| Executive Summary |
エグゼクティブサマリー |
| System plans collectively refer to the system security plan, system privacy plan, and cybersecurity supply chain risk management (C-SCRM) plan that describe the design and implementation of security, privacy, and cybersecurity supply chain protections throughout the system life cycle. System plans include information about the data being created, collected, disseminated, used, stored, and disposed; identify individuals who are responsible for system risk management efforts; describe the environment of operation, system components, and data flows within the environment; and account for system risks associated with information exchanges involving systems outside the authorization boundary. The structure and format of system plans are prepared according to organizational needs and the information described in this publication. |
システム計画とは、システムのライフサイクル全体を通して、セキュリティ、プライバシー、サイバーセキュリティサプライチェーンマネジメント(C-SCRM)防御の設計と実施を記述するシステムセキュリティプラン、システムプライバシープラン、サイバーセキュリティサプライチェーンマネジメント(C-SCRM)プランを総称したものである。システム計画には、作成、収集、普及、使用、保存及び廃棄されるデータに関する情報を含み、システムリスク マネジメントの取り組みに責任を負う個人を特定し、運用環境、システム構成要素及び環境内のデータフロー を記述し、認可境界外のシステムを含む情報交換に関連するシステムリスクを考慮する。システム計画の構成及び書式は、組織のニーズ及び本書に記載された情報に従って作成される。 |
| NIST Special Publication (SP) 800-18r2 (Revision 2) addresses the development and maintenance of system plans in support of risk management activities, such as tasks in the NIST Risk Management Framework (RMF) steps in [SP800-37]. This revision: |
NIST特別刊行物(SP)800-18r2(改訂2)は、[SP800-37]のNISTリスクマネジメントフレームワーク(RMF)のステップにおけるタスクなど、リスクマネジメント活動を支援するシステム計画の策定と保守に対応している。本改訂は、以下の内容を含んでいる: |
| ・ Provides content considerations for elements in system plans; |
・システム計画における要素の内容に関する考察を提供する; |
| ・ Discusses the use of automation to develop and maintain system plans over the system life cycle, including sharing and protecting system plan information; and |
・システム計画情報の共有と防御を含め、システムライフサイクルを通じたシステム計画の策定と維持のための自動化の利用について説明する。 |
| ・ Provides supplemental materials, including system plan outline examples and updated roles and responsibilities associated with system plans that may factor into system plan development. |
・システム計画の概要例や、システム計画策定に関連する役割と責任の更新などの補足資料を提供する。 |
| Federal agencies are required to develop and maintain system plans for managing risks, including implementation details for the controls allocated to address the requirements. Nonfederal organizations may voluntarily apply these guidelines to develop and maintain system plans consistent with their risk management strategies. |
連邦政府機関は、要件に対応するために割り当てられた管理の実施詳細を含む、リスクマネジメントのためのシステム計画を策定し、維持することが求められる。連邦政府以外の組織は、リスクマネジメント戦略に合致したシステム計画を策定・維持するために、自主的に本ガイドラインを適用することができる。 |
| 1. Introduction |
1. 序論 |
| All systems that process, store, and transmit information within an organization need safeguards that adhere to an organization-wide risk management strategy to address security, privacy, and cybersecurity supply chain risks. System plans collectively refer to the system security plan, system privacy plan, and cybersecurity supply chain risk management (C-SCRM) plan, which describe the assets and individuals being protected within an authorization boundary and the system risks associated with information exchanges that involve systems outside of the authorization boundary. |
