信頼プランの概要
信頼プランまたはスコア プランは、ネットワーク エンティティの信頼スコアの計算方法を定義します。これは、各要素カテゴリの信頼要素のセットで構成されます。
また、定義します
-
変数カテゴリおよび評判カテゴリの各因子の寄与度値で、同じカテゴリ内の他の因子と比較した因子の有意性を記述します。
-
変数カテゴリとレピュテーション カテゴリの貢献度係数は、各カテゴリが合計信頼スコアに貢献する割合を定義します。
トラストスコアプランは、次の方法でネットワークエンティティに適用されます。
-
プランで定義された係数と、ネットワーク エンティティのそれらの係数の最新値に基づいて信頼スコアを計算します。
-
信頼スコアの結果を生成して永続化する。
貢献度の値は、信頼スコア計画の信頼係数に関連付けられ、信頼スコアの計算に対する因子の寄与度を定義するために使用されます。貢献度値の使用方法は、関連付けられている信頼係数のタイプによって異なります。
信頼係数には、暗黙の最大貢献度と実際の寄与度があります。カテゴリのパーセンテージ スコアは、 (各因子の実際の寄与度の合計/最大寄与度の合計) * 100 と決定されます。
全体的なパーセンテージスコアは、変数と評判のパーセンテージから導き出され、これらのカテゴリの貢献度に従って調整されます。
この初期リリースで提供されるコンプライアンスベンチマークドキュメントは、インターネットセキュリティセンター(CIS)によって公開されたドキュメントに基づいています。
CISコントロール実装グループ(IG)は、サイバーセキュリティの特性に基づく部門です。各グループは、同様のリスクプロファイルと実装を目指すリソースを持つ組織にとって合理的であると評価されたサブセットを特定します。これらのIGは、さまざまなタイプのビジネス向けにカスタマイズされたCISコントロールの断面を表しています。各IGは前のIGの上に構築されます。たとえば、IG2 には IG1 が含まれ、IG3 には IG1 と IG2 のすべてのコントロールが含まれます。
CISは、企業がIGから継承することにより、コントロールの標準化を優先することを推奨しています。企業は、IG1、IG2、後にIG3にコントロールを実装する必要があります。IG1に含まれるコントロールは、成功に不可欠です。IG1のサポートは、サイバーセキュリティプログラムの一環として最初に行うことの1つとして考慮する必要があります。CISは、IG1を サイバーハイジーン と表現しています。これは、一般的な攻撃から防御するために適用する必要がある不可欠な保護です。
コンプライアンスの場合、IGは、各信頼要因に対して適切な貢献を割り当てるためのガイダンス、またはベンチマーク文書のルールとして使用されます。