NIST SP800-53関係の情報
こんにちは、丸山満彦です。最近あまり、NIST SP800シリーズを真面目に読んでいなかったので、反省して、再びチェックを強化することにしました。。。
とりあえず、SP800-53関係
・2010.05.01 sp800-53-rev3-final_updated-errata_05-01-2010.pdf
これは、字句修正という感じでしょうか。。。
・・draft-sp800-53A-rev1-fpd.pdf
=====
* Elimination of the Extended Assessment Procedure;
* Simplification of and common nomenclature for depth and coverage attributes;
* Elimination of the L, M, and H designators in the assessment procedures catalog, providing organizations with greater flexibility in selecting appropriate assessment methods for conducting various types of assessments (e.g., assessments supporting information system development, initial and ongoing security authorizations, and continuous monitoring);
=====
ということです。LMHに分類して評価手続を整理するというのは、論理的ではあるのでしょうが、運用上は大変だったのだろうと想像します。
日本の場合は、むしろそうなると割り切っている面があります。ただし、その場合は、それができる人材の確保が必要であり、そこが問題かもしれません。。。
【参考】このブログ
・2005.08.29 IPA NRIsecure SP800シリーズ翻訳開始
・2005.07.20 NIST SP800-53A & FIPS 200 Draft
Comments