組織内で情報を処理、保管、伝送するすべてのシステムには、セキュリティ、プライバシー、及びサイバーセキュリティのサプライチェーンリスクに対処するために、組織全体のリスクマネジメント戦略に準拠したセーフガードが必要である。システム計画は、システムセキュリティプラン、システムプライバシープラン、及びサイバーセキュリティサプライチェーンマネジメント(C-SCRM)プランを総称したものであり、認可バウンダリ内で保護される資産及び個人、並びに認可バウンダリ外のシステムを含む情報交換に関連するシステムリスクを記述する。 |
| ・ The system security plan describes the system security requirements, including the controls selected to protect the confidentiality, integrity, and availability of the system and its information. |
・システムセキュリティプランは、システム及びその情報の機密性、完全性及び可用性を保護するために選択された管理を含む、システムセキュリティ要件を記述する。 |
| ・ The system privacy plan describes the system privacy risk management requirements, including the controls selected to address predictability, manageability, and disassociability.[1] |
・システムプライバシー計画は、予測可能性、管理可能性、及び解離可能性に対処するために選択された管理を含む、システムプライバシーリスクマネジメントの要求事項を記述する[1]。 |
| ・ The C-SCRM plan describes the system’s C-SCRM requirements, including the controls to manage, implement, and monitor the supply chain and develop and sustain the system across mission and business functions. |
・C-SCRM計画は、サプライチェーンを管理し、実施し、監視し、ミッション及びビジネス機能にわたってシステムを開発し、維持するための統制を含む、システムのC-SCRM要件を記述する。 |
| The NIST Risk Management Framework (RMF) [SP800-37] provides a flexible methodology for organizations and systems to manage security, privacy, and supply chain risks. The expected outputs of RMF tasks (see Appendix A) inform the system plan elements that describe the system’s purpose; environment of operation; information that is stored, processed, and transmitted; data flows within the environment and with interconnected systems; control implementation details; and the roles and responsibilities of individuals associated with the system. Automation and information management tools can facilitate the collection, presentation, and update of system plan information.2 |
NISTリスクマネジメントフレームワーク(RMF) [SP800-37]は、組織及びシステムがセキュリティ、 プライバシー及びサプライチェーンリスクを管理するための 柔軟な方法論を提供するものである。RMFタスクの期待されるアウトプット(附属書Aを参照)は、システムの目的、運用環境、保存、処理、及び伝送される情報、環境内及び相互接続されたシステムとのデータフロー、統制の実施の詳細、並びにシステムに関連する個人の役割及び責任を記述するシステム計画要素に情報を与える。自動化と情報管理ツールは、システム計画情報の収集、提示、更新を容易にすることができる2。 |
| This publication focuses on the development of system plans that address system-level security, privacy, and C-SCRM requirements that are derived from enterprise, organization, and mission/business process requirements. These guidelines can also be extended to: |
本書は、エンタープライズ、組織、及びミッション/ビジネ スプロセスの要求事項に由来する、システムレベルのセキュリ ティ、プライバシー、及びC-SCRMの要求事項に対応するシ ステム計画の作成に焦点を当てている。これらのガイドラインはまた、以下のように拡張することができる: |
| ・ Common control providers that provide implementation details for controls available to be inherited by other systems; |
・他のシステムに継承可能な制御の実装の詳細を提供する共通制御プロバイダ; |
・ Requirements identified in [SP800-171] and [SP800-172] for the development of system security plans for nonfederal organizations protecting Controlled Unclassified Information (CUI); and
|
・管理対象非機密情報(CUI)を保護する連邦政府以外の組織のシステム・セキュリティ計画の策定に関する[SP800-171]及び[SP800-172]で識別される要件。 |
| ・ Organizations developing system plans for service offerings from cloud service providers, including software as a service (SaaS), infrastructure as a service (IaaS), and platform as a service (PaaS). |
・SaaS、IaaS、PaaSなど、クラウドサービスプロバイダが提供するサービスのシステム計画を策定する組織。 |
