NISTIR 8286D (ドラフト) リスクの優先順位付けと対応を行うためのビジネス影響分析の使用 (2022.06.09)
こんにちは、丸山満彦です。
サイバーセキュリティとERMとの連携である、NISTIR 8286シリーズが充実してきていますね。。。
サイバーセキュリティ対策を考える場合に、よくリスク分析によって、、、と言われますが、その方法論(COSO ERMを敷衍しているような部分もありますが)についての文書がNISTIR 8286シリーズという感じですかね。。。
8286Dは、リスクの優先順位付けと対応にビジネス影響分析を利用する方法についての文書のようですね。。。ビジネス影響分析が可用性に特に利用されていたという前提がありますね。。。もちろん、可用性にとっての重要な要因はビジネス影響(発生可能性はあまり考慮しない・・・)なので、それはわからないわけではないのですが、必ずしもそうでもないと思います。。。
● NIST -ITL
・2022.06.09 NISTIR 8286D (Draft) Using Business Impact Analysis to Inform Risk Prioritization and Response
NISTIR 8286D (Draft) Using Business Impact Analysis to Inform Risk Prioritization and Response | NISTIR 8286D (ドラフト) リスクの優先順位付けと対応を行うためのビジネス影響分析の使用 |
Announcement | 発表内容 |
Traditional business impact analyses (BIAs) have been successfully used for business continuity and disaster recovery (BC/DR) by triaging damaged infrastructure recovery actions that are primarily based on the duration and cost of system outages (i.e., availability compromise). However, BIA analyses can be easily expanded to consider other cyber-risk compromises and remedies. | 従来のビジネス影響分析(BIA)は、主にシステム停止の期間とコスト(すなわち可用性の低下)に基づいて、損傷したインフラの復旧アクションをトリアージすることにより、事業継続と災害復旧(BC/DR)にうまく利用されてきました。しかし、BIA分析は、他のサイバーリスクの侵害と救済を考慮するように簡単に拡張することができます。 |
This initial public draft of NIST IR 8286D provides comprehensive asset confidentiality and integrity impact analyses to accurately identify and manage asset risk propagation from system to organization and from organization to enterprise, which in turn better informs Enterprise Risk Management deliberations. This document adds expanded BIA protocols to inform risk prioritization and response by quantifying the organizational impact and enterprise consequences of compromised IT Assets. | NIST IR 8286Dの最初の公開草案は、資産の機密性と完全性の影響に関する包括的な分析を提供し、システムから組織、組織から企業への資産リスクの伝播を正確に特定、管理し、企業リスク管理の審議により良い情報を提供するものである。本文書では、BIAプロトコルを拡張し、IT資産の侵害による組織への影響と企業への影響を定量化することで、リスクの優先順位付けと対応策を通知します。 |
Abstract | 概要 |
While business impact analysis (BIA) has historically been used to determine availability requirements for business continuity, the process can be extended to provide broad understanding of the potential impacts to the enterprise mission from any type of loss. The management of enterprise risk requires a comprehensive understanding of the mission-essential functions (i.e., what must go right) and the potential risk scenarios that jeopardize those functions (i.e., what might go wrong). | ビジネス影響分析(BIA)は、歴史的に事業継続のための可用性要件を決定するために使用されてきましたが、このプロセスは、あらゆる種類の損失が企業のミッションに与える潜在的な影響を幅広く理解するために拡張することが可能です。企業リスクの管理には、ミッションに不可欠な機能(すなわち、何がうまくいかなければならないか)と、それらの機能を危険にさらす潜在的なリスクシナリオ(すなわち、何がうまくいかない可能性があるか)を包括的に理解することが必要です。 |
The process described in this publication helps leaders determine which assets enable the achievement of mission objectives and to evaluate the factors that render assets as critical and sensitive. Based on those factors, enterprise leaders provide risk directives (i.e., risk appetite and tolerance) as input to the BIA. System owners then apply the BIA to developing asset categorization, impact values, and requirements for the protection of critical or sensitive assets. The output of the BIA is the foundation for ERM/CSRM process, as described in the NISTIR 8286 series, and enables consistent prioritization, response, and communication regarding information security risk. | 本文書で説明するプロセスは、リーダーが、どの資産がミッション目標の達成を可能にするかを判断し、資産を重要かつ機密であると判断する要因を評価するのに役立地ます。これらの要因に基づき、企業のリーダーはリスク指令(すなわち、リスク選好度と許容度)をBIAへの入力として提供します。次にシステム所有者は、BIAを適用して、資産の分類、影響度、および重要資産や機密資産の保護要件を作成します。BIAの出力は、NISTIR8286シリーズに記載されているように、ERM/CSRMプロセスの基礎となり、情報セキュリティリスクに関する一貫した優先順位付け、対応、およびコミュニケーションを可能にします。 |
