...

External Supplier Control Requirements

by user

on
Category: Documents
22

views

Report

Comments

Transcript

External Supplier Control Requirements
外部サプライヤー管理要件
サイバーセキュリティー
低サイバーリスクに分類されたサプライヤー用
2015年7月付け第6.0版
サイバーセキュリ
ティー要件
1.資産保護とシステム設
定
説明
本件が重要である理由
Barclays Data
および資産、または、それを格納または処理するシステムは、
物理的改ざん、損失、損害または強制、および、不適切な設定
この原則が履行されない場合、不適切に保護されたBarclays Data
は危害を受ける可能性があり、法律上および規制上の制裁、または、名声の
毀損を招くおそれがあります。
同様に、Barclays Data
への不正アクセス、サービスの損失、または、他の悪意ある行為を可能にす
るセキュリティー上の問題に対して、サービスが脆弱になる可能性がありま
または変更から保護しなければなりません。
す。
2.変更とパッチの管理
Barclays Data
およびその格納または処理に使用されるすべてのシステムは、
有効性や整合性に危害を加える可能性がある不適切な変更から
この原則が履行されない場合、消費者データが危害を受けたり、サービスの
損失、または、他の悪意ある行為を可能にしたりする、セキュリテーィ上の
問題に対して、サービスが脆弱になる可能性があります。
保護することが必要です。
3.クラウド/インターネッ
トコンピューティング
公開インターネット接続のクラウドに格納された Barclays
Data
は、データ漏洩を防止するために、適切な管理によって保護し
この原則が履行されない場合、不適切に保護されたBarclays Data
は危害を受ける可能性があり、法律上および規制上の制裁、または、名声の
毀損を招くおそれがあります。
なければなりません。
4.サイバーセキュリティ
リスク管理
Barclays Data
および重要なインフラストラクチャーは、ふさわしい人員とテ
クノロジー管理によって適切に保護し、サイバー攻撃後のサー
ビス中断を防止しなければなりません。
サイバーリスク評価:
組織運営、資産および個人へのサイバーセキュリティリスクプ
ロフィールは、次の観点から理解しなければなりません
•
資産アクセスの脆弱性
•
内部および外部両方の脅威の特定; および
•
ビジネスへの影響の可能性評価
リスクと脅威を特定し、軽減するために、優先順位を付けてそ
2015年7月付け第6.0版
この原則が履行されない場合、秘密情報が曝露され、および/または、サー
ビスの損失が発生する可能性があり、法律上および規制上の制裁、または、
名声の毀損を招く場合があります。
れに従って措置を取らなければなりません。
サイバーセキュリ
ティー要件
4.サイバーセキュリティ
リスク管理(続き)
説明
本件が重要である理由
サイバーセキュリティーガバナンス:
適切なサイバーセキュリティーガバナンスを制定し、以下を担
保しなければなりません:
•
情報セキュリティーとサプライヤーのビジネスを統合
することに一貫した責任を負う、専門家情報/サイバ
ーセキュリティー機能が確立していること
•
サプライヤーの規制上、法律上、サイバーリスク上、
環境上、および、運用上の要件が、理解され、文書化
され、整備され、年1回のベースで上級経営陣により
承認されることを管理し、監視するポリシー、手順、
および、プロセス
インシデント対応:
セキュリティーインシデントやデータ侵害に対応し、Barclays
に報告しなければなりません。Barclays Data
および/あるいは Barclays
により使用されるサービスに関連する侵入を、タイムリーに処
理し報告する、インシデント対応プロセスを確立することが必
要です。これには、フォレンジック調査への適切なアプローチ
が含まれる必要があります。
5.マルウェア保護
6.ネットワークセキュリ
2015年7月付け第6.0版
ウィルスや他の形式のマルウェアなどの悪意あるソフトウェア
から適切に保護するために、マルウェア対策管理とツールを整
備しなければなりません。
この原則が履行されない場合、秘密情報が曝露され、法律上および規制上の
サービスの一部として、外部および内部ネットワークのすべて
を特定し、それを通した攻撃に対して、防御を行うため適切な
この原則が履行されない場合、外部または内部ネットワークは、その内部サ
ービスまたはデータにアクセスしようとする攻撃者により、弱体化されるお
制裁、または、名声の毀損を招く場合があります。
ティー
保護をしなければなりません。
それがあります。
外部接続:
ネットワークへのすべての外部接続は文書記録し、ファイヤー
ウォールを経由させ、接続が確立される前に検証し承認するこ
とで、データセキュリティー違反を防止しなければなりません
サイバーセキュリ
ティー要件
6.ネットワークセキュリ
