NIST SP 800-53A Rev. 5 (Draft) 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価
こんにちは、丸山満彦です。
NISTがNIST SP 800-53A Rev. 5 (Draft) 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価を公開し、意見募集をしていますね。。。
ほぼ800ページ(^^)
NISCにいるときに監査手順書を作ろうかという話があったけど、統一基準ごとに評価手法を考慮した監査手順を作ると大変になるので、諦めたのですが、NISTは昔からこれをやっているんですよね。。。
NISTでは、
- 評価手法として、「EXAMINE(検証)」「INTERVIEW(インタビュー)」「TEST(テスト)」の3種類
- 評価の深さとして、「Basic(基本)」「Focused(重点)」「Comprehensive(総合)」の3段階
- 評価の対象範囲として、「Basic(基本)」「Focused(重点)」「Comprehensive(総合)」の3段階
としているんですが、すごいパワーだと思います。(作る側も使う側も...)
● NIST - ITL
・2021.08.03 SP 800-53A Rev. 5 (Draft) Assessing Security and Privacy Controls in Information Systems and Organizations
SP 800-53A Rev. 5 (Draft) Assessing Security and Privacy Controls in Information Systems and Organizations | SP 800-53A Rev.5 (ドラフト) 情報システムと組織におけるセキュリティとプライバシーコントロールの評価 |
Announcement | 発表 |
Control assessments are not about checklists, simple pass/fail results, or generating paperwork to pass inspections or audits. The testing and evaluation of controls in a system or organization to determine the extent to which the controls are implemented correctly, operating as intended, and producing the desired outcome are critical to managing and measuring risk. Additionally, control assessment results serve as an indication of the quality of the risk management processes, help identify security and privacy strengths and weaknesses within systems, and provide a road map to identifying, prioritizing, and correcting identified deficiencies. | コントロール評価は、チェックリストや単純な合否結果、あるいは検査や監査に合格するための書類作成ではありません。システムや組織における統制のテストと評価は、統制が正しく実装され、意図されたとおりに運用され、望ましい結果を生み出す程度を判断するためのものであり、リスクの管理と測定に不可欠です。さらに、統制評価の結果は、リスク管理プロセスの質を示すものであり、システム内のセキュリティとプライバシーの強みと弱みを特定するのに役立ち、特定された欠陥を特定し、優先順位をつけ、修正するためのロードマップを提供します。 |
Draft NIST Special Publication (SP) 800-53A, Revision 5, Assessing Security and Privacy Controls in Information Systems and Organizations, provides organizations with a flexible, scalable, and repeatable assessment methodology and assessment procedures that correspond with the controls in NIST SP 800-53, Revision 5. Like previous revisions of SP 800-53A, the generalized assessment procedures provide a framework and starting point to assess the enhanced security requirements and can be tailored to the needs of organizations and assessors. The assessment procedures can be employed in self-assessments or independent third-party assessments. | ドラフト版のNIST Special Publication (SP) 800-53A 第5版「情報システムと組織におけるセキュリティとプライバシーのコントロールの評価」は、NIST SP 800-53 第5版のコントロールに対応した、柔軟でスケーラブルかつ反復可能なアセスメント手法とアセスメント手順を組織に提供します。以前のSP 800-53Aの改訂版と同様に、一般化された評価手順は、強化されたセキュリティ要求事項を評価するためのフレームワークと出発点を提供し、組織と評価者のニーズに合わせて調整することができます。この評価手順は、自己評価または独立した第三者評価に採用することができます。 |