・[PDF] NISTIR 8286D (Draft)
エグゼクティブサマリー・・・
Executive Summary | エグゼクティブサマリー |
Risk is measured in terms of impact on enterprise mission, so it is vital to understand the various information and technology (IT) assets whose functions enable that mission. Each asset has a value to the enterprise. For government enterprises, many of those IT assets are key components for supporting critical services provided to citizens. For corporations, IT assets have a direct influence on enterprise capital and valuation, and IT risks can have a direct impact on the balance sheet or budget. For each type of enterprise, it is both vital and challenging to determine the conditions that will truly impact a mission. Today’s government agencies continue to provide critical services, yet they must also adhere to priority directives from senior leaders. In the commercial world, mission priority is often driven by long-term goals as well as factors that might impact the next quarter’s earnings call. Therefore, it is highly important to continually analyze and understand the enterprise resources that enable enterprise objectives and that can be jeopardized by cybersecurity risks. | リスクは、企業のミッションに与える影響という観点から測定されるため、そのミッションを実現する機能を持つさまざまな情報および技術(IT)資産を理解することが不可欠です。各資産は、企業にとって価値があります。政府系企業の場合、IT資産の多くは市民に提供される重要なサービスを支える重要なコンポーネントである。企業の場合、IT資産は企業の資本や評価に直接影響を与え、ITリスクは貸借対照表や予算に直接影響を与える可能性がある。それぞれの企業にとって、ミッションに真に影響を与える状況を見極めることは、重要であると同時に難しいことでもあります。今日の政府機関は、重要なサービスを提供し続ける一方で、上級指導者からの優先的な指示を遵守しなければなりません。商業の世界では、ミッションの優先順位は、長期的な目標や次の四半期の収支に影響を与えるような要因によって左右されることがよくあります。したがって、企業の目標を実現し、サイバーセキュリティのリスクによって危険にさらされる可能性のある企業リソースを継続的に分析し、理解することが非常に重要です。 |
The NIST Interagency or Internal Report (NISTIR) 8286 series has coalesced around the risk register as a construct for storing and a process for communicating risk data [NISTIR8286]. Another critical artifact of risk management that serves as both a construct and a means of communication with the risk register is the Business Impact Analysis (BIA) Register. The BIA examines the potential impact associated with the loss or degradation of an enterprise’s technology-related assets based on a qualitative or quantitative assessment of the criticality and sensitivity of those assets and stores the results in the BIA Register. An asset criticality or resource dependency assessment identifies and prioritizes the information assets that support the enterprise’s critical missions. Similarly, assessments of asset sensitivity identify and prioritize information assets that store, process, or transmit information that must not be modified or disclosed to unauthorized parties. In the cybersecurity realm, the use of the BIA has historically been limited to calculations of quality-based and time-based objectives for incident handling (including continuity of operations and disaster recovery). | NIST Interagency or Internal Report (NISTIR) 8286 シリーズは、リスクデータを保存し、伝達するためのプロセスとして、リスクレジスタを中心にまとまりました [NISTIR8286]。リスク登録の構成とコミュニケーション手段の両方として機能するリスクマネジメントのもう一つの重要な成果物は、事業影響分析(BIA)登録です。 BIAは、企業の技術関連資産の損失または劣化に関連する潜在的な影響を、それらの資産の重要性と感受性の定性的または定量的評価に基づいて調査し、その結果をBIA登録に保存するものである。資産の重要性またはリソース依存の評価では、企業の重要なミッションを支える情報資産を特定し、優先順位をつける。同様に、資産の機密性の評価では、不正な者に変更または開示されてはならない情報を保存、処理、または伝送する情報資産を特定し、優先順位を付けます。サイバーセキュリティの分野では、BIAの使用は歴史的に、インシデント処理(業務継続や災害復旧を含む)のための品質ベースおよび時間ベースの目標の計算に限られています。 |
