NIST SP 800-53A Rev. 5 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価
こんにちは、丸山満彦です。
NISTがNIST SP 800-53A Rev. 5 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価を公開していますね。。。
ドラフト段階ではほぼ800ページあったのが733ページに減っています(^^)
実は、ここで評価されているコントロールの評価手法は監査学者も是非読んでほしいですね。。。(日本の監査研究者は、財務諸表監査の研究者ばかりですよね。。。)
● NIST - ITL
・2022.01.25 SP 800-53A Rev. 5 Assessing Security and Privacy Controls in Information Systems and Organizations
・[PDF] SP 800-53A Rev. 5
Executive Summary | エグゼクティブサマリー |
Security and privacy control assessments are not about checklists, simple pass/fail results, or generating paperwork to pass inspections or audits. Rather, control assessments are the principal vehicle used to verify that selected security and privacy controls are implemented and meeting stated goals and objectives. Special Publication (SP) 800-53A, Assessing Security and Privacy Controls in Information Systems and Organizations, facilitates security control assessments and privacy control assessments conducted within an effective risk management framework. A major design objective for SP 800-53A is to provide an assessment framework and initial starting point for assessment procedures that are flexible enough to meet the needs of different organizations while providing consistency in conducting control assessments. Control assessment results provide organizational officials with: | セキュリティとプライバシーのコントロール評価は、チェックリストや単純な合格/不合格の結果、あるいは検査や監査に合格するための書類作成ではありません。コントロー評価は、むしろ選択されたセキュリティとプライバシーのコントロールが実施され、定められた目標と目的を達成していることを検証するための主要な手段です。Special Publication (SP) 800-53A, Assessing Security and Privacy Controls in Information Systems and Organizations(情報システムと組織におけるセキュリティとプライバシーのコントロールの評価)は、効果的なリスク管理の枠組みの中で行われるセキュリティコントロールの評価とプライバシーコントロールの評価を促進します。SP 800-53A の主な設計目的は、コントロール評価の実施に一貫性を持たせながら、異なる組織のニーズを満たすのに十分な柔軟性を持った評価フレームワークと評価手順の最初の出発点を提供することです。コントロール評価の結果は、組織の担当者に次のものを提供します。 |
• Evidence of the effectiveness of implemented controls, | ・実装されたコントロールの有効性の証拠 |
• An indication of the quality of the risk management processes, and | ・リスクマネジメントプロセスの質の指標、および |
• Information about the security and privacy strengths and weaknesses of systems that are supporting organizational missions and business functions. | ・組織のミッションとビジネス機能をサポートするシステムのセキュリティとプライバシーに関する強みと弱みに関する情報。 |
The findings identified by assessors are used to determine the overall effectiveness of security and privacy controls associated with systems and their environments of operation and to provide credible and meaningful inputs to the organization’s risk management process. A wellexecuted assessment helps determine the validity of the controls contained in the organization’s security and privacy plans and subsequently employed in organizational systems and environments of operation. Control assessments facilitate a cost-effective approach to managing risk by identifying weaknesses or deficiencies in systems, thus enabling the organization to determine appropriate risk responses in a disciplined manner that is consistent with organizational mission and business needs. | 評価者が発見した事項は、システムおよびその運用環境に関連するセキュリティおよびプライバシーのコントロールの全体的な有効性を判断し、組織のリスク管理プロセスに信頼性のある有意義な情報を提供するために使用されます。適切に実施された評価は、組織のセキュリティ及びプライバシーに関する計画に含まれ、その後、組織のシステム及び運用環境に採用されたコントロールの有効性を判断するのに役立ちます。コントロール評価は、システムの弱点や欠陥を特定することで、リスクを管理するための費用対効果の高いアプローチを促進し、組織が組織のミッションとビジネスニーズに合致した適切なリスク対応を決定することを可能にします。 |