In addition to the update of the assessment procedures to correspond with the controls in SP 800-53, Revision 5, a new format for assessment procedures in this revision to SP 800-53A is introduced to: | SP 800-53 第5版のコントロールに対応するための評価手順の更新に加えて、今回の SP 800-53A の改訂では、評価手順の新しいフォーマットが導入されています。 |
Improve the efficiency of conducting control assessments, | ・コントロール評価の実施効率を向上させる。 |
Provide better traceability between assessment procedures and controls, and | ・評価手順と統制の間のより良いトレーサビリティを提供する。 |
Better support the use of automated tools, continuous monitoring, and ongoing authorization programs. | ・自動化されたツール、継続的な監視、および継続的な承認プログラムの使用をより良くサポートする。 |
NIST is seeking feedback on the assessment procedures in this publication and in electronic versions (OSCAL, CSV, and plain text), including the assessment objectives, determination statements, and potential assessment methods and objects. We are also interested in the approach taken to incorporate organization-defined parameters into the determination statements for the assessment objectives. To facilitate their review and use by a broad range of stakeholders, the assessment procedures are available for comment and use in PDF format, as well as comma-separated value (CSV), plain text, and Open Security Controls Assessment Language (OSCAL) formats. | NISTでは、本書および電子版(OSCAL、CSV、プレーンテキスト)に掲載されている評価手順について、評価目的、判定文、潜在的な評価方法と対象物などのフィードバックを求めている。また、評価目的の決定文に、組織で定義されたパラメータをどのように組み込むかについても関心があります。この評価手順書は、幅広いステークホルダーの皆様にご利用いただけるよう、PDF形式のほか、カンマ区切り値(CSV)、プレーンテキスト、Open Security Controls Assessment Language(OSCAL)の各形式でコメントを受け付けています。 |
The comment period is open through October 1, 2021. We encourage you to submit comments using the comment template provided. | コメント期間は、2021年10月1日までです。 コメントの提出は、所定のコメントテンプレートをご利用ください。 |
Abstract | 概要 |
This publication provides a set of procedures for conducting assessments of security and privacy controls employed within systems and organizations. The assessment procedures, executed at various phases of the system development life cycle, are consistent with the security and privacy controls in NIST Special Publication 800-53, Revision 5. The procedures are customizable and can be easily tailored to provide organizations with the needed flexibility to conduct security and privacy control assessments that support organizational risk management processes and are aligned with the stated risk tolerance of the organization. Information on building effective security and privacy assessment plans is also provided along with guidance on analyzing assessment results. | 本書は、システムや組織で採用されているセキュリティとプライバシーのコントロールの評価を行うための手順をまとめたものです。この評価手順は、システム開発ライフサイクルの様々なフェーズで実施され、NIST Special Publication 800-53, Revision 5のセキュリティおよびプライバシー管理に準拠しています。この手順はカスタマイズが可能で、組織のリスク管理プロセスをサポートし、組織の規定されたリスク許容度に沿ったセキュリティおよびプライバシー管理の評価を実施するために必要な柔軟性を組織に提供することができます。また、効果的なセキュリティおよびプライバシー評価計画の策定に関する情報や、評価結果の分析に関するガイダンスも提供しています。 |
