NISTIR 8212 ISCMA: An Information Security Continuous Monitoring Program Assessment(情報セキュリティ継続的監視プログラムの評価)
こんにちは、丸山満彦です。
NISTがNISTIR 8212 ISCMA: An Information Security Continuous Monitoring Program Assessment(情報セキュリティ継続的監視プログラムの評価)が公表されていますね。。。
パブコメが出された時(2020.10.01)に紹介するのを忘れていました。。。
情報セキュリティ継続的監視(ISCM)プログラムを評価するための方法論の例を紹介した文書ですね。ここで紹介されている方法論例は、NISTのガイダンスから直接作成されたもので、連邦政府だけでなく、あらゆる組織に適用可能ということです。
● NIST - ITL
・2021.03.31 (publication) NISTIR 8212 ISCMA: An Information Security Continuous Monitoring Program Assessment
・ [PDF] NISTIR 8212
目次はこちら...
Related NIST Publications:
- 2011.09.30 [PDF] SP 800-137 Information Security Continuous Monitoring (ISCM) for Federal Information Systems and Organizations
Supplemental Material:
| Exective Summary | エグゼクティブサマリー |
| National Institute of Standards and Technology Interagency Report (NISTIR) 8212 provides an operational approach to the assessment of an organization’s Information Security Continuous Monitoring (ISCM) program.1 The ISCM assessment (ISCMA) approach is consistent with the ISCM Program Assessment described in NIST SP 800-137A [SP800-137A], Assessing Information Security Continuous Monitoring Programs: Developing an ISCM Program Assessment. | 米国標準技術局(NIST)の機関間報告書(NISTIR)8212は、組織の情報セキュリティ継続的監視(ISCM)プログラムを評価するための運用アプローチを提供しています1。ISCM評価(ISCMA)のアプローチは、NIST SP 800-137A [SP800-137A]「情報セキュリティ継続的監視プログラムの評価」で説明されているISCMプログラム評価と一致しています。ISCM プログラムアセスメントの開発。 |
| Included with the ISCMA approach in this report is the ISCMAx tool [ISCMAx], a free, publicly available, working implementation of ISCMA that can be tailored to fit the needs of an organization. The ISCMAx tool is a Microsoft Excel application that runs on Windows-based systems only. This report includes instructions for using ISCMAx as provided and for tailoring it, if desired. | 本レポートの ISCMA アプローチに含まれる ISCMAx ツール [ISCMAx]は、組織のニーズに合わせて調整可能な、無料で一般に利用できる ISCMA の実用的な実装です。ISCMAxツールは、Windowsベースのシステムでのみ動作するMicrosoft Excelアプリケーションです。本レポートには、ISCMAxをそのまま使用する方法と、必要に応じてカスタマイズする方法が記載されています。 |
| ISCMAx is suited for self-assessment by organizations of any size or complexity. Organizations choose the desired breadth and depth of the assessment. Breadth options are provided for organizations ranging from those that already have functioning ISCM programs to those that are just starting. Depth options allow organizations to focus on the more critical aspects of the program, followed by details and nuances. | ISCMAxは、組織の規模や複雑さを問わず、組織の自己評価に適しています。組織は、必要な評価の幅と深さを選択します。広さのオプションは、すでにISCMプログラムが機能している組織から、これから始めようとしている組織まで、さまざまな組織に提供されます。深度オプションは、プログラムのより重要な側面に焦点を当て、次に詳細やニュアンスに焦点を当てることができます。 |
| The ISCMA is designed around participation by personnel from the following risk management levels2 and associated ISCM responsibilities: | ISCMAは、次のようなリスク管理レベル2の担当者が参加することを前提に設計されており、それに伴うISCMの責任も考慮されています。 |
| • Level 1 personnel are responsible for the organization-wide ISCM strategy, policies, procedures, and implementation. | • レベル 1 の要員は、組織全体の ISCM 戦略、方針、手順、および実施に責任を負う。 |
| • Level 2 personnel are responsible for the ISCM strategy, policies, procedures, and implementation for specific mission or business processes. | • レベル 2 の要員は、特定のミッション又は業務プロセスの ISCM 戦略、方針、手順及び実施に責任を負う。 |