ティー(続き)
説明
本件が重要である理由
無線アクセス:
ネットワークへのすべての無線アクセスは、セキュリティー違
反を防止するために、承認、認証、分離、暗号化プロトコルを
条件とし、Barclays による承認を受けなければなりません
侵入検知/防止:
侵入検知、防止システムおよびツールをネットワークの適切な
位置に配置し、持続的標的型攻撃(APT)を含む、サイバーセ
キュリティー違反を検知するために、アウトプットを監視しな
ければなりません。
分散サービス妨害(DDoS):
多層防御アプローチを、ネットワークと主要システムに実装し
、サイバー攻撃によるサービス中断を常時、防止しなければな
りません。これには、サービス妨害(DoS)および分散サービ
ス妨害(DDoS)攻撃が含まれます。
7.セキュリティーの高い
開発
モバイルアプリケーションを含むサービスやシステムは、その
セキュリティーに関する脆弱性や脅威を軽減し、保護するよう
この原則が履行されない場合、消費者データが危害を受けたり、サービスの
損失、または、他の悪意ある行為を可能にしたりする、セキュリテーィ上の
に設計・開発しなければなりません。
問題に対して、サービスが脆弱になる可能性があります。
セキュリティーの高い開発の方法論:
すべての開発は、承認され文書化された「システム開発方法論
」に沿って取り組まれ、常時、セキュリティーの脆弱性を防止
し、脆弱性を修正しなければなりません。
2015年7月付け第6.0版
環境の分離:
すべてのシステム開発/構築は、非運用環境で取り扱い、任務
を強制的に分離して、データ漏洩や不意のデータ改ざん/削除
を防止しなければなりません。事前にBarclays
によって合意されていない場合、実データでテストすることは
できません。
サイバーセキュリ
ティー要件
7.セキュリティーの高い
説明
重要である理由
品質保証:
開発(続き)
品質保証機能は、すべての主要なセキュリティー活動がシステ
ム開発プロセスに組み込まれ、サービス中断やセキュリティー
脆弱性を防止していることを確認しなけれなりません。
8.セキュリティー評価
8.セキュリティー評価(
続き)
ソフトウェア、IT
システムおよびサービスは、脆弱性を、単独で、徹底的にテス
この原則が履行されない場合、秘密情報が曝露され、および/または、サー
ビスの損失が発生する可能性があり、法律上および規制上の制裁、または、
トしなければなりません。
名声の毀損を招く場合があります。
侵入試験
サプライヤーは、災害復旧サイトを含めた、 IT
インフラストラクチャーの単独の IT セキュリティー評価 /
侵入試験を保証しなければなりません。このことは、サイバー攻撃により
Barclays Data
のプライバシーを侵すために利用されるおそれがある脆弱性を特定するため
に、少なくとも年1回実施しなければなりません。すべての脆弱性は、解決
のために、優先順位を付けて追跡しなければなりません。テストは、業界の
適切な慣行に沿って、認知されたセキュリティー評価業者によって取り組ま
なければなりません。
2015年7月付け第6.0版
セキュリティー評価は、以下の目的で、サプライヤーのシステムで実行されるテストを意味します:
a) アプリケーション上、または、インフラストラクチャー上の設計および/または機能上の問題の特定;
b) アプリケーション、ネットワーク外縁、または、他のインフラストラクチャー要素の弱点、および、プロセスまたは技術的対策の
弱点の精査;
c) 不十分または不適切なシステム設定に起因する脆弱性、既知および/または未知のハードウェアの欠陥の特定。悪意ある活動による
サプライヤーまたは Barclays
のリスクを露呈させることができる、次の例のインフラストラクチャーおよびアプリケーションのテストを含みますが、これらに
限定されません;
i.
無効またはサニタイズされていない入力;
ii.
破損したアクセス管理;
iii.
破損した認証とセッション管理;
iv.
クロスサイトスクリプティング(XSS)欠陥;
v.
バッファオーバーフロー;
vi.
インジェクション欠陥;
vii.
不適切なエラー処理;
viii.
セキュリティーの低いストレージ;
ix.
サービス妨害;
x.
セキュリティーの低い設定管理;
xi.
SSL/TLSの適切な使用;
xii.
暗号化の適切な使用; および
xiii.
ウィルス対策の信頼性と試験。
この評価は、通常、一般に侵入試験と呼ばれる作業も含みます。
セキュリティー評価業者とは、セキュリティー評価を実行するために契約された、適切に認定されたサードパーティーを意味します。
2015年7月付け第6.0版
ITセキュリ
ティー要件
説明
本件が重要である理由
9.システム監
システムの監視、監査、ログ記録は、不適切または悪意あ
この原則が履行されない場合、サプライヤーは、彼らのサービスまたはデータの不適切また
視
る活動を検知するため、整備しなければなりません。
は悪意ある利用を、妥当なタイムスケール内に検知して対応することができません。
2015年7月付け第6.0版
Fly UP