Because the BIA serves as a nexus for understanding risk (which is the measurement of uncertainty on the mission), it provides a basis for risk appetite and tolerance values as part of the enterprise risk strategy[1]. That guidance supports performance and risk metrics based on the relative value of enterprise assets to communicate and monitor CSRM activities, including measures determined to be key performance indicators (KPIs) and key risk indicators (KRIs). BIA supports asset classification that drives requirements, risk communications, and monitoring. | BIAはリスク(ミッションに関する不確実性の測定)を理解するための結節点として機能するため、企業リスク戦略の一環としてリスク選好度と許容値の根拠となります[1]。 そのガイダンスは、CSRM活動の伝達と監視のために、企業資産の相対的価値に基づくパフォーマンスとリスクの指標をサポートし、重要業績評価指標(KPI)や重要リスク指標(KRI)と判断される指標も含まれます。BIAは、要件、リスクコミュニケーション、およびモニタリングを推進するための資産分類をサポートします。 |
Expanding use of the BIA to include confidentiality and integrity considerations supports comprehensive risk analysis. The basis of asset valuation on enterprise impact helps to better align risk decisions to enterprise risk strategy. CSRM/ERM integration helps to complete the risk cycle by informing future iterations of impact analysis based on previous information gained through cybersecurity risk register (CSRR) aggregation, as detailed in NISTIR 8286C. As organizational and enterprise leaders gain an understanding of aggregate risk exposure and composite impact, that information helps adjust risk expectations (including business impact guidance to ensure ongoing balance among asset value, resource optimization, and risk considerations). | BIAの利用を拡大し、機密性と完全性への配慮を含めることで、包括的なリスク分析が可能になる。企業への影響に基づく資産評価により、リスクに関する意思決定と企業のリスク戦略との整合性を高めることができます。CSRM/ERMの統合は、NISTIR8286Cに詳述されているように、サイバーセキュリティリスク登録(CSRR)集計を通じて得られた過去の情報に基づいて影響度分析の将来の反復に情報を提供することによって、リスクサイクルを完成させるのに役立ちます。組織と企業のリーダーは、集約されたリスクエクスポージャーと複合的な影響について理解することで、その情報はリスク予想を調整するのに役立ちます(資産価値、リソース最適化、リスク考慮の間で継続的にバランスを保つためのビジネス影響ガイダンスを含む)。 |
The BIA process enables system owners to record the benefits provided by an asset by considering the contribution to the enterprise, particularly in terms of mission, finance, and reputational aspects. Informed about how each asset supports enterprise value, system owners can then work with risk managers to determine the implications of uncertainty on those assets. | BIAプロセスにより、システム所有者は、特にミッション、財務、評判の側面から企業への貢献を考慮し、資産によってもたらされる利益を記録することができます。各資産がどのように企業価値を支えているかを把握した上で、システムオーナーはリスクマネージャーと協力し、不確実性がこれらの資産に及ぼす影響を判断することができるのです。 |
It is more critical than ever to have centralized and reliable asset information recorded in the BIA Register since enterprises increasingly rely on various types of information and communications technology (ICT) resources, which are increasingly targeted by adversaries. The BIA process provides information that can be consistently recorded in a centralized registry of important asset management information, such as system ownership, contact information for key stakeholders, and characteristics of the physical devices (or services). Since asset management is an important element of cybersecurity risk management, this information is quite valuable for protecting the asset, detecting cyber events, responding quickly to potential issues, and recovering services when necessary. | 企業はますます様々なタイプの情報通信技術(ICT)リソースに依存するようになっており、敵対勢力に狙われる可能性が高まっているため、BIA登録に記録される一元的で信頼できる資産情報がこれまで以上に重要となっています。BIAプロセスは、システムの所有権、主要な関係者の連絡先、物理的な装置(またはサービス)の特性など、重要な資産管理情報を一元的に登録し、一貫して記録できる情報を提供するものです。資産管理はサイバーセキュリティのリスク管理の重要な要素であるため、この情報は資産の保護、サイバーイベントの検出、潜在的な問題への迅速な対応、必要時のサービスの回復にとって非常に貴重なものです。 |
