NISTIR 8170 連邦政府機関がサイバーセキュリティフレームワークを使用するためのアプローチ

こんにちは、丸山満彦です。

NISTが2020.03.19に発行したNISTIR 8170 Approaches for Federal Agencies to Use the Cybersecurity Framework（連邦政府機関がサイバーセキュリティフレームワークを使用するためのアプローチ）の改訂版を発行していますね。。。

● NIST- ITL

・2021.08.17 NISTIR 8170 Approaches for Federal Agencies to Use the Cybersecurity Framework

 

Abstract	概要
The document highlights examples for implementing the Framework for Improving Critical Infrastructure Cybersecurity (known as the Cybersecurity Framework) in a manner that complements the use of other NIST security and privacy risk management standards, guidelines, and practices. These examples include support for an Enterprise Risk Management (ERM) approach in alignment with OMB and FISMA requirements that agency heads “manage risk commensurate with the magnitude of harm that would result from unauthorized access, use, disclosure, disruption, modification, or destruction of a federal information system or federal information.” The use of the Cybersecurity Framework’s components enable discussion about the various types of risk that might occur within federal organizations and promote conversations about how to determine the likelihood and potential consequences of risk events. These activities can then be combined with those described in NIST Special Publication (SP) 800-37, Revision 2, Risk Management Framework for Information Systems and Organizations; SP 800-39, Managing Information Security Risk; and other guidelines to form a comprehensive risk-based approach for security and privacy.	本書は、重要インフラのサイバーセキュリティ向上のためのフレームワーク（以下、サイバーセキュリティフレームワーク）を、他のNISTセキュリティおよびプライバシーリスク管理の標準、ガイドライン、およびプラクティスの使用を補完する形で実施するための例を紹介するものです。これらの例には、OMBとFISMAの要求に沿ったERM（Enterprise Risk Management）アプローチのサポートが含まれており、各機関の責任者は、「連邦情報システムまたは連邦情報への不正なアクセス、使用、開示、混乱、変更、または破壊によって生じる被害の大きさに見合ったリスクを管理する」ことが求められています。サイバーセキュリティフレームワークの構成要素を使用することで、連邦組織内で発生する可能性のあるさまざまなタイプのリスクについて議論することができ、リスクイベントの可能性と潜在的な影響を判断する方法についての会話が促進されます。これらの活動は、NIST SP 800-37 Revision 2 「情報システム・組織のリスクマネジメントフレームワーク」、SP 800-39 「情報セキュリティリスクの管理」などのガイドラインに記載されている活動と組み合わせることで、セキュリティとプライバシーのための包括的なリスクベースのアプローチを形成することができます。
This risk-based approach will assist agencies in determining the risks that are relevant to its mission throughout the operational lifecycle and apply an appropriate type and degree of resources to treat those risks to an acceptable level. Examples in this publication will demonstrate the use of the Cybersecurity Framework, the NIST Risk Management Framework (RMF), and other models to evaluate and report agency goals and progress and to inform tailoring activities for managing cybersecurity risk appropriately. Use of a comprehensive cybersecurity risk-based approach, as demonstrated through these examples, supports agencies’ activities to meet their concurrent obligations to comply with the requirements of FISMA and Executive Order (EO) 13800.	このリスクベースのアプローチは、各機関が運用のライフサイクルを通じてミッションに関連するリスクを決定し、それらのリスクを許容可能なレベルまで対応するために、適切な種類と程度のリソースを適用するのに役立ちます。本書の例では、サイバーセキュリティフレームワーク、NISTリスクマネジメントフレームワーク（RMF）、およびその他のモデルを使用して、機関の目標と進捗を評価・報告し、サイバーセキュリティリスクを適切に管理するための活動を調整するための情報を提供します。これらの例を通して実証されるように、包括的なサイバーセキュリティリスクベースのアプローチを使用することは、FISMAと大統領令（EO）13800の要件を遵守するという同時の義務を満たすための機関の活動をサポートします。

概要部分は変更なしです...

