキュリティーとサプライヤーのビジネスを統合 することに一貫した責任を負う、専門家情報/サイバ ーセキュリティー機能が確立していること • サプライヤーの規制上、法律上、サイバーリスク上、 環境上、および、運用上の要件が、理解され、文書化 され、整備され、年1回のベースで上級経営陣により 承認されることを管理し、監視するポリシー、手順、 および、プロセス インシデント対応: セキュリティーインシデントやデータ侵害に対応し、Barclays に報告しなければなりません。Barclays Data および/あるいは Barclays により使用されるサービスに関連する侵入を、タイムリーに処 理し報告する、インシデント対応プロセスを確立することが必 要です。これには、フォレンジック調査への適切なアプローチ が含まれる必要があります。 5.マルウェア保護 6.ネットワークセキュリ 2015年7月付け第6.0版 ウィルスや他の形式のマルウェアなどの悪意あるソフトウェア から適切に保護するために、マルウェア対策管理とツールを整 備しなければなりません。 この原則が履行されない場合、秘密情報が曝露され、法律上および規制上の サービスの一部として、外部および内部ネットワークのすべて を特定し、それを通した攻撃に対して、防御を行うため適切な この原則が履行されない場合、外部または内部ネットワークは、その内部サ ービスまたはデータにアクセスしようとする攻撃者により、弱体化されるお 制裁、または、名声の毀損を招く場合があります。 ティー 保護をしなければなりません。 それがあります。 外部接続: ネットワークへのすべての外部接続は文書記録し、ファイヤー ウォールを経由させ、接続が確立される前に検証し承認するこ とで、データセキュリティー違反を防止しなければなりません サイバーセキュリ ティー要件 6.ネットワークセキュリ ティー(続き) 説明 本件が重要である理由 無線アクセス: ネットワークへのすべての無線アクセスは、セキュリティー違 反を防止するために、承認、認証、分離、暗号化プロトコルを 条件とし、Barclays による承認を受けなければなりません 侵入検知/防止: 侵入検知、防止システムおよびツールをネットワークの適切な 位置に配置し、持続的標的型攻撃(APT)を含む、サイバーセ キュリティー違反を検知するために、アウトプットを監視しな ければなりません。 分散サービス妨害(DDoS): 多層防御アプローチを、ネットワークと主要システムに実装し 、サイバー攻撃によるサービス中断を常時、防止しなければな りません。これには、サービス妨害(DoS)および分散サービ ス妨害(DDoS)攻撃が含まれます。 7.セキュリティーの高い 開発 モバイルアプリケーションを含むサービスやシステムは、その セキュリティーに関する脆弱性や脅威を軽減し、保護するよう この原則が履行されない場合、消費者データが危害を受けたり、サービスの 損失、または、他の悪意ある行為を可能にしたりする、セキュリテーィ上の に設計・開発しなければなりません。 問題に対して、サービスが脆弱になる可能性があります。 セキュリティーの高い開発の方法論: すべての開発は、承認され文書化された「システム開発方法論 」に沿って取り組まれ、常時、セキュリティーの脆弱性を防止 し、脆弱性を修正しなければなりません。 2015年7月付け第6.0版 環境の分離: すべてのシステム開発/構築は、非運用環境で取り扱い、任務 を強制的に分離して、データ漏洩や不意のデータ改ざん/削除 を防止しなければなりません。事前にBarclays によって合意されていない場合、実データでテストすることは できません。 サイバーセキュリ ティー要件 7.セキュリティーの高い 説明 重要である理由 品質保証: 開発(続き) 品質保証機能は、すべての主要なセキュリティー活動がシステ ム開発プロセスに組み込まれ、サービス中断やセキュリティー 脆弱性を防止していることを確認しなけれなりません。 8.セキュリティー評価 8.セキュリティー評価( 続き) ソフトウェア、IT システムおよびサービスは、脆弱性を、単独で、徹底的にテス この原則が履行されない場合、秘密情報が曝露され、および/または、サー ビスの損失が発生する可能性があり、法律上および規制上の制裁、または、 トしなければなりません。 名声の毀損を招く場合があります。 侵入試験 サプライヤーは、災害復旧サイトを含めた、 IT インフラストラクチャーの単独の IT セキュリティー評価 / 侵入試験を保証しなければなりません。このことは、サイバー攻撃により Barclays Data のプライバシーを侵すために利用されるおそれがある脆弱性を特定するため に、少なくとも年1回実施しなければなりません。すべての脆弱性は、解決 のために、優先順位を付けて追跡しなければなりません。テストは、業界の 適切な慣行に沿って、認知されたセキュリティー評価業者によって取り組ま なければなりません。 2015年7月付け第6.0版 セキュリティー評価は、以下の目的で、サプライヤーのシステムで実行されるテストを意味します: a) アプリケーション上、または、インフラストラクチャー上の設計および/または機能上の問題の特定; b) アプリケーション、ネットワーク外縁、または、他のインフラストラクチャー要素の弱点、および、プロセスまたは技術的対策の 弱点の精査; c) 不十分または不適切なシステム設定に起因する脆弱性、既知および/または未知のハードウェアの欠陥の特定。悪意ある活動による サプライヤーまたは Barclays のリスクを露呈させることができる、次の例のインフラストラクチャーおよびアプリケーションのテストを含みますが、これらに 限定されません; i. 無効またはサニタイズされていない入力; ii. 破損したアクセス管理; iii. 破損した認証とセッション管理; iv. クロスサイトスクリプティング(XSS)欠陥; v. バッファオーバーフロー; vi. インジェクション欠陥; vii. 不適切なエラー処理; viii. セキュリティーの低いストレージ; ix. サービス妨害; x. セキュリティーの低い設定管理; xi. SSL/TLSの適切な使用; xii. 暗号化の適切な使用; および xiii. ウィルス対策の信頼性と試験。 この評価は、通常、一般に侵入試験と呼ばれる作業も含みます。 セキュリティー評価業者とは、セキュリティー評価を実行するために契約された、適切に認定されたサードパーティーを意味します。 2015年7月付け第6.0版 ITセキュリ ティー要件 説明 本件が重要である理由 9.システム監 システムの監視、監査、ログ記録は、不適切または悪意あ この原則が履行されない場合、サプライヤーは、彼らのサービスまたはデータの不適切また 視 る活動を検知するため、整備しなければなりません。 は悪意ある利用を、妥当なタイムスケール内に検知して対応することができません。 2015年7月付け第6.0版