« ENISA 高度な仮名化手法とユースケース Data Pseudonymisation: Advanced Techniques and Use Cases | Main | Cloud Security AllianceがIoTセキュリティコントロールフレームワーク第2版とその利用ガイドを公開していますね。。。 »

2021.01.29

NIST SP 800-47 Rev. 1 (Draft) 情報交換におけるセキュリティ管理 Managing the Security of Information Exchanges

こんにちは、丸山満彦です。

2002.08に発行された、”SP 800-47 Security Guide for Interconnecting Information Technology Systems”の改訂ドラフトが公開されていますね。18年ぶりですね。。。名称が、「ITシステム相互接続セキュリティガイド」から「情報交換におけるセキュリティ管理」に変わっていますね。。。

● NIST - ITL

・2021.01.26 (publication) SP 800-47 Rev. 1 (Draft) Managing the Security of Information Exchanges

Abstract 概要
An organization often has mission and business-based needs to exchange (share) information with one or more other internal or external organizations via various information exchange channels; however, it is recognized that the information being exchanged also requires the same or similar level of protection as it moves from one organization to another (protection commensurate with risk). 組織は、さまざまな情報交換チャネルを介して、社内外の複数の組織と情報交換(共有)したいと いうミッションや事業上の必要性がしばしばあり、その場合、交換される情報は、ある組織から別の組織に移る際には、同程度の保護 (リスクに見合った保護)が必要であると理解されている。
This publication focuses managing the protection of the information being exchanged or accessed before, during, and after the exchange rather than on any particular type of technology-based connection or information access or exchange method and thus provides guidance on identifying information exchanges, considerations for protecting exchanged information, and the agreement(s) needed to help manage protection of the exchanged information. Organizations are expected to tailor the guidance to meet specific organizational needs and requirements regarding the information exchange. 本書では、技術ベースの特定の接続や情報アクセス、交換方法ではなく、交換前、交換中、交換後の情報の保護管理に焦点を当て、情報交換の特定、交換された情報を保護するための考慮事項、および交換された情報の保護管理を支援するために必要な契約についてのガイダンスを提供する。組織は、情報交換に関する特定の組織の必要性や要求事項を満たすために、ガイダンスを適宜修正して利用するべきと考えている。

特に、

  • 公開草案に記載されている合意の網羅性
  • どのような種類の合意が必要かを決定するために提供されたマトリックスが使えるかどうか
  • 追加の合意の種類や追加の合意の例が必要性
  • その他情報交換のセキュリティ管理を支援ものがあるか

についての意見が欲しいって感じですかね。。。

・[PDF] SP 800-47 Rev. 1 (Draft)

Executive Summary エグゼクティブサマリー
1 Introduction 1 はじめに
1.1 Purpose and Applicability 1.1 目的と適用性
1.2 Target Audience 1.2 想定読者
1.3 Organization of this Publication 1.3 本書の構成
2 The Fundamentals 2 基本的事項
2.1 Types of Information Exchange 2.1 情報交換の種類
2.1.1 System Interconnections 2.1.1 システム相互接続
2.1.2 Information Exchanges 2.1.2 情報交換
2.2 Information Exchange: Accessing or Transferring the Information 2.2 情報交換。情報へのアクセスまたは転送
3 Information Exchange Security Management 3 情報交換のセキュリティ管理
3.1. Planning an Information Exchange 3.1. 情報交換の計画
3.1.1 Step 1: Establish a Joint Planning Team 3.1.1 ステップ1:共同企画チームの設置
3.1.2 Step 2: Define the Business Case 3.1.2 ステップ2:ビジネスケースの定義
3.1.3 Step 3: Apply the NIST Risk Management Framework 3.1.3 ステップ3:NISTリスクマネジメントフレームワークの適用
3.1.4 Step 4: Identify Specific Protection Requirements 3.1.4 ステップ4: 特定保護要件の識別
3.1.5 Step 5: Document Appropriate Agreements 3.1.5 ステップ5: 適切な合意書の文書化
3.1.6 Step 6: Approve or Reject the Information Exchange 3.1.6 ステップ6:情報交換の承認または拒否
3.2 Establishing the Information Exchange 3.2 情報交換の確立
3.2.1 Step 1: Develop an Implementation Plan 3.2.1 ステップ1:実施計画の策定
3.2.2 Step 2: Execute the Implementation Plan 3.2.2 ステップ2:実施計画の実行
3.2.3 Step 3: Activate the Information Exchange 3.2.3 ステップ3:情報交換の有効化
3.3 Maintaining the Information Exchange 3.3 情報交換の維持
3.3.1 Maintain Clear Lines of Communication 3.3.1 明確なコミュニケーションラインの維持
3.3.2 Maintain Systems and System Components 3.3.2 システムおよびシステムコンポーネントのメンテナンス
3.3.3 Manage User Accounts 3.3.3 ユーザーアカウントの管理
3.3.4 Conduct Security Assessments 3.3.4 セキュリティアセスメントの実施
3.3.5 Analyze Event Logs 3.3.5 イベントログの分析
3.3.6 Report and Respond to Security Incidents 3.3.6 セキュリティインシデントの報告と対応
3.3.7 Coordinate Contingency Planning Activities 3.3.7 緊急時計画活動の調整
3.3.8 Manage Configuration Changes 3.3.8 設定変更の管理
3.3.9 Agreements 3.3.9 合意
3.3.10 Review the Continued Need for the Information Exchange 3.3.10 情報交換の継続的な必要性の見直し
3.4 Discontinuing the Information Exchange 3.4 情報交換の中止
3.4.1 Planned Discontinuance 3.4.1 計画的中止
3.4.2 Emergency Discontinuance 3.4.2 緊急中止
3.4.3 Resumption of Interconnection 3.4.3 相互接続の再開
References 参考文献

 

現在のガイドは↓

・2002.09.01 (piublications) SP 800-47  Security Guide for Interconnecting Information Technology Systems

・[PDF] SP 800-47

 

 

|

« ENISA 高度な仮名化手法とユースケース Data Pseudonymisation: Advanced Techniques and Use Cases | Main | Cloud Security AllianceがIoTセキュリティコントロールフレームワーク第2版とその利用ガイドを公開していますね。。。 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« ENISA 高度な仮名化手法とユースケース Data Pseudonymisation: Advanced Techniques and Use Cases | Main | Cloud Security AllianceがIoTセキュリティコントロールフレームワーク第2版とその利用ガイドを公開していますね。。。 »