Public- and private-sector enterprises must maintain a continual understanding of potential business impacts, the risk conditions that might lead to those impacts, and the steps being taken (as recorded in various risk registers and, ultimately, in the Enterprise Risk Profile). In many cases, when a company or agency is asked about risks, they are being asked to describe potential impacts. Companies must describe the risk factors that could have a material adverse effect on the enterprise’s financial position, its ability to operate, or its corporate cash flow. Agencies must report to legislative and regulatory stakeholders about adverse impacts that could impair agency funding and mission. Use of the BIA methodology to categorize the criticality and sensitivity of enterprise assets enables effective risk management and the subsequent integration of reporting and monitoring at the enterprise level to ensure that risk and resource utilization are optimized in light of the value of those assets. | 公共部門および民間部門の組織体は、潜在的なビジネスへの影響、その影響をもたらす可能性のあるリスク状況、および講じている措置(各種リスク登録、最終的にはエンタープライズ・リスク・プロファイルに記録されている)を継続的に理解しておく必要があります。多くの場合、企業や機関がリスクについて問われるとき、それは潜在的な影響について説明するよう求められています。企業は、企業の財政状態、経営能力、または企業のキャッシュフローに重大な悪影響を及ぼす可能性のあるリスク要因を記述しなければなりません。省庁は、省庁の資金や使命を損なう可能性のある悪影響について、立法・規制関係者に報告しなければなりません。BIAの手法を使用して組織体の資産の重要度と機密性を分類することにより、効果的なリスク管理が可能になり、その後の組織体レベルでの報告とモニタリングの統合により、リスクとリソースの利用がこれらの資産の価値に照らして最適化されることを保証します。 |
[1] OMB Circular A-123 defines risk appetite as “the broad-based amount of risk an organization is willing to accept in pursuit of its mission/vision. It is established by the organization’s most senior level leadership and serves as the guidepost to set strategy and select objectives.” The same document defines risk tolerance as “the acceptable level of variance in performance relative to the achievement of objectives.” |
[1] OMB Circular A-123では、リスク選好度を「組織がその使命/ビジョンを追求するために受け入れようとする広範なリスク量。組織の最上位レベルのリーダーシップによって確立され、戦略を設定し、目標を選択するための道標として機能する」と定義しています。同文書では、リスク許容度を 「目標達成に対する業績の分散の許容度」と定義しています。 |
目次...
Executive Summary | エグゼクティブサマリー |
1 Introduction | 1 はじめに |
1.1 Benefits of Extending the BIA for All Risk Types | 1.1 すべてのリスクタイプにBIAを拡張するメリット |
1.2 Foundational Practices for Business Impact Analysis | 1.2 ビジネス影響解析の基礎的な実施事項 |
1.3 Document Structure | 1.3 ドキュメント構造 |
2 Cataloging and Categorizing Assets Based on Enterprise Value | 2 組織体の価値に基づく資産のカタログ化および分類 |
2.1 Identification of Enterprise Business Asset Types | 2.1 エンタープライズビジネスアセットタイプの特定 |
2.2 The Business Impact Analysis Process | 2.2 ビジネス影響分析プロセス |
2.3 Determining Asset Value to Support CSRM Activities | 2.3 CSRM活動を支援するための資産価値の決定 |
2.4 Determining Loss Scenarios and Their Consequences | 2.4 損失シナリオとその結果の決定 |
2.5 Business Impact Analysis in Terms of Criticality and Sensitivity | 2.5 重要度と感受性の観点からのビジネス影響分析 |
2.6 Using a BIA to Record Interdependencies | 2.6 相互依存性を記録するためのBIAの使用 |
2.7 Consistent Business Impact Analysis Through an Enterprise Approach | 2.7 エンタープライズ・アプローチによる一貫したビジネス影響分析 |
