NISTが測位・航法・計時(PNT)に関連するサービスに関連したセキュリティプロファイルに関する文書(NISTIR 8323)のパブコメを募集していますね。
こんにちは、丸山満彦です。
NISTが測位・航法・計時(PNT)に関連するサービスに関連したセキュリティプロファイルに関する文書(NISTIR 8323)のパブコメを募集していますね。
PNTに関連するサービスを提供している組織が提供するデータが中断したり、誤ったデータになっている大きな影響が出るからでしょうね。。。今年2月12日に出された大統領令13905「測位・航法・計時サービスの責任ある使用による国家のレジリエンスの強化」(Executive Order 13905 Strengthening National Resilience Through Responsible Use of Positioning, Navigation, and Timing Services)に対応したものですね。。。
● NIST - ITL
・2020.10.23 (publication) NISTIR 8323 (Draft) Cybersecurity Profile for the Responsible Use of Positioning, Navigation, and Timing (PNT) Services
・[PDF] NISTIR 8323 (Draft)
この文書は、PNTサービスに依存するシステム・ネットワーク・資産に関連するリスクを管理するのを支援するために開発されたということのようです。
NISTは、コメントを求めるにあたり、以下のポイントを特に気にしているようです。
-
PNTサービスの責任ある利用に関連した既存の基準、ガイドライン、慣行とのギャップ。
-
付録で例として提供できるCybersecurity Frameworkの適用に関する追加のガイダンス。
-
サイバースセキュリティフレームワークの機能・カテゴリ・サブカテゴリが、PNTサービスの責任ある利用に関するサイバースセキュリティ上の懸念に適切に対応しているか。
-
実装可能な標準やガイダンス文書などの追加の参考文献。
-
統制や参考文献が適切か。
Abstract
The national and economic security of the United States (US) is dependent upon the reliable functioning of critical infrastructure. Positioning, Navigation and Timing (PNT) services are widely deployed throughout the critical infrastructure. A disruption or manipulation of PNT services would have adverse impacts on much of the nation’s critical infrastructure. In a government wide effort to mitigate these impacts, Executive Order (EO) 13905, Strengthening National Resilience Through Responsible Use of Positioning, Navigation and Timing Services was issued on February 12, 2020. The EO tasks various Federal agencies with specific actions to ensure the responsible use of PNT services. The National Institute of Standards and Technology (NIST) as part of the Department of Commerce (DoC), is required to produce a “Profile” to address the responsible use of PNT services. This document is a PNT Profile that is based on the Cybersecurity Framework. The PNT serves as the foundation for the broad and varied stakeholder community using PNT services. The primary focus of this Profile is Cybersecurity as it relates to the US critical infrastructure. Applicability of this Profile to various sectors and sub-sectors is assumed, however sector specific concerns are not formally addressed. The EO provides guidance concerning the roles of the Sector Specific Agencies (SSAs) in regard to the specific PNT communities they serve, from which further sector efforts are expected to develop based on the use of this foundational Profile.
目次
Executive Summary | エグゼクティブサマリー |
1 PNT Profile: Introduction | 1 PNTプロフィールの紹介 |
1.1 Purpose and Objectives | 1.1 目的と目標 |
1.2 Scope | 1.2 範囲 |
1.3 Audience | 1.3 対象者 |
2 Use the PNT Profile | 2 PNTプロファイルの使用 |
3 PNT Profile: Overview | 3 PNTのプロフィール:概要 |
3.1 Risk Management Overview | 3.1 リスクマネジメントの概要 |
3.2 Cybersecurity Framework Overview | 3.2 サイバーセキュリティフレームワークの概要 |
4 The PNT Profile | 4 PNTプロファイル |
4.1 Identify Function | 4.1 識別機能 |
4.1.1 Asset Management Category | 4.1.1 資産管理カテゴリー |
4.1.2 Business Environment Category | 4.1.2 ビジネス環境カテゴリー |
4.1.3 Governance Category | 4.1.3 ガバナンスカテゴリー |
4.1.4 Risk Assessment Category | 4.1.4 リスクアセスメントカテゴリー |
4.1.5 Supply Chain Risk Management Category | 4.1.5 サプライチェーンリスクマネジメントカテゴリー |
4.2 Protect Function | 4.2 防御機能 |
4.2.1 Access Control Category | 4.2.1 アクセス制御カテゴリー |
4.2.2 Awareness and Training Category | 4.2.2 意識向上およびトレーニングカテゴリー |
4.2.3 Data Security Category | 4.2.3 データセキュリティカテゴリー |
4.2.4 Information Protection Processes and Procedures Category | 4.2.4 情報を保護するためのプロセスおよび手順カテゴリー |
4.2.5 Maintenance Category | 4.2.5 保守カテゴリー |
4.2.6 Protective Technology Category | 4.2.6 保護技術カテゴリー |
4.3 Detect Function | 4.3 検知機能 |
4.3.1 Anomalies and Events Category | 4.3.1 異常とイベントカテゴリー |
4.3.2 Security Continuous Monitoring Category | 4.3.2 セキュリティの継続的なモニタリングカテゴリー |
4.3.3 Detection Processes Category | 4.3.3 検出プロセスカテゴリー |
4.4 Respond Function | 4.4 対応機能 |
4.4.1 Response Planning Category | 4.4.1 対応計画の作成カテゴリー |
4.4.2 Communications Category | 4.4.2 コミュニケーションカテゴリー |
4.4.3 Analysis Category | 4.4.3 分析カテゴリー |
4.4.4 Mitigation Category | 4.4.4 緩和カテゴリー |
4.4.5 Improvements Category | 4.4.5 改善カテゴリー |
4.5 Recover Function | 4.5 復旧機能 |
4.5.1 Recovery Planning Category | 4.5.1 復旧計画カテゴリー |
4.5.2 Improvements Category | 4.5.2 改善カテゴリー |
4.5.3 Communications Category | 4.5.3 コミュニケーションカテゴリー |
5 Conclusion | 5 結論 |
References | 参考文献 |
List of Appendices | 付録一覧 |
Appendix A— Acronyms and Abbreviations | 付録 A- 略語と略語 |
Appendix B— Glossary | 付録 B- 用語集 |
Appendix C— Additional Resources | 付録 C- その他のリソース |
■ 参考
● Whitehouse (Obama)
・2013.02.12 Presidential Policy Directive 21 of February 12, 2013 (Critical Infrastructure Security and Resilience)
● NIST - ITL
- Framework V1.1 (PDF)
- Framework V1.1 (PDF) with markup
- Framework V1.1 Core (Excel)
- Framework V1.1 Downloadable Presentation
« 中国政府支援攻撃者が利用する25の脆弱性 by 米国 国家安全保障局 中央保安部 | Main | 敵対的機械学習に対する脅威マトリックス (Adversarial ML Threat Matrix) »
Comments