| System plans are required for federal systems in accordance with Office of Management and Budget (OMB) Circular A-130 [OMBA-130] and the provisions of the Federal Information Security Modernization Act (FISMA) of 2014 [FISMA].[2] Nonfederal organizations — including private and small businesses, academic institutions, and state, local, and tribal governments — may also utilize these guidelines to support their risk management programs. |
システム計画は、行政管理予算局(OMB)通達A-130[OMBA-130]および2014年連邦情報セキュリティ近代化法(FISMA)[FISMA]の規定に従って、連邦政府のシステムに対して要求される[2]。民間企業、中小企業、学術機構、州政府、地方政府、部族政府を含む連邦政府以外の組織も、リスク管理プログラムを支援するために本ガイドラインを利用することができる。 |
| 1.1. Relationship to Other NIST Guidelines |
1.1. 他のNISTガイドラインとの関係 |
| This publication is designed to support the NIST portfolio of risk management initiatives and publications[3] that address security, privacy, and supply chain risk management concepts and methodologies, including: |
本書は、セキュリティ、プライバシー、及びサプライチェーンリスクマネジメントの概念と方法論を扱った NIST のリスクマネジメントのイニシアティブ及び出版物[3]のポートフォリオを支援するように設計されている: |
| ・ SP 800-37, Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy [SP800-37] |
・SP 800-37「情報システム及び組織のためのリスクマネジメント枠組み」: セキュリティとプライバシーのためのシステムライフサイクルアプローチ[SP800-37]。 |
| ・ SP 800-53, Security and Privacy Controls for Information Systems and Organizations [SP800-53] |
・SP 800-53、情報システム及び組織のためのセキュリティ及びプライバシー管理 [SP800-53] |
| ・ SP 800-53A, Assessing Security and Privacy Controls in Information Systems and Organizations [SP800-53A] |
・SP 800-53A、情報システム及び組織におけるセキュリティ及びプライバシーコントロールのアセスメント [SP800-53A] |
| ・ SP 800-53B, Control Baselines for Information Systems and Organizations [SP800-53B] |
・SP 800-53B、情報システム及び組織のコントロール・ベースライン[SP800-53B]。 |
| ・ SP 800-161, Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations [SP800-161] |
・SP 800-161、システム及び組織のためのサイバーセキュリティサプライチェーンリスクマネジメントの実践[SP800-161]。 |
| ・ SP 800-171, Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations [SP800-171] |
・SP 800-171、連邦政府以外のシステム及び組織における管理対象非機密情報の防御 [SP800-171] [SP800-172 |
| ・ SP 800-172, Enhanced Security Requirements for Protecting Controlled Unclassified Information [SP800-172] |
・SP 800-172、管理対象非機密情報を保護するための拡張セキュリティ要件 [SP800-172] [SP800-172 |
| ・ NIST Privacy Framework: A Tool for Improving Privacy through Enterprise Risk Management [NISTPF] |
・NIST プライバシー枠組み: エンタープライズリスクマネジメントを通じてプライバシーを改善するためのツール[NISTPF]。 |
| ・ The NIST Cybersecurity Framework (CSF) [NISTCSF] |
・NIST サイバーセキュリティ枠組み(CSF)[NISTCSF]。 |
| 1.2. Document Organization |
1.2. 文書の構成 |
| The publication is organized into the following sections: |
本書は以下のセクションで構成されている: |
| ・ Section 2 describes system security, system privacy, and C-SCRM plans. |
・セクション2は、システムセキュリティ、 システムプライバシー及びC-SCRM計画について記述 している。 |
| ・ Section 3 identifies elements that may be included in system security, privacy, and C-SCRM plans. |
・セクション3は、システムセキュリティ、プライバシー及び C-SCRM計画に含まれ得る要素を特定する。 |
| ・ Section 4 describes how system plans are developed and maintained in relation to the RMF and with the support of automation. |
・セクション4は、RMFに関連し、自動化の支援を受けて、システ ム計画がどのように策定され、維持されるかを記述する。 |
| ・ The References section lists the source materials cited in this publication. |
・参考文献のセクションは、本書で引用した出典を列挙している。 |
| The following appendices provide additional information and resources that support the development of system plans: |
以下の附属書は、システム計画の策定を支援する追加的な情報とリソースを提供する: |
| ・ Appendix A summarizes the RMF task outputs included in system plans. |
・附属書Aは、システム計画に含まれるRMFタスクアウトプットをまとめたものである。 |
