NIST SP 800-172A 管理対象非機密情報 (CUI) に対する強化版セキュリティ要件の評価
こんにちは、丸山満彦です。
NISTが、非連邦政府組織およびシステムにおける管理対象非機密情報 (Controlled Unclassified Information: CUI)に対する強化版セキュリティ要件の評価に関する標準案について意見募集をしていますね。
SP 800-171Aと同じく、
- 評価手法として、「EXAMINE(検証)」「INTERVIEW(インタビュー)」「TEST(テスト)」の3種類
- 評価の深さとして、「Basic(基本)」「Focused(重点)」「Comprehensive(総合)」の3段階
- 評価の対象範囲として、「Basic(基本)」「Focused(重点)」「Comprehensive(総合)」の3段階
が定義されていて、監査論的にも興味深いですね。。。
● NIST - ITL - Computer Security Resource Center - Publication
・2021.04.27 SP 800-172A (Draft) Assessing Enhanced Security Requirements for Controlled Unclassified Information
・[PDF] SP 800-172A (Draft)
Announcement | 発表 |
The protection of controlled unclassified information (CUI) in nonfederal systems and organizations—especially CUI associated with a critical program or high value asset—is important to federal agencies and can directly impact the ability of the Federal Government to successfully carry out its assigned missions and business operations. To determine if the enhanced security requirements in NIST Special Publication (SP) 800-172, Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171, have been satisfied, organizations develop assessment plans and conduct assessments. | 連邦政府以外のシステムや組織における管理下の未分類情報(CUI)、特に重要なプログラムや高価値の資産に関連するCUIの保護は、連邦政府機関にとって重要であり、連邦政府が与えられた任務や業務を正常に遂行する能力に直接影響を与える可能性があります。”NIST Special Publication (SP) 800-172, Enhanced Security Requirements for Protecting Controlled Unclassified Information:”A Supplement to NIST Special Publication 800-171”の強化されたセキュリティ要件が満たされているかどうかを判断するために、組織は評価計画を策定し、評価を実施します。 |
Draft NIST SP 800-172A, Assessing Enhanced Security Requirements for Controlled Unclassified Information, provides federal agencies and nonfederal organizations with assessment procedures that can be used to carry out assessments of the requirements in NIST SP 800-172. The generalized assessment procedures are flexible, provide a framework and starting point to assess the enhanced security requirements, and can be tailored to the needs of organizations and assessors. Organizations tailor the assessment procedures by selecting specific assessment methods and objects to achieve the assessment objectives and by determining the scope of the assessment and the degree of rigor applied during the assessment process. The assessment procedures can be employed in self-assessments, independent third-party assessments, or assessments conducted by sponsoring organizations (e.g., government agencies). Such approaches may be specified in contracts or in agreements by participating parties. The findings and evidence produced during assessments can be used by organizations to facilitate risk-based decisions related to the CUI enhanced security requirements. In addition to developing determination statements for each enhanced security requirement, Draft NIST SP 800-172A introduces an updated structure to incorporate organization-defined parameters into the determination statements. | ドラフトNIST SP 800-172A「管理対象非機密情報に対する強化版セキュリティ要件の評価」は、NIST SP 800-172の要件の評価を実施するために使用できる評価手順を連邦機関および非連邦組織に提供しています。一般化された評価手順は柔軟性があり、強化版セキュリティ要件を評価するためのフレームワークと出発点を提供し、組織と評価者のニーズに合わせて調整することができます。組織は、評価目的を達成するために特定の評価方法と評価対象を選択し、評価の範囲と評価プロセスに適用する厳密さの度合いを決定することによって、評価手順を調整します。評価手順は、自己評価、独立した第三者評価、またはスポンサー組織(政府機関など)が実施する評価に利用できます。このようなアプローチは、契約書または参加者による合意書に明記することができます。評価中に得られた所見と証拠は、組織が CUI 強化版セキュリティ要件に関連するリスクベースの 判断を促すために使用することができます。NIST SP 800-172A(ドラフト)では、セキュリティ強化要件ごとに判定書を作成することに加えて、組織が定義したパラメータを判定書に組み込むための最新の構造を導入しています。 |
