NISTIR 8286A エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定
こんにちは、丸山満彦です。
NISTがR8286A エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定を確定していますね。。。
● NIST
・2021.11.12 NISTIR 8286A Identifying and Estimating Cybersecurity Risk for Enterprise Risk Management
Identifying and Estimating Cybersecurity Risk for Enterprise Risk Management | 企業リスク管理のためのサイバーセキュリティ・リスクの特定と推定 |
Abstract | 概要 |
This document supplements NIST Interagency or Internal Report 8286, Integrating Cybersecurity and Enterprise Risk Management (ERM), by providing additional detail regarding risk guidance, identification, and analysis. This report offers examples and information to illustrate risk tolerance, risk appetite, and methods for determining risks in that context. To support the development of an Enterprise Risk Register, this report describes documentation of various scenarios based on the potential impact of threats and vulnerabilities on enterprise assets. Documenting the likelihood and impact of various threat events through cybersecurity risk registers integrated into an enterprise risk profile helps to later prioritize and communicate enterprise cybersecurity risk response and monitoring. | 本資料は、NIST Interagency or Internal Report 8286「Integrating Cybersecurity and Enterprise Risk Management (ERM)」を補足するものであり、リスクのガイダンス、識別、分析についての詳細を記載しています。本レポートでは、リスク許容度、リスクアペタイト、およびその文脈におけるリスクの決定方法を説明するための例や情報を提供している。企業リスク登録簿の作成を支援するために、本報告書では、脅威や脆弱性が企業資産に与える潜在的な影響に基づく様々なシナリオの文書化について説明しています。企業リスクプロファイルに統合されたサイバーセキュリティリスクレジスターを通じて、様々な脅威事象の可能性と影響を文書化することは、後に企業のサイバーセキュリティリスク対応とモニタリングの優先順位付けと伝達に役立ちます。 |
・[PDF]
Executive Summary | エグゼクティブ・サマリー |
1 Introduction | 1 はじめに |
1.1 Supporting CSRM as an Integrated Component of ERM | 1.1 ERM の統合コンポーネントとしての CSRM の支援 |
1.2 Purpose and Scope | 1.2 目的と範囲 |
1.3 Document Structure | 1.3 文書構造 |
2 Cybersecurity Risk Considerations Throughout the ERM Process | 2 ERMプロセスを通じたサイバーセキュリティリスクへの配慮 |
2.1 Risk Scope, Context, and Criteria | 2.1 リスクの範囲、文脈、および基準 |
2.1.1 Risk Appetite and Risk Tolerance | 2.1.1 リスクアペタイトとリスク許容度 |
2.1.2 Enterprise Strategy for Cybersecurity Risk Coordination | 2.1.2 サイバーセキュリティリスクを調整するための企業戦略 |
2.1.3 Detailed Risk Integration Strategy | 2.1.3 詳細なリスク統合戦略 |
2.1.4 Enterprise Strategy for Cybersecurity Risk Reporting | 2.1.4 サイバーセキュリティリスクの報告のための企業戦略 |
2.2 Risk Identification | 2.2 リスクの特定 |
2.2.1 Inventory and Valuation of Assets | 2.2.1 資産の棚卸しと評価 |
2.2.2 Determination of Potential Threats | 2.2.2 潜在的脅威の決定 |
2.2.3 Vulnerability Identification | 2.2.3 脆弱性の特定 |
2.2.4 Determining Potential Impact | 2.2.4 潜在的な影響の判断 |
2.2.5 Recording Identified Risks | 2.2.5 特定したリスクの記録 |
2.2.6 Risk Categorization | 2.2.6 リスクのカテゴライズ |
2.3 Detailed Risk Analysis | 2.3 詳細なリスク分析 |
2.3.1 Selecting Risk Analysis Methodologies | 2.3.1 リスク分析手法の選択 |
2.3.2 Techniques for Estimating Likelihood and Impact | 2.3.2 可能性と影響を見積もるための手法 |
2.4 Determination and Documentation of Risk Exposure | 2.4 リスクエクスポージャーの決定と文書化 |
3 Conclusion | 3 まとめ |
References | 参考文献 |
List of Appendices | 附属書のリスト |
Appendix A— Acronyms | 附属書A- 頭字語 |
Appendix B— Notional Example of a Risk Detail Record (RDR) | 附属書B- リスク詳細記録(RDR)の概念的な例 |
List of Figures | 図のリスト |
Figure 1: NISTIR 8286 Series Publications Describe Detailed CSRM/ERM Integration | 図1:NISTIR 8286シリーズの出版物には、CSRM/ERM統合の詳細が記載されている .iv |