| ・ Appendix B lists the abbreviations and acronyms used in this publication. |
・附属書Bは、本書で使用されている略語と頭字語の一覧である。 |
| ・ Appendix C provides a glossary of the terms used in this publication. |
・附属書Cは、本書で使用されている用語の解説である。 |
| ・ Appendix D provides a publication change log. |
・附属書Dは、本書の変更履歴を示す。 |
| 2. Overview |
2. 概要 |
| System plans are based on the organization’s risk management strategy and NIST guidelines (e.g., [SP800-37], [SP800-53], [SP800-161]). They: |
システム計画は、組織のリスクマネジメント戦略及びNISTガイドライン([SP800-37]、[SP800-53]、[SP800-161]など)に基づいている。それらは以下のとおりである: |
| ・ Define the authorization boundary of the system; |
・システムの認可境界を定義する; |
| ・ Support the organization’s security, privacy, and C-SCRM objectives; |
・組織のセキュリティ、プライバシー、C-SCRM の目的をサポートする; |
| ・ Define capabilities to defend the organization against threats and threat actors; |
・脅威及び脅威アクターから組織を防御する能力を定義する; |
| ・ Identify individuals who are responsible for managing and supporting the system; |
・システムの管理及びサポートに責任を持つ個人を識別する; |
| ・ Help organizational personnel understand how to manage risks to an acceptable level throughout the system life cycle and respond to changing risks in a timely manner; |
・組織の要員が、システムのライフサイクルを通じてリスクを許容可能なレベルまで管理し、変化するリスクに適時に対応する方法を理解するのを支援する; |
| ・ Consider requirements for information technology, operational technology, and emerging technologies that may be informed by system artifacts, such as risk assessments, business impact analyses (BIAs), and information exchange agreements; |
・リスクアセスメント、ビジネス影響度分析(BIA)、情報交換契約などのシステム成果物 から得られる情報技術、運用技術、及び新たな技術に関する要件を分析する; |
| ・ Provide sufficient evidence to support risk-based decisions regarding the ongoing operation or use of the system; and |
・システムの継続的な運用または使用に関するリスクベースの決定を裏付ける十分な証拠を提供する。 |
| ・ Require methodical reviews and periodic updates to maintain information about the system’s mission, technologies, components, personnel, and implemented controls. |
・システムの使命、技術、構成要素、要員、及び実施された管理に関する情報を維持するために、体系的なレビュー及び定期的な更新を要求する。 |
| The information contained in system plans can be captured as documents or using different Governance, Risk and Compliance (GRC) tools. This section addresses the objectives and purposes of the system security plan, system privacy plan, and C-SCRM plan. |
システム計画に含まれる情報は、文書として、またはさまざまなガバナンス・リスク・コンプライアンス(GRC)ツールを使用して取得することができる。本節では、システムセキュリティ計画、システ ムプライバシー計画、C-SCRM 計画の目的と目 的について述べる。 |
| 2.1. System Security Plan |
2.1. システムセキュリティ計画 |
| The system security plan identifies the system’s security requirements and the protections that are planned or in place to meet those requirements. The security plan: |
システムセキュリティ計画は、システムのセキュリ ティ要件と、それらの要件を満たすために計画され た、あるいは実施されている防御を特定する。セキュリティ計画 |
| ・ Enables organizational leadership and system management personnel to manage security risks and make effective risk management decisions throughout the system life cycle; |
・組織の指導者及びシステムマネジメントの職員が、システムのライフサイクルを通じてセキュリティリスクを管理し、効果的なリスクマネジメントの意思決定を行うことができるようにする; |
| ・ Describes implemented or planned controls that address the system’s security requirements; |
・システムのセキュリティ要件に対応する、実装済みまたは計画済みの管理策を記述する; |
| ・ Identifies the individuals responsible for maintaining the security protections for information and information systems; |
・情報及び情報システムのセキュリティ保 護を維持する責任を負う個人を 識別する |
| ・ Consolidates details about the system, including its purpose, authorization boundary, [FIPS199] security categorization, operational status, and environment of operations; and |