| • Level 3 personnel are responsible for ISCM strategy, policies, procedures, and implementation for individual information systems. | • レベル 3 の要員は、個々の情報システムの ISCM 戦略、ポリシー、手順、および実施に責任を負う。 |
| At each risk management level, an ISCMA unique to that level is conducted. Judgments are made about assessment elements, which are statements that should be true for a well-implemented ISCM program. Under ISCMA, an assessment with the maximum breadth and depth consists of 128 assessment elements. The results for each risk management level are then merged into a single overall result | 各リスク管理レベルにおいて、そのレベルに固有の ISCMA が実施される。評価要素についての判断は、適切に実施された ISCM プログラムが真であるべきであるという記述に基づいて行われます。ISCMA では、最大の広さと深さを持つ評価は 128 の評価要素で構成される。そして、各リスク管理レベルの結果は、1つの全体的な結果に統合されます。 |
| The ISCMA process proceeds according to the following steps: | ISCMAのプロセスは、以下の手順で進められます。 |
| • Plan the approach | • アプローチの計画 |
| • Conduct: Evaluate the elements | • 実施:要素の評価 |
| • Conduct: Score the judgments | • 実施:判断の採点 |
| • Report: Analyze the results | • 報告:結果の分析 |
| • Report and Follow-on: Formulate actions | • 報告とフォロー:アクションの策定 |
| Part of the “Plan the Approach” step is to determine how to organize the selected participants at each risk management level. For example, all participants from Level 2 could conduct a single ISCMA as a group with judgments made by consensus. Alternatively, participants from each mission or business process could conduct individual assessments in parallel and allow[ISCMAx] to assemble and merge those assessments. In the latter case, the most common judgment of all the individual assessments is the overall judgment for a risk management level. | 「アプローチを計画する」ステップの一環として、各リスク管理レベルで選ばれた参加者をどのように編成するかを決定します。例えば、レベル2の参加者全員がグループとして1回のISCMAを実施し、コンセンサスに基づいて判定を行うことができる。あるいは、各ミッション又はビジネスプロセスの参加者が個々の評価を並行して実施し、[ISCMAx]がそれらの評価をまとめて統合することも可能です。後者の場合、個々の評価の中で最も共通する判断を、リスク管理レベルの総合判断とします。 |
| ISCMAx produces a detailed scorecard and associated graphical output. It also automatically reports conditions that may warrant further analysis, such as: | ISCMAxは、詳細なスコアカードと関連するグラフ出力を作成します。また、以下のような更なる分析を必要とする状況を自動的に報告します。 |
| • Elements where the overall organizational judgment is weakest | • 組織全体の判断が最も弱い要素 |
| • Elements where different risk management levels have widely divergent judgments | • 異なるリスク管理レベルの判断が大きく異なっている要素 |
| 1 ISCM is defined in NIST Special Publication (SP) 800-137 [SP800-137], Information Security Continuous Monitoring (ISCM) for Federal Information Systems and Organizations, as maintaining ongoing awareness of information security, vulnerabilities, and threats to support organizational risk management decisions. | 1 ISCMは、NIST SP 800-137 [SP800-137]「連邦政府の情報システムおよび組織のための情報セキュリティ継続的モニタリング(ISCM)」において、情報セキュリティ、脆弱性、脅威について継続的な認識を持ち、組織のリスク管理の決定を支援することと定義されています。 |
| 2 Risk management levels are described in NIST SP 800-39 [SP800-39], Managing Information Security Risk: Organization, Mission, and Information System View. | 2 リスク管理レベルは、NIST SP 800-39 [SP800-39]の「情報セキュリティリスクの管理:組織、ミッション、情報システムの視点」に記載されています。 |
References
[Catalog] National Institute of Standards and Technology (2020) ISCM Assessment Procedures Catalog. Available at
https://csrc.nist.gov/publications/detail/sp/800-137a/final
[CSF1.1] National Institute of Standards and Technology (2018) Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1. (National Institute of Standards and Technology, Gaithersburg, MD).