NIST is seeking feedback on the assessment procedures, including the assessment objectives, determination statements, and the usefulness of the assessment objects and methods provided for each procedure. We are also interested in the approach taken to incorporate organization-defined parameters into the determination statements for the assessment objectives. | NISTは、評価目的、判定文、各手順に用意された評価対象と評価方法の有用性など、評価手順に関するフィードバックを求めている。また、評価目的の決定文に組織で定義されたパラメータを組み込むために取られたアプローチにも関心があります。 |
Abstract | 概要 |
The protection of Controlled Unclassified Information (CUI) in nonfederal systems and organizations is important to federal agencies and can directly impact the ability of the Federal Government to successfully carry out its assigned missions and business operations. This publication provides federal agencies and nonfederal organizations with assessment procedures that can be used to carry out assessments of the requirements in NIST Special Publication 800-172, Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171. The assessment procedures are flexible and can be tailored to the needs of organizations and assessors. Assessments can be conducted as 1) self-assessments; 2) independent, third-party assessments; or 3) government-sponsored assessments. The assessments can be conducted with varying degrees of rigor based on customer-defined depth and coverage attributes. The findings and evidence produced during the assessments can be used to facilitate risk-based decisions by organizations related to the CUI enhanced security requirements. | 連邦政府以外のシステムや組織における管理対象非機密情報 (CUI: Controlled Unclassified Information) の保護は、連邦政府機関にとって重要であり、連邦政府が与えられた任務や業務を成功裏に遂行する能力に直接影響を与える可能性があります。本書は、連邦機関および非連邦組織に対して、NIST SP 800-171の補足するNIST SP 800-172「管理対象非機密情報を保護するための強化版セキュリティ要件」にある要件の評価を行うために使用できる評価手順を提供します。この評価手順は柔軟性があり、組織や評価者のニーズに合わせて調整することができます。評価は、1)自己評価、2)独立した第三者評価、3)政府主導の評価として実施することができます。アセスメントは、利用者が定義した深度と対象範囲の属性に基づいて、さまざまな程度の厳密さで実施することができます。アセスメントで得られた知見や証拠は、CUI の強化版セキュリティ要件に関連して、組織がリスクに基づく判断を行うために使用することができます。 |
■ 関連文書
● NIST - ITL
・2021.02.02 (news) NIST Offers Tools to Help Defend Against State-Sponsored Hackers
・[PDF] SP 800-172
・2021.01.28 SP 800-171 Rev. 2 Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations
・[PDF] SP 800-171 Rev. 2
Supplemental Material:
・[DOC] CUI Plan of Action template
・[DOC] CUI SSP template **[see Planning Note]
・[XLS] Mapping: Cybersecurity Framework v.1.0 to SP 800-171 Rev. 2
Other Parts of this Publication:
・2018.06.13 SP 800-171A Assessing Security Requirements for Controlled Unclassified Information
・ SP 800-171A
SP 800-171 は2020.02にRev.2になったのですが、2021.01.28にEditorialな修正が入っています。。。なお、こちらは2020.02段階の文書についてEva Aviationが翻訳を出しています。
また、SP 800-171AはSP 800-171 Rev.1 に対応したものになっています。
SP 800-172 はEva Aviationが第3章までの機械翻訳(対訳)を出しています。
● Eva Aviation
・2020.12.28 NIST SP 800-171関連主要ドキュメント
・[PDF] NIST SP 800-171 Rev.1 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護
・[PDF] NIST SP 800-171 Rev.2 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護
・[PDF] NIST SP 800-172 管理対象非機密情報CUIの保護に対する強化版セキュリティ要件(第3章まで機械翻訳(対訳))
● まるちゃんの情報セキュリティ気まぐれ日記
・2020.10.02 米国国防省がCMMCの暫定規則(DFARS Case 2019-D041)を公表し、意見募集を行っています
・2020.03.31 CMMC概要 An Introduction to the Cybersecurity Maturity Model Certification (CMMC)
・2020.03.09 Cybersecurity Maturity Model Certification (CMMC) Version 1.0
« 中国 意見募集 スマホアプリによる個人情報保護管理に関する暫定規定 | Main | コンピュータソフトウェア協会・Software ISAC 「ソフトウェアの安全性を意識した管理体制(ver.1.0)」を公開 »
Comments