SP 800-53A is a companion guideline to [SP 800-53] Security and Privacy Controls for Systems and Organizations. Each publication provides guidance for implementing specific steps in the Risk Management Framework (RMF).1 SP 800-53 and [SP 800-53B] address the Select step of the RMF and provide guidance on security and privacy control selection (i.e., determining the controls needed to manage risks to organizational operations and assets, individuals, other organizations, and the Nation). SP 800-53A addresses the Assess and Monitor steps of the RMF and provides guidance on the security and privacy control assessment processes. SP 800-53A also includes guidance on how to build effective assessment plans and how to analyze and manage assessment results. | SP 800-53A は、[SP 800-53] Security and Privacy Controls for Systems and Organizations に付随するガイドラインです。SP 800-53 と [SP 800-53B] は RMF の選択ステップを扱い、セキュリティとプライバシ ーのコントロールの選択(組織の運営と資産、個人、他の組織、国家に対するリスクを管理するために 必要なコントロールを決定すること)に関するガイダンスを提供しています。SP 800-53A は、RMF の評価と監視のステップを扱い、セキュリティとプライバシー管理の評価プロセスに関するガイダンスを提供しています。SP 800-53A には、効果的な評価計画を構築する方法と、評価結果を分析し管理する方法についてのガイダンスも含まれています。 |
SP 800-53A provides a process that allows organizations to tailor the assessment procedures outlined in the guidance. Tailoring involves customizing the assessment procedures to match the characteristics of the system and its environment of operation more closely. The tailoring process described in this guidance gives organizations the flexibility needed to avoid assessment approaches that are unnecessarily complex or costly while simultaneously meeting the assessment requirements and risk management principles established in the RMF. Tailoring decisions are left to the discretion of the organization to maximize flexibility in developing assessment plans – applying the results of risk assessments to determine the extent, rigor, and level of intensity of the assessments needed to provide sufficient assurance about the security and privacy posture of the system. | SP 800-53A は、ガイダンスに記載されている評価手順を組織がカスタマイズするためのプロセスを提供しています。調整とは、システムの特性とその運用環境に合わせて評価手順をカスタマイズすることです。本ガイダンスに記載されている調整プロセスは、不必要に複雑でコストのかかる評価手法を避け、同時にRMFで確立された評価要件とリスク管理原則を満たすために必要な柔軟性を組織に与えるものである。調整の決定は組織の裁量に委ねられており、評価計画の策定における柔軟性を最大限に引き出すことができます。また、リスクアセスメントの結果を適用して、システムのセキュリティ及びプライバシーの態勢について十分な保証を提供するために必要なアセスメントの範囲、厳格さ、強度のレベルを決定します。 |
1 [SP 800-37], Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy, provides guidance on applying the RMF to systems and organizations. | 1 [SP 800-37]、情報システムと組織のためのリスク管理フレームワーク。では、システムや組織にRMFを適用する際のガイダンスが示されています。 |
目次...
CHAPTER ONE INTRODUCTION | 第1章 はじめに |