Figure 2: NISTIR 8286A Activities as Part of CSRM/ERM Integration | 図2:CSRM/ERM統合の一環としてのNISTIR 8286Aの活動。1 |
Figure 3: Integration of Various Risk Management Activities into the Enterprise Risk Register and Risk Profile | 図3:様々なリスクマネジメント活動の企業リスク登録とリスクプロファイルへの統合 |
Figure 4: Notional Cybersecurity Risk Register Template | 図4:想定されるサイバーセキュリティ・リスクレジスターのテンプレート |
Figure 5: Illustration of Enterprise Risk and Coordination | 図5:エンタープライズ・リスクとコーディネーションの図解 |
Figure 6: Continuous Interaction Between ERM and CSRM Using the Risk Register | 図6:リスクレジスターを用いたERMとCSRMの継続的な相互作用 |
Figure 7: CSRR Highlighting Risk Description Column | 図7:リスク記述欄を強調するCSRR |
Figure 8: Inputs to Risk Scenario Identification | 図8:リスクシナリオ特定のための入力事項 |
Figure 9: Threats as an Input to Risk Scenario Identification (Part B) | 図9:リスクシナリオ識別へのインプットとしての脅威(パートB |
Figure 10: Vulnerability Inputs to Risk Scenario Identification (Part C) | 図10:リスクシナリオ同定への入力(パートC)としての脆弱性 |
Figure 11: Adverse Impact Inclusion in Risk Scenario Identification (Part D) | 図11:リスクシナリオ同定への有害な影響の取り込み(パートD |
Figure 12: Example Risk Register with Sample Risk Descriptions | 図12:リスク記述のサンプルを含むリスク登録の例 |
Figure 13: CSRR Highlighting Risk Category and Current Assessment Columns | 図13:リスクカテゴリーと現在の評価欄を強調するCSRR |
Figure 14: Example Three-Point Estimate Graph (Triangle Distribution) | 図14: 三点推定グラフの例(三角分布) |
Figure 15: Example Three-Point Estimate Graph (Normal Distribution) | 図15:三点推定グラフの例(正規分布) |
Figure 16: Example Event Tree Analysis | 図16:イベントツリー分析の例 |
Figure 17: Illustration of a Histogram from a Monte Carlo Estimation Simulation | 図17:モンテカルロ推定シミュレーションによるヒストグラムの例 |
Figure 18: Example Quantitative Analysis Results | 図18:定量的分析結果の例 |
Figure 19: Example Qualitative Analysis Results | 図19:定性分析結果の例 |
Figure 20: Use of a Cybersecurity Risk Register Improves Risk Communications | 図20:サイバーセキュリティ・リスク・レジスターの使用によるリスクコミュニケーションの改善 |
Figure 21: Notional Risk Detail Record | 図21:想定されるリスク詳細記録 |
List of Tables | 表の一覧 |
Table 1: Examples of Risk Appetite and Risk Tolerance | 表1:リスクアペタイトとリスクトレランスの例 |
Table 2: Inputs and Outputs for ERM Governance and Integrated CSRM | 表2:ERMガバナンスと統合CSRMのインプットとアウトプット |
Table 3: Example Threat Modeling Analysis | 表3:脅威のモデル化分析の例 |
Table 4: Example Bias Issues to Avoid in Risk Management | 表4:リスクマネジメントで避けるべきバイアス問題の例 |
Table 5: Example SWOT Analysis | 表5:SWOT分析の例 |
Table 6: Cybersecurity Framework Current State Profiles Help Consider Threats | 表6:脅威の検討に役立つサイバーセキュリティフレームワークの現状のプロファイル |
Table 7: Example Sources of Threat Information | 表7:脅威の情報源の例 |
Table 8: Example Negative and Positive Impact Scenarios | 表8:ネガティブおよびポジティブな影響のシナリオの例 |
Table 9: Example Risk Tolerance Results Assessment | 表9:リスク許容範囲の結果評価の例 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2021.09.03 NISTIR 8286B(ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け
・2021.08.10 NIST SP 1271 NISTサイバーセキュリティフレームワーク入門:クイックスタートガイド
・2021.07.08 NISTIR 8286A (ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定(第2ドラフト)
・2021.02.04 サイバーセキュリティとプライバシーに関する 2021年のNISTの取り組み
・2020.10.22 NISTIR 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM)
・2020.07.12 NISTIR 8286 (Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM) (2nd Draft)
・2020.03.20 NISTIR 8286(Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM)
Comments