NIST SP 800-50 Rev.1 (ドラフト) ドラフト作成前のコメント募集：サイバーセキュリティとプライバシーに関する意識向上とトレーニングプログラムの構築

こんにちは、丸山満彦です。

NISTが、SP 800-50 Rev.1 (ドラフト)  ドラフト作成前のコメント募集：サイバーセキュリティとプライバシーに関する意識向上とトレーニングプログラムの構築を公表し、意見募集をしていますね。

ここでえられた意見を踏まえて、ドラフトを作成するようですね。。。

● NIST - ITL

・2021.09.21 SP 800-50 Rev. 1 (Draft) PRE-DRAFT Call for Comments: Building a Cybersecurity and Privacy Awareness and Training Program

 

SP 800-50 Rev. 1 (Draft) PRE-DRAFT Call for Comments: Building a Cybersecurity and Privacy Awareness and Training Program	SP 800-50 Rev.1 (ドラフト)  ドラフト作成前のコメント募集：サイバーセキュリティとプライバシーに関する意識向上とトレーニングプログラムの構築
Announcement	発表
Cybersecurity awareness and training resources, methodologies, and requirements have evolved since NIST Special Publication (SP) 800-50, Building an Information Technology Security Awareness and Training Program, was published in 2003 and companion document NIST SP 800-16, Information Technology Security Training Requirements: a Role- and Performance-Based Model, was published in 1998 (a 3rd draft revision was released in 2014).  New guidance to inform this work comes from the National Defense Authorization Act (NDAA) for FY2021 and the Cybersecurity Enhancement Act of 2014; in addition, the 2016 update to OMB Circular A-130 emphasizes the role of both privacy and security in the federal information life cycle and requires agencies to have both security and privacy awareness and training programs. To ensure NIST stakeholders benefit from guidance informed by these updated resources, methodologies, and requirements, NIST plans to update SP 800-50 to include privacy, and potentially consolidate with SP 800-16. The new proposed title for SP 800-50 is Building a Cybersecurity and Privacy Awareness and Training Program.	2003年にNIST Special Publication (SP) 800-50「情報技術セキュリティの意識向上とトレーニングプログラムの構築」が発行され、関連文書であるNIST SP 800-16「情報技術セキュリティのトレーニング要件：役割とパフォーマンスに基づくモデル」が1998年に発行されて以来、サイバーセキュリティの認識とトレーニングのリソース、方法論、要件は進化してきました（2014年に第3次改訂版が発表されました）。 この作業に役立つ新たなガイダンスは、2021年度の国防権限法（NDAA）と2014年のサイバーセキュリティ強化法から得られたものです。さらに、2016年に更新されたOMB Circular A-130では、連邦情報のライフサイクルにおけるプライバシーとセキュリティの両方の役割が強調されており、各機関がセキュリティとプライバシーの両方の意識向上とトレーニングプログラムを持つことが求められています。NISTのステークホルダーが、これらの最新のリソース、方法論、要求事項を反映したガイダンスの恩恵を受けられるように、NISTはSP 800-50を更新してプライバシーを含め、SP 800-16と統合する可能性を計画しています。SP 800-50の新しいタイトル案は「サイバーセキュリティとプライバシーに関する意識向上とトレーニングプログラムの構築」です。
The public is invited to provide input by November 5, 2021, for consideration in the update. The list of topics below covers the major areas in which NIST is considering updates. Reviewers may respond to any or all topic areas as they choose. Reviewers may also provide other relevant comments unrelated to the specific topics below.	更新内容を検討するために、2021年11月5日までに一般からの意見を募集しています。以下のトピックのリストは、NISTが更新を検討している主な分野を網羅しています。レビュアーは、任意のトピック領域に回答することができます。また、以下のトピック以外にも、関連するコメントを寄せていただいても構いません。
1. Updated Security Awareness and Training Program Lifecycle:	1. セキュリティ教育・訓練プログラムのライフサイクルの更新
NIST proposes updating the descriptions of and terminology used for building a security awareness and training program to include the following elements. NIST seeks input on how to improve items A-E, including any elements that may be missing:	NISTは、セキュリティ意識とトレーニングプログラムを構築するための説明と用語を更新し、以下の要素を含めることを提案する。NISTは、項目A～Eをどのように改善するか、欠けている可能性のある要素を含めて意見を求めている。
a. Identifying the organization’s awareness and training needs	a. 組織の認識とトレーニングのニーズの特定
b. Planning and designing the awareness and training program	b. 意識向上とトレーニングプログラムの計画と設計
c. Developing the awareness and training materials	c. 意識向上とトレーニングの教材の開発
d. Implementing the program content	d. プログラムの実施
e. Post-implementation assessment	e. 実施後の評価
2. Incorporation of Privacy Awareness and Training Programs:	2. プライバシーに関する意識向上とトレーニングプログラムの組み込み
NIST proposes incorporating descriptions of and terminology used for building a privacy awareness and training program in parallel with a security awareness and training program. NIST seeks input on whether:	NISTは、セキュリティ意識向上・研修プログラムと並行して、プライバシー意識向上・研修プログラムを構築するための説明や用語を取り入れることを提案しています。NISTは、以下の点について意見を求めています。
a. The process steps for building a security awareness and training program in item 1 above also accurately reflect the process steps for building a privacy awareness and training program.	a. 上記項目1のセキュリティ意識向上とトレーニングプログラム構築のプロセスステップは、プライバシー意識向上とトレーニングプログラム構築のプロセスステップも正確に反映しています。