 

・[PDF]  NISTIR 8170

 

概要です。。。

Executive Summary	エグゼクティブ・サマリー
All federal agencies are entrusted with safeguarding the information contained in their systems and ensuring that those systems operate securely and reliably. It is vital that agency personnel at all levels manage their assets wisely and address cybersecurity risks effectively. To do that, agencies need a holistic approach to their enterprises’ risk management that includes timely, streamlined approaches and automated tools.	すべての連邦政府機関は、そのシステムに含まれる情報を保護し、それらのシステムが安全かつ確実に動作することを任されています。すべてのレベルの政府機関の職員が、資産を賢明に管理し、サイバーセキュリティリスクに効果的に対処することが不可欠です。そのためには、タイムリーで合理的なアプローチと自動化されたツールを含む、組織全体としてのリスク管理に対する全体的なアプローチが必要です。
As part of its statutory responsibilities under the Federal Information Security Management Act as amended (FISMA), the National Institute of Standards and Technology (NIST) develops standards and guidelines—including minimum requirements—to provide adequate information security for federal information and information systems [1]. This suite of security and privacy risk management standards and guidelines provides guidance for an integrated, organizationwide program to manage information security risk.	米国標準技術研究所（NIST）は，改正連邦情報セキュリティ管理法（FISMA）に基づく法的責任の一環として，連邦政府の情報および情報システムに適切な情報セキュリティを提供するための最低要求事項を含む標準およびガイドラインを策定しています[1]。この一連のセキュリティおよびプライバシー・リスク管理の基準とガイドラインは、情報セキュリティ・リスクを管理するための組織全体の統合プログラムの指針となるものです。
NIST produced this report to assist federal agencies in strengthening their cybersecurity risk management processes by highlighting example approaches for implementing the Framework for Improving Critical Infrastructure Cybersecurity (known as the Cybersecurity Framework) [5]. Developed by NIST in close collaboration with private and public sectors, the Cybersecurity Framework is a risk-based approach used voluntarily by organizations across the United States. Initially developed to address cybersecurity challenges in the Nation’s Critical Infrastructure (CI) sectors, the voluntary Framework is used by a variety of organizations across the world.  The Cybersecurity Framework aligns with and complements NIST’s suite of security and privacy risk management standards and guidelines.	NISTは、「重要インフラストラクチャのサイバーセキュリティ向上のためのフレームワーク」（通称：サイバーセキュリティ・フレームワーク）を実施するためのアプローチ例を紹介することで、連邦政府機関がサイバーセキュリティ・リスク管理プロセスを強化することを支援するために、本報告書を作成しました[5]。サイバーセキュリティ・フレームワークは、NISTが官民の緊密な協力のもとに開発したもので、米国内の組織が自主的に使用するリスクベースのアプローチです。当初は、米国の重要インフラ（CI）部門におけるサイバーセキュリティの課題に対処するために開発されましたが、この任意のフレームワークは、世界中のさまざまな組織で使用されています。 サイバーセキュリティ・フレームワークは、NISTの一連のセキュリティおよびプライバシーのリスク管理基準とガイドラインに沿っており、それらを補完するものです。
This report illustrates eight example approaches through which federal agencies can leverage the Cybersecurity Framework to address common cybersecurity-related responsibilities. By doing so, agencies can integrate the Cybersecurity Framework with key NIST cybersecurity risk management standards and guidelines that are already in wide use. These eight approaches support a mature agency-wide cybersecurity risk management program:	本報告書は、連邦政府機関がサイバーセキュリティフレームワークを活用して、サイバーセキュリティ関連の共通の責任に対処するための8つのアプローチ例を示しています。そうすることで、各機関はサイバーセキュリティフレームワークを、すでに広く使用されているNISTの主要なサイバーセキュリティリスク管理基準やガイドラインと統合することができます。これらの8つのアプローチは、成熟した機関全体のサイバーセキュリティ・リスク管理プログラムをサポートします。
1. Integrate enterprise and cybersecurity risk management	1. エンタープライズリスク管理とサイバーセキュリティ管理の統合
2. Manage cybersecurity requirements	2. サイバーセキュリティ要件の管理
3. Integrate and align cybersecurity and acquisition processes	3. サイバーセキュリティと購買プロセスの統合と調整
4. Evaluate organizational cybersecurity	4. 組織的サイバーセキュリティの評価
5. Manage the cybersecurity program	5. サイバーセキュリティプログラムの管理
6. Maintain a comprehensive understanding of cybersecurity risk	6. サイバーセキュリティリスクに関する包括的理解の維持
7. Report cybersecurity risks	7. サイバーセキュリティリスクの報告
8. Inform the tailoring process	8. テーラーリングプロセスへの反映
The key concepts and cybersecurity approaches described in this document are intended to promote more effective risk management and to encourage dialogue within and among federal agencies.	本書に記載されているキーコンセプトとサイバーセキュリティアプローチは、より効果的なリスク管理を促進し、連邦機関内および連邦機関間の対話を促すことを目的としています。

