Director of Central Intelligence Directive (DCID) 6/3

セキュアOS


セキュリティキャンプのネタを確認していたところにDCIDも追加した。


OMOKさんの日記にもDCIDについて書いてあった。
http://omok.livejournal.com/1948.html


DCIDとは「Director of Central Intelligence Directive」の略。
原文はココ
http://www.fas.org/irp/offdocs/dcid-6-3-manual.pdf


日本語の解説は以下のサイトがかんたんにまとめてある。


中央情報長官令 第 6/3 号 (DCID)
http://www.watchfire.com/jp/securityzone/dcid.asp
世界各国の法規制についてより
http://www.watchfire.com/jp/securityzone/regulations.asp

この連邦政府指令は、情報システムにおける機密情報の保管、処理および通信のためのセキュリティポリシーとその実施手順を定めています。機密情報は米国の安全保障を効果的に運用するうえで極めて重要であるため、機密情報の適切な管理、さらに機密情報の機密性、完全性および可用性の確保は不可欠です。


中央情報長官令 第 6/3 号(DCID)で規定されている内容

  • 機密情報の作成、処理、保管および通信を担うシステムのセキュリティおよび保護のためのポリシーならびにその実施手順を定める。
  • 相互接続システムなどについての管理要件およびシステム セキュリティ要件を定める。
  • リスク管理プロセスの運用を明確化し、義務付ける。
  • 認証認可プロセスの運用を明確化し、義務付ける。
  • 効果的なセキュリティ手順の運用、ならびにコンピュータによるコスト効率のよいセキュリティ機能およびセキュリティ保証の運用を促進する。
  • 情報システム セキュリティ コミュニティおよびシステム ユーザーに対して意思決定を担う個人の役割と責任を規定する。
  • システム セキュリティ要件の実施においてライフサイクルを通した管理を義務付ける。
  • 概念レベルでの問題点と保護レベルの情報を活用する。


注目する一文はコレ↓同盟国政府の情報システムにも適用されること

このポリシーならびに関連する実施マニュアルは、機密情報の処理、保管および通信を担うすべての米国政府機関、民間請負業者、同盟国政府の情報システムに適用されます。


DCIDの表紙のタイトル
「Protecting Sensitive Compartmented Information Within Information Systems」
情報システムにおける機密情報の保護について
みたいな感じかな

このマニュアルでは、情報システムの認定に必要な 11 項目について次のように規定しています。

1. 問題レベルの決定
2. 保護レベルの決定
3. 相互接続システムの要件決定
4. セキュリティ保証の技術的要件の明確化
5. 必要なドキュメントおよびテスト作業の決定
6. システム セキュリティ計画の策定
7. セキュリティ状況の検証
8. セキュリティ要件に照らしたテストの実施
9. 認証パッケージの準備
10. 認証パッケージの送付
11. DAA による認定決定

DAAとは「Designated Accrediting Authority」のこと。
正式に任命された認可する権限を持った人みたいな感じ?


機密性については「Protection Levels」で表される。
範囲はPL1〜PL5まで。数値が高いほうが機密性が高い。


なので、最近はCCのEALやPPだけではなく、DCIDのPLについてもいっしょに記述されているような。


atsec information security Completes Red Hat Enterprise Linux 4 CAPP/EAL4+ Common Criteria Certification for IBM
http://www.atsec.com/01/index.php?id=03-0002-01&news=80

The scrutiny of Linux continues. Red Hat Enterprise Linux 5 is in evaluation at Evaluation Assurance Level 4 (EAL4) including the security functionality defined in three protection profiles recognized by the Common Criteria: CAPP, Labeled Security Protection Profile (LSPP), and Role-Based Access Control Protection Profile (RBAC). These profiles support the requirements of Director of Central Intelligence Directive (DCID) 6/3 at Protection Level 4, which specifies security intelligence related information and systems measures, including those necessary for Top Secret and Below Interoperability (TSABI).


SecureOffice® NetTop®2 - Thin Client
http://www.tcs-sec.com/products/1products1_1_5.html

BENEFITS

• Allows simultaneous desktop access to multiple security levels using a single thin client appliance

• Developed to meet the PL4 requirements of DCID 6/3

• Allows access to Windows® and Unix® applications for office automation, e-mail, web browsing and collaboration

• Lowers total cost-of-ownership through reduced infrastructure and support for low cost, PC-based infrastructure – replaces multiple desktop computers with one device

• Delivers enhanced NSA NetTop security for enterprise deployments

• Built on a trusted Linux open source operating system

• Compatible with SecureOffice® suite of cross-domain applications

Trusted Network Environment (TNE)
Trusted Solaris8 and Oracle9i with OLS databaseのやつ
http://www.gd-ais.com/capabilities/offerings/marketing/TNE.pdf

Accreditable DCID 6/3 PL-4 Multi-Level Security solution
・Simultaneous access to multiple classified networks from a single workstation
・One window, one application, all levels of classification


などなどもっとありそう。