https://doi.org/10.6028/NIST.CSWP.04162018
[ISCMAx] National Institute of Standards and Technology (2020) ISCMAx. Available from
https://csrc.nist.gov/publications/detail/nistir/8212/final
[IGMetrics] FY 2018 Inspector General Federal Information Security Modernization Act of 2014 (FISMA) Reporting Metrics Version 1.0.1, Department of Homeland Security, Washington, DC, May 2018. Available at
https://www.cisa.gov/publication/fy18-fisma-documents
[SP800-37r2] Joint Task Force (2018) Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy. (National Institute of Standards and Technology, Gaithersburg, MD), NIST Special Publication (SP) 800-37, Rev. 2.
https://doi.org/10.6028/NIST.SP.800-37r2
[SP800-39] Joint Task Force Transformation Initiative (2011) Managing Information Security Risk: Organization, Mission, and Information System View. (National Institute of Standards and Technology, Gaithersburg, MD), NIST Special Publication (SP) 800-
39.
https://doi.org/10.6028/NIST.SP.800-39
[SP800-53r5] Joint Task Force (2020) Security and Privacy Controls for Federal Information Systems and Organizations. (National Institute of Standards and Technology, Gaithersburg, MD), NIST Special Publication 800-53, Revision 5, Includes updates as of December 10, 2020.
https://doi.org/10.6028/NIST.SP.800-53r5
[SP800-137] Dempsey KL, Chawla NS, Johnson LA, Johnston R, Jones AC, Orebaugh AD, Scholl MA, Stine KM (2011) Information Security Continuous Monitoring (ISCM) for Federal Information Systems and Organizations. (National Institute of Standards and Technology, Gaithersburg, MD), NIST Special Publication (SP) 800-137.
https://doi.org/10.6028/NIST.SP.800-137
[SP800-137A] Dempsey KL, Pillitteri VY, Baer C, Niemeyer R, Rudman R, Urban S (2020) Assessing Information Security Continuous Monitoring (ISCM) Programs: Developing an ISCM Program Assessment. (National Institute of Standards and Technology, Gaithersburg, MD), NIST Special Publication (SP) 800-137A.
https://doi.org/10.6028/NIST.SP.800-137A
■ 参考
● まるちゃんの情報セキュリティ気まぐれ日記
| Executive Summary | エグゼクティブサマリー |
| 1 Introduction | 1 はじめに |
| 1.1 Purpose and Scope | 1.1 目的と範囲 |
| 1.2 Target Audience | 1.2 想定読者 |
| 1.3 Relationship to Other NIST Documents | 1.3 他のNIST文書との関係 |
| 1.4 Organization of this Report | 1.4 本報告書の構成 |
| 2 ISCMA: An ISCM Program Assessment | 2 ISCMA: ISCMプログラムの評価 |
| 2.1 Design Principles | 2.1 設計原則 |
| 2.2 Engagement Types | 2.2 エンゲージメントの種類 |
| 2.3 Assessment Elements | 2.3 評価要素 |
| 2.4 Incremental Assessments | 2.4 定期的なアセスメント |
| 2.5 Risk Management Levels | 2.5 リスク管理レベル |
| 2.6 Judgments | 2.6 判断 |
| 2.7 Reporting Views | 2.7 報告のビュー |
| 2.7.1 Section View | 2.7.1 区分のビュー |
| 2.7.2 Perspective View | 2.7.2 見通しのビュー |
| 2.7.3 ISCM Process Step View | 2.7.3 ISCMプロセス段階のビュー |