[1] Federal Information Security Modernization Act of 2014, Pub. L. 113-283, 128 Stat. 3073.
https://www.govinfo.gov/content/pkg/PLAW-113publ283/pdf/PLAW-113publ283.pdf

[5] National Institute of Standards and Technology (2018) Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1. (National Institute of Standards and Technology, Gaithersburg, MD).
https://doi.org/10.6028/NIST.CSWP.04162018

目次です。。。

Executive Summary	エグゼクティブ・サマリー
1 Introduction	1 はじめに
1.1 Audience	1.1 想定読者
1.2 Organization of this report	1.2 本報告書の構成
2 Example Approaches	2 アプローチ例
1. Integrate Enterprise and Cybersecurity Risk Management	1. エンタープライズリスク管理とサイバーセキュリティ管理の統合
2. Manage Cybersecurity Requirements	2. サイバーセキュリティ要件の管理
3. Integrate and Align Cybersecurity and Acquisition Processes	3. サイバーセキュリティと購買プロセスの統合と調整
4. Evaluate Organizational Cybersecurity	4. 組織的サイバーセキュリティの評価
5. Manage the Cybersecurity Program	5. サイバーセキュリティプログラムの管理
6. Maintain a Comprehensive Understanding of Cybersecurity Risk	6. サイバーセキュリティリスクに関する包括的理解の維持
7. Report Cybersecurity Risks	7. サイバーセキュリティリスクの報告
8. Inform the Tailoring Process	8. テーラリングプロセスへの反映
References	参考文献
List of Appendices	附属書リスト
Appendix A— Acronyms	附属書A - 頭字語
Appendix B— Glossary	附属書B - 用語集

 

関連

Supplemental Material:

• Cybersecurity Framework homepage (other)
  

Document History:

• 05/12/17: NISTIR 8170 (Draft)
• 03/19/20: NISTIR 8170

 - - - - -

Security and Privacy

• controls

Applications

• cybersecurity framework
• enterprise

Laws and Regulations

• Executive Order 13636
• Federal Information Security Modernization Act

これも重要です。。。

NISTIR 8286

• 2020.10.13 NISTIR 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM)
• [PDF] NISTIR 8286
• [XLS] OLIR Mapping NISTIR 8286 to Cybersecurity Framework v1.1

 

---

このブログの過去の記事で関連しそうなところです。。。

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.08.10 NIST SP 1271 NISTサイバーセキュリティフレームワーク入門：クイックスタートガイド

・2021.07.08 NISTIR 8286A （ドラフト）エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定（第2ドラフト）

・2020.10.22 NISTIR 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM)

・2020.03.20 NISTIR 8170 Approaches for Federal Agencies to Use the Cybersecurity Framework