・[PDF] SP 800-53A Rev. 5 (Draft)
CHAPTER ONE INTRODUCTION | 第1章 はじめに |
1.1 PURPOSE AND APPLICABILITY | 1.1 目的と適用性 |
1.2 TARGET AUDIENCE | 1.2 想定読者 |
1.3 RELATED PUBLICATIONS AND ASSESSMENT PROCESSES | 1.3 関連出版物および評価プロセス |
1.4 ORGANIZATION OF THIS PUBLICATION | 1.4 この出版物の構成 |
CHAPTER TWO THE FUNDAMENTALS | 第2章 基本事項 |
2.1 ASSESSMENTS WITHIN THE SYSTEM DEVELOPMENT LIFE CYCLE | 2.1 システム開発ライフサイクルにおけるアセスメント |
2.2 CONTROL STRUCTURE AND ORGANIZATION | 2.2 コントロールの構造と組織 |
2.3 BUILDING AN EFFECTIVE ASSURANCE CASE | 2.3 効果的な保証事例の構築 |
2.4 ASSESSMENT PROCEDURES: ASSESSMENT OBJECTS, METHODS AND OBJECTIVES | 2.4 評価手順。評価の対象、方法及び目的 |
CHAPTER THREE THE PROCESS | 第3章 プロセス |
3.1 PREPARE FOR SECURITY AND PRIVACY CONTROL ASSESSMENTS | 3.1 セキュリティ及びプライバシーに関する統制評価の準備 |
3.2 DEVELOP SECURITY AND PRIVACY ASSESSMENT PLANS | 3.2 セキュリティ及びプライバシーに関する評価計画の策定 |
3.3 CONDUCT SECURITY AND PRIVACY CONTROL ASSESSMENTS | 3.3 セキュリティ及びプライバシーに関する統制評価の実施 |
3.4 ANALYZE ASSESSMENT REPORT RESULTS | 3.4 評価報告書の結果の分析 |
3.5 ASSESS SECURITY AND PRIVACY CAPABILITIES | 3.5 セキュリティ及びプライバシーに関する能力の評価 |
CHAPTER FOUR SECURITY AND PRIVACY ASSESSMENT PROCEDURES | 第4章 セキュリティ及びプライバシーの評価手順 |
4.1 ACCESS CONTROL | 4.1 アクセス制御 |
4.2 AWARENESS AND TRAINING | 4.2 認識とトレーニング |
4.3 AUDIT AND ACCOUNTABILITY | 4.3 監査及び説明責任 |
4.4 ASSESSMENT, AUTHORIZATION, AND MONITORING | 4.4 評価、承認、及び監視 |
4.5 CONFIGURATION MANAGEMENT | 4.5 構成管理 |
4.6 CONTINGENCY PLANNING | 4.6 緊急時の計画 |
4.7 IDENTIFICATION AND AUTHENTICATION | 4.7 識別および認証 |
4.8 INCIDENT RESPONSE | 4.8 インシデント対応 |
4.9 MAINTENANCE | 4.9 メンテナンス |
4.10 MEDIA PROTECTION | 4.10 メディアの保護 |
4.11 PHYSICAL AND ENVIRONMENTAL PROTECTION | 4.11 物理的および環境的な保護 |
4.12 PLANNING | 4.12 プランニング |
4.13 PROGRAM MANAGEMENT | 4.13 プログラム管理 |
4.14 PERSONNEL SECURITY | 4.14 職員のセキュリティ |
4.15 PERSONALLY IDENTIFIABLE INFORMATION PROCESSING AND TRANSPARENCY | 4.15 個人を特定できる情報の処理と透明性 |
4.16 RISK ASSESSMENT | 4.16 リスク評価 |
4.17 SYSTEM AND SERVICES ACQUISITION | 4.17 システムおよびサービスの取得 |
4.18 SYSTEM AND COMMUNICATIONS PROTECTION | 4.18 システムおよび通信の保護 |
4.19 SYSTEM AND INFORMATION INTEGRITY | 4.19 システムおよび情報の完全性 |
4.20 SUPPLY CHAIN RISK MANAGEMENT | 4.20 サプライチェーン・リスクマネジメント |
REFERENCES | 参考文献 |
APPENDIX A GLOSSARY | 附属書A 用語集 |
APPENDIX B ACRONYMS | 附属書B 頭字語 |
APPENDIX C ASSESSMENT METHOD DESCRIPTIONS | 附属書C 評価方法の説明 |
APPENDIX D PENETRATION TESTING | 附属書D ペネトレーションテスト |
APPENDIX E ASSESSMENT REPORTS | 附属書E 評価レポート |
APPENDIX F ONGOING ASSESSMENT AND AUTOMATION | 附属書F 継続的な評価と自動化 |
« 米国連邦議会上院 国土安全保障・政府問題委員会 「アメリカのデータは危険にさらされている」 | Main | 内閣官房IT総合戦略室 2020年度(令和2年度)国家公務員テレワーク取組状況等調査の結果 at 2021.07.20 »
Comments