・システムの目的、認可境界、[FIPS199]セキュリティ分類、運用状況、運用環境など、システムに関する詳細がまとめられている。 |
| ・ Demonstrates how security objectives (i.e., confidentiality, integrity, and availability) are achieved by following security engineering approaches to building resilient and trustworthy systems. |
・レジリエンスと信頼性のあるシステムを構築するためのセキュリティ工学的アプローチに従って、セキュリティ目的(すなわち、機密性、完全性、可用性)がどのように達成されるかを実証する。 |
| 2.2. System Privacy Plan |
2.2. システムプライバシー計画 |
| The system privacy plan identifies controls that are allocated and implemented to address privacy risks related to both cybersecurity events and data processing. The privacy plan: |
システム・プライバシー計画は、サイバーセキュリティ事象とデータ・処理の両方に関連するプライバシ ー・リスクに対処するために割り当てられ、実施される管理者を特定する。プライバシー計画は以下のとおりである: |
| • Aligns the system’s privacy objectives with the organization’s mission, risk tolerance, |
・システムのプライバシー目標を、組織のミッション、リスク許容度、プライバシー目標と整合させる、 |
| and privacy goals; |
プライバシー目標に整合させる; |
• Defines system requirements with respect to the privacy engineering objectives of predictability, manageability, and disassociability and the Fair Information Practice Principles (FIPPs)[4]; and
|
・予測可能性、管理可能性、および分離可能性というプライバシー工学の目的と、公正情報慣行原則(FIPPs)[4]に関してシステム要件を定義する;
|
| • Describes planned and implemented controls to address privacy requirements and data processing activities that may compromise privacy (i.e., problematic data actions[5]). |
・プライバシー要件及びプライバシーを侵害する可能性のあるデータ・プロセッシング活動(すなわち、問題のあるデータ・アクション[5])に対処するために計画され実施された管理者を記述する。 |
| Privacy requirements may be informed by legal and regulatory obligations as well as privacy activities and artifacts, such as Privacy Impact Assessments (PIAs), Privacy Risk Assessments (PRAs),[6] System of Records Notices (SORNs), Memorandums of Understanding (MOUs), or other types of contracts or agreements. This includes identifying and cataloging key inputs, such as data actions, contextual factors that describe the circumstances surrounding data processing, privacy capabilities, and privacy engineering and security objectives based on organizational mission needs, risk tolerance, and privacy goals. The tasks in the RMF Prepare step identify sources of system privacy requirements. |
プライバシー要件は、プライバシー影響アセスメント(PIA)、プライバシーリスクアセスメ ント(PRA)[6]、記録システム通知(SORN)、覚書(MOU)、または他のタイプの契約や合意など、プライバ シーの活動や成果物だけでなく、法律や規制上の義務によって知らされることがある。これには、組織のミッション・ニーズ、リスク許容度、プライバシー目標に基づき、データ・アクション、データ処理を取り巻く状況を説明する文脈的要因、プライバシー能力、プライバシー・エンジニアリングおよびセキュリティ目標などの主要なインプットを特定し、カタログ化することが含まれる。RMF準備ステップのタスクは、システムのプライバシー要件の情報源を特定する。 |
| 2.2.1. Relationship Between the System Security Plan and System Privacy Plan |
2.2.1. システム・セキュリティ計画とシステム・プライバシー計画の関係 |
| Organizational security and privacy programs have complementary objectives and overlappingrisks with regard to confidentiality, integrity, and availability, as shown in Fig. 1. |
組織のセキュリティ計画とプライバシー計画には、図 1 に示すように、機密性、完全性、可用性に関して相補的な目的と重複するリスクがある。 |
 |
| Fig. 1. Relationship between security and privacy risks |
図1. セキュリティリスクとプライバシーリスクの関係 |
| Both unauthorized data access and authorized disclosures that are made without sufficient disassociability can introduce privacy issues, physical harms, or economic losses. Systems must comply with laws governing data subject rights (i.e., the right to access, correct, or delete information[7]). The system privacy plan describes how the organization manages the risks of over-collection, unauthorized profiling, or the misuse of data about individuals. |