b. There are any training and awareness activities that are unique to privacy.	b. プライバシーに特有のトレーニングや意識向上のための活動する。
c. There are key privacy training and awareness terminology and topics that should be addressed.	c. プライバシーに関するトレーニングや意識向上のための主要な用語やトピックがあり、それらを取り扱うべきです。
3. Consolidation of SP 800-50 with SP 800-16:	3. SP 800-50とSP 800-16の統合
Originally, NIST SP 800-50 and NIST SP 800-16 operated as companion guidance documents. NIST proposes combining content from NIST SP 800-16 into NIST SP 800-50 and producing a single reference document to describe the fundamental elements necessary to develop a security and privacy awareness and training program.	もともとNIST SP 800-50とNIST SP 800-16は付随するガイダンス文書として運用されていました。NISTは、NIST SP 800-16の内容をNIST SP 800-50に統合し、セキュリティとプライバシーに関する意識向上とトレーニングプログラムの開発に必要な基本要素を記述した単一の参考文書を作成することを提案します。
a.  Identify benefits or impacts of this proposed consolidation of guidance.	a.  提案されているガイダンスの統合による利点や影響を明らかにすること。
b. Identify the content of NIST SP 800-50 and NIST SP 800-16 that you or your organization are using and how.	b. NIST SP 800-50及びNIST SP 800-16のうち、あなた又はあなたの組織が使用している内容及び方法を特定すること。
c. Describe which aspects of NIST SP 800-50 and NIST SP 800-16 have been the most useful and why.	c. NIST SP 800-50及びNIST SP 800-16のどの部分が最も有用であったか、またその理由を説明すること。
d. Describe which aspects of NIST SP 800-50 and NIST SP 800-16 have been the least useful and why.	d. NIST SP 800-50及びNIST SP 800-16のどの部分が最も役に立たなかったか，そしてその理由を記述すること。
e. Share key concepts or topics that are missing from these publications, including what they are and why they merit special attention.	e. これらの出版物に欠けている重要な概念やトピックを共有し、それらが何であるか、なぜ特別な注意を払う必要があるのかを含むこと。
General feedback is requested on:	一般的なフィードバックをお願いします。
1. The scope of NIST SP 800-50 and NIST SP 800-16. Please specify what the scope should be if the two are consolidated.	1. NIST SP 800-50 と NIST SP 800-16 のスコープについて。両者を統合した場合のスコープはどうあるべきか、具体的に教えてください。
2. The range of program areas and work roles included in the publications.	2. 出版物に含まれるプログラム領域と作業の役割の範囲。
3. Terminology, including descriptions of types of cybersecurity and privacy risks, threats, and technologies.	3. サイバーセキュリティとプライバシーに関するリスク、脅威、技術の種類の説明を含む用語。
4. Appropriateness of program development framework guidance for organizations of varying size and complexity.	4. 様々な規模と複雑さを持つ組織に対するプログラム開発フレームワークガイダンスの適切性。
5. The work role and responsibilities of those who manage the privacy and IT security awareness and training programs. With respect to security, explain if the NICE Framework Work Roles of Cyber Curriculum Developer or Cyber Instructor sufficiently capture the responsibilities.	5. プライバシー及びITセキュリティ意識向上・研修プログラムを管理する者の業務上の役割及び責任。セキュリティに関しては、NICEフレームワークの作業役割である「サイバーカリキュラム開発者」または「サイバーインストラクター」がその責任を十分に捉えているかどうかを説明すること。
6. Redundancy of material; or material now addressed by other NIST publications.	6. 資料の重複、または他の NIST 出版物で扱われている資料。
When providing comments, please be specific and include the rationale for any proposed additions or deletions of material.	コメントを提出する際には、具体的に、提案された資料の追加や削除の根拠を含めてください。
Submitted comments, including attachments and other supporting materials, will become part of the public record and are subject to public disclosure. Personally-identifiable information (PII) and confidential business information should not be included (e.g., account numbers, Social Security numbers, names of other individuals). Comments that contain profanity, vulgarity, threats, or other inappropriate language will not be posted or considered.	提出されたコメントは、添付ファイルやその他の補足資料を含めて、パブリックレコードの一部となり、公開されることになります。個人を特定できる情報（PII）や企業の機密情報（口座番号、社会保障番号、他の個人の名前など）は記載しないでください。冒涜的な言葉、下品な言葉、脅迫的な言葉、その他の不適切な言葉を含むコメントは、投稿または検討されません。
An Initial Public Draft of the update, which will be published as SP 800-50 Revision 1, is scheduled for an early 2022 release.	このアップデートの初期公開草案は、SP 800-50 Revision 1として発行され、2022年初頭にリリースされる予定です。

 

■ 関連文書

・SP 800-50 Building an Information Technology Security Awareness and Training Program

・SP 800-16 Information Technology Security Training Requirements: a Role- and Performance-Based Model