1.1 PURPOSE AND APPLICABILITY | 1.1 目的と適用性 |
1.2 TARGET AUDIENCE | 1.2 想定読者 |
1.3 RELATED PUBLICATIONS AND ASSESSMENT PROCESSES | 1.3 関連出版物および評価プロセス |
1.4 ORGANIZATION OF THIS PUBLICATION | 1.4 この出版物の構成 |
CHAPTER TWO THE FUNDAMENTALS | 第2章 基本事項 |
2.1 ASSESSMENTS WITHIN THE SYSTEM DEVELOPMENT LIFE CYCLE | 2.1 システム開発ライフサイクルにおけるアセスメント |
2.2 CONTROL STRUCTURE AND ORGANIZATION | 2.2 コントロールの構造と組織 |
2.3 BUILDING AN EFFECTIVE ASSURANCE CASE | 2.3 効果的な保証事例の構築 |
2.4 ASSESSMENT PROCEDURES: ASSESSMENT OBJECTS, METHODS AND OBJECTIVES | 2.4 評価手順。評価の対象、方法及び目的 |
CHAPTER THREE THE PROCESS | 第3章 プロセス |
3.1 PREPARE FOR SECURITY AND PRIVACY CONTROL ASSESSMENTS | 3.1 セキュリティ及びプライバシーに関する統制評価の準備 |
3.2 DEVELOP SECURITY AND PRIVACY ASSESSMENT PLANS | 3.2 セキュリティ及びプライバシーに関する評価計画の策定 |
3.3 CONDUCT SECURITY AND PRIVACY CONTROL ASSESSMENTS | 3.3 セキュリティ及びプライバシーに関する統制評価の実施 |
3.4 ANALYZE ASSESSMENT REPORT RESULTS | 3.4 評価報告書の結果の分析 |
3.5 ASSESS SECURITY AND PRIVACY CAPABILITIES | 3.5 セキュリティ及びプライバシーに関する能力の評価 |
CHAPTER FOUR SECURITY AND PRIVACY ASSESSMENT PROCEDURES | 第4章 セキュリティ及びプライバシーの評価手順 |
4.1 ACCESS CONTROL | 4.1 アクセス制御 |
4.2 AWARENESS AND TRAINING | 4.2 認識とトレーニング |
4.3 AUDIT AND ACCOUNTABILITY | 4.3 監査及び説明責任 |
4.4 ASSESSMENT, AUTHORIZATION, AND MONITORING | 4.4 評価、承認、及び監視 |
4.5 CONFIGURATION MANAGEMENT | 4.5 構成管理 |
4.6 CONTINGENCY PLANNING | 4.6 緊急時の計画 |
4.7 IDENTIFICATION AND AUTHENTICATION | 4.7 識別および認証 |
4.8 INCIDENT RESPONSE | 4.8 インシデント対応 |
4.9 MAINTENANCE | 4.9 メンテナンス |
4.10 MEDIA PROTECTION | 4.10 メディアの保護 |
4.11 PHYSICAL AND ENVIRONMENTAL PROTECTION | 4.11 物理的および環境的な保護 |
4.12 PLANNING | 4.12 プランニング |
4.13 PROGRAM MANAGEMENT | 4.13 プログラム管理 |
4.14 PERSONNEL SECURITY | 4.14 職員のセキュリティ |
4.15 PERSONALLY IDENTIFIABLE INFORMATION PROCESSING AND TRANSPARENCY | 4.15 個人を特定できる情報の処理と透明性 |
4.16 RISK ASSESSMENT | 4.16 リスク評価 |
4.17 SYSTEM AND SERVICES ACQUISITION | 4.17 システムおよびサービスの取得 |
4.18 SYSTEM AND COMMUNICATIONS PROTECTION | 4.18 システムおよび通信の保護 |
4.19 SYSTEM AND INFORMATION INTEGRITY | 4.19 システムおよび情報の完全性 |
4.20 SUPPLY CHAIN RISK MANAGEMENT | 4.20 サプライチェーン・リスクマネジメント |
REFERENCES | 参考文献 |
APPENDIX A GLOSSARY | 附属書A 用語集 |
APPENDIX B ACRONYMS | 附属書B 頭字語 |
APPENDIX C ASSESSMENT METHOD DESCRIPTIONS | 附属書C 評価方法の説明 |
APPENDIX D PENETRATION TESTING | 附属書D ペネトレーションテスト |
APPENDIX E ASSESSMENT REPORTS | 附属書E 評価レポート |
APPENDIX F ONGOING ASSESSMENT AND AUTOMATION | 附属書F 継続的な評価と自動化 |
● まるちゃんの情報セキュリティ気まぐれ日記
ドラフト時
・2021.08.06 NIST SP 800-53A Rev. 5 (Draft) 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価
SP800-53A, 171A, 172A関連
・2021.07.19 IPA NIST文書SP800-53 rev.5「組織と情報システムのためのセキュリティおよびプライバシー管理策」及びSP800-53B「組織と情報システムのための管理策ベースライン」の翻訳版を公開
・2021.04.28 NIST SP 800-172A 管理対象非機密情報 (CUI) に対する強化版セキュリティ要件の評価
・2021.02.04 サイバーセキュリティとプライバシーに関する 2021年のNISTの取り組み
10年以上前
・2010.05.10 NIST SP800-53関係の情報
・2009.12.25 OMB Requesting Comments on Metrics for Annual FISMA Reporting by Federal Agencies
・2006.08.02 NIST SP800-53Aの評価手順書作成の考え方
・2005.07.20 NIST SP800-53A & FIPS 200 Draft
・2005.06.18 NIST SP-800
Comments