無許可のデータ・アクセスも、十分な分離可能性を持たずに行われた認可された開示も、プライバシーの問題、物理的損害、経済的損失をもたらす可能性がある。システムは、データ対象者の権利(すなわち、情報へのアクセス、訂正、削除の権利[7])を規定する法律を遵守しなければならない。システム・プライバシー計画は、組織が個人に関するデータの過剰収集、不正なプロファイリング、または悪用のリスクをどのようにマネジメントするかを記述する。 |
| Control implementation details differ between system privacy, security, and C-SCRM plans (see Sec. 3.8). While security-related controls can support system privacy outcomes, privacy risks require additional privacy-focused controls. Some controls may also introduce privacy risks that require additional management, such as controls related to monitoring for insider threats. Incorporating these privacy-focused controls into the system helps ensure that privacy is considered holistically alongside security concerns. |
統制の実施の詳細は、システムプライバシー計画、セ キュリティ計画、C-SCRM計画で異なる(3.8節参照)。セキュリティに関連する統制はシステムのプライバ シーの成果を支援することができるが、プライバ シーのリスクは、プライバシーに焦点を絞った 追加的な統制を必要とする。統制の中には、内部脅威の監視に関連する統制のように、追加的な マネジメントを必要とするプライバシーリスクをもたらすものもある。このようなプライバシーに焦点を当てた管理策をシステ ムに組み込むことは、プライバシーがセキュリティ上の懸念事項とともに総合的に考慮されることを 確実にするのに役立つ。 |
| 2.3. Cybersecurity Supply Chain Risk Management Plan |
2.3. サイバーセキュリティサプライチェーンリスクマネジメント計画 |
| A C-SCRM strategy[8] addresses cybersecurity risks at the organization level throughout the supply chain, including commercial-of-the-shelf (COTS) products, turn-key solutions, and support services. A C-SCRM plan then incorporates those organization-level priorities, policies, and risk tolerances to address system-level risks and interdependencies with controls that enhance trust and protection. The C-SCRM plan: |
C-SCRM 戦略[8]は、市販の(COTS)製品、ターンキーソリューション、サポートサービスなど、サプライ チェーン全体を通じて組織レベルでサイバーセキュリティリスクに対処するものである。次に、C-SCRM 計画は、そのような組織レベルの優先事項、方針、リスク許容度を組み込んで、信頼と保護を強化する管理策によってシステムレベルのリスクと相互依存性に対処する。C-SCRM計画 |
| ・ Identifies policy implementations, requirements, constraints, and implications that are specific to the cybersecurity supply chain at the system level; |
・システムレベルのサイバーセキュリティサプライチェーンに特有なポリシーの実装、要件、制約、意味を識別する; |
| ・ Describes the system’s approach to managing supply chain risks that are associated with the research, development, design, manufacturing, acquisition, delivery, integration, operations, maintenance, and disposal of its components or services; |
・コンポーネント又はサービスの研究、開発、設計、製造、取得、引渡し、統合、運用、保守及び廃棄に関連するサプライチェーンリスクを管理するためのシステムのアプローチを記述する; |
| ・ Describes the system in the context of the organizational supply chain risk tolerance, including acceptable supply chain risk response strategies or controls, a process for the continuous evaluation and monitoring of supply chain risks, approaches for implementing and communicating the plan, and a description of and justification for the supply chain risk mitigation measures that are taken; and |
・許容可能なサプライチェーンリスク対応戦略又は管理策、サプライチェーンリスクの継続的な評価及びモニ タリングのためのプロセス、計画の実施及びコミュニケーションのためのアプローチ、並びに、実施され るサプライチェーンリスク緩和措置の説明及びその正当性を含む、組織のサプライチェーンリスク許容度の観点か らのシステムの記述。 |
| ・ Includes supplier and/or component inventories that specify the associated criticality to the system, key individuals who fill supply chain-relevant roles, security control implementation information that is specific to supply chain considerations, system diagrams, and interdependencies with other systems. |