2.8 Using a BIA to Support an Enterprise Registry of System Assets | 2.8 システム資産のエンタープライズ登録をサポートするためのBIAの使用 |
3 Conclusion | 3 まとめ |
References | 参考文献 |
List of Appendices | 附属書一覧 |
Appendix A— Acronyms | 附属書A - 頭字語 |
List of Figures | 図表一覧 |
Figure 1: Integration of BIA Process with Cybersecurity Risk Management | 図1:BIAプロセスとサイバーセキュリティリスクマネジメントの統合 |
Figure 2: Level 3 BIA Activities | 図2:レベル3のBIA活動 |
Figure 3: Impacts of Enterprise Assets for a Business or Agency | 図3:企業資産の企業や機関への影響 |
Figure 4: Elements of Information Risk Identification (from NISTIR 8286A) | 図4:情報リスク識別の要素(NISTIR8286Aより) |
図1:BIAプロセスとサイバーセキュリティリスクマネジメントの統合
NISTIR 8286 関連
Date | St. | Web | ||
2020.10.13 | Final | NISTIR 8286 | Integrating Cybersecurity and Enterprise Risk Management (ERM) | サイバーセキュリティとエンタープライズ・リスク・マネジメント (ERM) の統合 |
2021.11.12 | Final | NISTIR 8286A | Identifying and Estimating Cybersecurity Risk for Enterprise Risk Management | エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定 |
2022.02.10 | Final | NISTIR 8286B | Prioritizing Cybersecurity Risk for Enterprise Risk Management | エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け |
2022.01 26 | draft | NISTIR 8286C | Staging Cybersecurity Risks for Enterprise Risk Management and Governance Oversight | エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング |
2022.06.09 | draft | NISTIR 8286D | Using Business Impact Analysis to Inform Risk Prioritization and Response | リスクの優先順位付けと対応を行うためのビジネス影響分析の使用 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2022.06.14 NISTIR 8286D (ドラフト) リスクの優先順位付けと対応にビジネスインパクト分析を使用する方法 (2022.06.09)
・2022.02.13 NISTIR 8286B エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け
・2022.01.28 NISTIR 8286C (ドラフト)エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング
・2021.11.15 NISTIR 8286A エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定
・2021.09.03 NISTIR 8286B(ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け
・2021.07.08 NISTIR 8286A (ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定(第2ドラフト)
・2020.10.22 NISTIR 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM)
・2020.07.12 NISTIR 8286 (Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM) (2nd Draft)
・2020.03.20 NISTIR 8286(Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM)
関連する情報
・2021.08.19 NISTIR 8170 連邦政府機関がサイバーセキュリティフレームワークを使用するためのアプローチ
・2021.08.10 NIST SP 1271 NISTサイバーセキュリティフレームワーク入門:クイックスタートガイド
・2021.02.04 サイバーセキュリティとプライバシーに関する 2021年のNISTの取り組み
COSO 関連
・2022.01.18 ENISA 相互運用可能なEUのリスク管理フレームワーク
・2020.06.23 GAO GreenbookとOMB Circular No. A-123
少し(^^)遡ります。。。
・2011.12.22 COSO Exposure Draft: International Control Integrated Framework
・2009.01.27 COSO Guidance on Monitoring Internal Control Systems
・2008.06.12 COSO ED Guidance on Monitoring Internal Control Systems
・2007.09.15 COSO Guidance on Monitoring Internal Control Systems
・2007.06.26 英国規格 パブコメ リスクマネジメントのための実践規範 (BS 31100, Code of practice for risk management)
次の3つは歴史を知る上でも重要↓
・2006.08.28 SAS No.55の内部統制の要素
・2006.07.31 内部統制の構成要素比較 日本語
・2006.07.30 内部統制の構成要素比較
・2006.07.08 Internal Control over Financial Reporting — Guidance for Small Public Companies
この4つは歴史的にも重要かもですね。。。↓
・2006.05.10 CoCoにおける取締役会の統制上の責任
・2006.04.26 カナダCoCo内部統制ガイダンスにあって米国COSO内部統制報告書に明確にはないもの 「相互の信頼」
・2006.04.24 米国 30年前のIT全般統制の項目
・2006.04.03 米国では、全般統制と業務処理統制は30年以上前から言われている
・2005.01.30 NHK COSOを導入
・
Comments