| 2.7.4 CSF Category View | 2.7.4 CSFカテゴリーのビュー |
| 2.8 The ISCMA Process | 2.8 ISCMAプロセス |
| 2.8.1 Plan the Approach | 2.8.1 アプローチの計画 |
| 2.8.2 Conduct: Evaluate the Elements | 2.8.2 実施:要素の評価 |
| 2.8.3 Conduct: Score the Judgments | 2.8.3 実施:判断の採点 |
| 2.8.4 Report: Analyze the Results | 2.8.4 報告:結果の分析 |
| 2.8.5 Report and Follow-on: Formulate Actions | 2.8.5 報告とフォロー:アクションの策定 |
| 2.9 The Use of Consensus | 2.9 コンセンサスの活用 |
| 3 ISCMAx: The ISCMA Methodology Assessment Tool | 3 ISCMAx: ISCMAメソドロジー評価ツール |
| 3.1 ISCMAx and Excel | 3.1 ISCMAxとエクセル |
| 3.2 Obtaining ISCMAx | 3.2 ISCMAxの入手 |
| 3.3 Overview of ISCMAx Processing | 3.3 ISCMAxの処理の概要 |
| 3.4 Starting ISCMAx | 3.4 ISCMAxの起動 |
| 3.5 Assessment Parameters | 3.5 評価パラメータ |
| 3.6 Element Evaluation | 3.6 要素の評価 |
| 3.6.1 Judgment Selection | 3.6.1 判定の選択 |
| 3.6.2 Element-Level Judgment Assistance | 3.6.2 要素レベルの判定支援 |
| 3.7 Scoring and Partial Results | 3.7 スコアリングと部分結果 |
| 3.8 Action Buttons | 3.8 アクションボタン |
| 3.8.1 Restart Assessment | 3.8.1 評価の再スタート |
| 3.8.2 Merge Assessments | 3.8.2 評価の統合 |
| 3.8.3 Export Data | 3.8.3 データの抽出 |
| 3.8.4 Tailor Assessment | 3.8.4 テーラー評価 |
| 3.9 Deploying the Workbook | 3.9 ワークブックの配置 |
| 3.10 Additional Underlying Worksheets | 3.10 基本ワークシートの追加 |
| 4 The Principal Assessment Workbook | 4 プリンシパルアセスメントワークブック |
| 4.1 The Merge Process | 4.1 統合プロセス |
| 4.2 ScoreSummary Worksheet | 4.2 ScoreSummaryワークシート |
| 4.3 Differences Worksheet | 4.3 相違点ワークシート |
| 4.4 Messages Worksheet | 4.4 メッセージワークシート |
| 4.5 Observations Worksheet | 4.5 観察ワークシート |
| 4.6 Single Judgment Worksheets | 4.6 単一判定のワークシート |
| 4.7 Notes and Recommendations Worksheet | 4.7 メモと推奨事項のワークシート |
| 4.8 Relative Judgment Numbers | 4.8 相対的判断の数値 |
| 4.9 PrincipalAssessment Worksheet | 4.9 主観的評価のワークシート |
| 4.10 Level Worksheets | 4.10 レベルワークシート |
| 4.11 Chains Worksheet | 4.11 チェーンのワークシート |
| 4.12 JudgmentTable Worksheet | 4.12 判定表ワークシート |
| 5 Tailoring | 5 テーラリング |
| 5.1 Tailoring the Elements | 5.1 要素のテーラリング |
| 5.2 Tailoring Views | 5.2 ビューの調整 |
| 5.3 Tailoring Judgments | 5.3 判定の調整 |
| 5.3.1 Judgment Labels | 5.3.1 判定のラベル |
| 5.3.2 Intra-Level Judgment Conflict Resolution | 5.3.2 レベル内の判定の衝突の解決 |
| 5.3.3 The Judgment Combination Table | 5.3.3 判定の組み合わせ表 |
| 5.3.4 Summary of Judgment Tailoring Actions | 5.3.4 判定のテーラーリングアクションのまとめ |
| 5.4 Tailoring Scoring | 5.4 テーラリングのスコアリング |
| 5.5 Miscellaneous Tailoring | 5.5 その他のテーラーリング |
| 5.5.1 Tailoring the Instructions | 5.5.1 インストラクションの調整 |
| 5.5.2 Tailoring Miscellaneous Behavior Configurations | 5.5.2 その他の動作設定の仕立て方 |
| 5.6 Example of Tailoring Judgments and Scoring | 5.6 テーラリングの判定と採点の例 |
| 5.7 The ISCMAx Version Identifier | 5.7 ISCMAxのバージョン識別子について |
| 5.8 The Future of ISCMAx | 5.8 ISCMAxの今後について |
| References | 参考文献 |
Comments