・システムに対する重要性、サプライチェーンに関連する役割を果たす主要な個人、サプライチェーンの考慮事項に特化したセキュリティ管理実施情報、システム図、他のシステムとの相互依存関係を明記した供給業者及び/又は部品のインベントリを含む。 |
| Different types of systems may have specific considerations that can be addressed in the C-SCRM plan, such as the system architecture, security categorization [SP800-60v2], or type of technology used within the system. All security controls from [SP800-53] with supply chain risk management applicability are listed in [SP800-161], Appendix A, which also features an enhanced overlay of control enhancements that are specific to supply chains as well as implementation guidance. |
システムの種類が異なれば、システムアーキテ クチャ、セキュリティ分類 [SP800-60v2]、又はシステム内で使用される技術 の種類のように、C-SCRM 計画で扱うことができる特定の考慮事項が あるかもしれない。サプライチェーンリスクマネジメントに適用可能な[SP800-53]のすべてのセキュリティ管理は、[SP800-161]の附属書Aに記載されており、この附属書Aは、実施ガイダンスと同様に、サプライチェーンに特有の管理強化のオーバーレイも特徴としている。 |
| 2.4. Consolidated System Plans |
2.4. 統合システム計画 |
| Organizations determine whether to consolidate the system security, system privacy, or C-SCRM plans, as described in RMF [SP800-37] Task S-4, Documentation of Planned Control Implementations, and [SP800-161]. For a consolidated plan: |
組織は、RMF[SP800-37]の課題S-4「計画されたコントロールの実施の文書化」及び[SP800-161]に記載されているとおり、システムセキュリティ、システムプライバシー又はC-SCRMの計画を統合するかどうかを決定する。統合計画の場合: |
| ・ Common elements in the security, privacy, and C-SCRM plans (e.g., System Name and Identifier, System Operational Status, System Description, Authorization Boundary and System Environment) provide consistent information about the system’s mission, purpose, and environment of operation. |
・セキュリティ、プライバシー及び C-SCRM 計画の共通要素(例えば、システム名と識別 子、システムの運用状況、システムの説明、認可の 境界及びシステム環境)は、システムのミッション、 目的及び運用環境に関する一貫した情報を提供する。 |
| ・ Roles and responsibilities are defined to support the ongoing collaboration between individuals who are responsible for meeting system security, privacy, and C-SCRM requirements. |
・システムのセキュリティ、プライバシー及びC-SCRM の要求事項を満たす責任を有する個人間の継続的な連携を支援するために、役割と責任が定義される。 |
| ・ Each control that is allocated, tailored, and implemented or planned for implementation has details that clearly address system requirements. |
・割り当てられ、調整され、実施され、又は実施されることが計画されている各管理には、システム要件に明確に対応する詳細がある。 |
| Automation using information management tools (see Sec. 4.8) can support the collection and compilation of distinct security, privacy, and C-SCRM control implementation details; common system plan elements; and roles and responsibilities. |
情報管理ツール(4.8節参照)を用いた自動化は、明確なセキュリ ティ、プライバシー及びC-SCRMの各コントロールの実施の詳細、 共通のシステム計画要素及び役割と責任の収集と取りまとめを 支援することができる。 |
| |
|
| [1] The NIST Privacy Framework [NIST PF] explains the privacy engineering objectives of predictability, manageability, and disassociability. 2 The NIST Open Security Controls Assessment Language [OSCAL] is designed to standardize the representation, implementation, and assessment of controls using machine-readable data formats (e.g., XML, JSON, YAML). These OSCAL representations can be used in conjunction with the other OSCAL schemas to represent structured and machine-readable system plan information, control assessment plans, and assessment results, which facilitate the continuous assessment and monitoring of system controls. Initially designed for security assessment, OSCAL has been proven suitable for the machine-readable representation of other control types (e.g., privacy, supply chain, accessibility, safety) and to support their continuous assessment and monitoring. |
[1] NISTプライバシー枠組み [NIST PF]は、予測可能性、管理可能性、及び 解離可能性というプライバシー工学の目的を説明 している。2 NIST Open Security Controls Assessment Language [OSCAL]は、機械可読データ形式(XML、JSON、YAMLなど)を使用して、統制の表現、実装、および評価を標準化するように設計されている。これらの OSCAL 表現は、他の OSCAL スキーマと組み合わせて使用することで、構造化され機械可読 なシステム計画情報、統制アセスメント計画、アセスメント結果を表すことができ、システム統制の継 続的なアセスメントと監視を容易にする。OSCALは、当初セキュリティアセスメント用に設計されたが、他の種類の統制(プライバシー、サプライチェーン、アクセシビリティ、安全性など)を機械可読で表現し、それらの継続的なアセスメントとモニタリングを支援するのに適していることが証明されている。 |
| [2] [FISMA] includes privacy protections in the definition for confidentiality. as indicated in [44 USC3552]. |
[2] [FISMA]は、[44 USC3552]に示されるように、機密性の定義にプライバシー防御を含む。 |
| [3] The full range of NIST cybersecurity-related publications can be found in the Information Technology Laboratory (ITL) Computer Security Resource Center [CSRC]. Additional resources are available through the NIST Cybersecurity and Privacy Reference Tool [CPRT]. |
[3] NIST のサイバーセキュリティ関連出版物の全範囲は、情報技術研究所(ITL)のコンピュータ・セキュリティ・リソース・センター(CSRC)に掲載されている。その他のリソースは、NIST Cybersecurity and Privacy Reference Tool [CPRT]から入手できる。 |
| [4] The FIPPs have been adopted in various forms in law and policy within the U.S. Government and by international organizations, such as the Organization for Economic Cooperation and Development (OECD) and the European Union. [OMB A-130] identifies and explains the FIPPs for U.S. federal agencies. |
[4] FIPP は、米国政府内の法律や政策において、また経済協力開発機構(OECD)や欧州連合 (EU)などの国際機関において、様々な形で採用されている。[OMB A-130]は、米国連邦機関のためのFIPPを識別し、説明している。 |
| [5] Per the NIST Privacy Framework [NIST PF], a problematic data action (PDA) may cause an adverse effect for individuals. |
[5] NISTプライバシー枠組み[NIST PF]によれば、問題のあるデータ・アクション(PDA)は個人に悪影響を及ぼす可能性がある。 |
| [6] The NIST Privacy Risk Assessment Methodology [PRAM] helps organizations analyze, assess, and prioritize privacy risks to identify appropriate responses and solutions. |
[NIST Privacy Risk Assessment Methodology [PRAM]は、組織がプライバシーリスクを分析、評価、優先順位付けし、適切な対応と解決策を特定するのに役立つ。 |
| [7] Many laws, regulations, and guidance focus on a defined scope of information that is covered by privacy protections, such as [OMB A-130] and PII. However, data processing may potentially introduce privacy risks if data does not meet a narrow privacy definition (e.g., some data that is not PII can be combined with other information during processing to become PII). |
[7] 多くの法律、規制、およびガイダンスは、[OMB A-130]やPIIのようなプライバシー保護の対象となる情報の定義された範囲に焦点を当てている。しかし、データが狭いプライバシー定義に合致しない場合(例えば、PII でないデータが処理中に他の情報と組み合わされて PII になることがある)、データ処理がプライバシー・リスクをもたらす可能性がある。 |
| [8] The cybersecurity supply chain refers to the linked set of resources and processes between and among multiple levels of the organizational hierarchy. In general practice, C SCRM is at the nexus of SCRM and information security, so C SCRM and SCRM refer to the same concept for the purposes of this publication. Other organizations may use different definitions of C SCRM and SCRM which are outside the scope of this publication. This publication does not address many of the non-cybersecurity aspects of SCRM. |
[8] サイバーセキュリティのサプライチェーンとは、組織階層の複数のレベル間及びレベル間のリソー スとプロセスの連携した集合を指す。一般的な実務では、C SCRM は SCRM と情報セキュリティの結節点にあるため、本書では C SCRM と SCRM は同じ概念を指す。他の組織では、C SCRMとSCRMの定義が異なる場合があるが、それは本書の範囲外である。本書は、SCRMのサイバーセキュリティ以外の側面の多くには触れていない。 |
Recent Comments