NIST SP 800-171 Rev. 3 (ドラフト) 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護の作成に向けた意見募集
こんにちは、丸山満彦です。
NISTがSP 800-171(第3版)への改訂に動いていますね。。。
● NIST - ITL
SP 800-171 Rev. 3 (Draft) Pre-Draft Call for Comments: Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations | SP 800-171 Rev. 3 (ドラフト) プレドラフト非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護 |
Announcement | 発表 |
NIST plans to update the Controlled Unclassified Information (CUI) series of publications, starting with Special Publication (SP) 800-171, Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations. To support this planned update, NIST is issuing this Pre-Draft Call for Comments to solicit feedback from interested parties to improve the publication and its supporting publications, SP 800-171A, SP 800-172, and SP 800-172A. | NISTは、Special Publication (SP) 800-171, 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護をはじめとする管理対象非機密情報 (CUI) シリーズの出版物を更新する予定である。 この更新計画を支援するため、NISTは、本書およびその付属出版物であるSP 800-171A、SP 800-172、およびSP 800-172Aを改善するために関係者からフィードバックを求める本プレドラフト意見募集を発行している。 |
SP 800-171 was published in June 2015 with minor updates in December 2016 and February 2020. Since the initial publication date, there have been significant changes in the cybersecurity threats, vulnerabilities, capabilities, technologies, and resources that impact the protection of CUI. In addition, there are the experiences of the organizations that have implemented SP 800-171 and its supporting publications. With these changes and opportunities to learn from implementers, NIST seeks feedback about the use, effectiveness, adequacy, and ongoing improvement of the CUI series. | SP 800-171は2015年6月に発行され、2016年12月と2020年2月にマイナーアップデートされた。最初の発行日以降、CUIの保護に影響を与えるサイバーセキュリティの脅威、脆弱性、能力、技術、リソースに大きな変化があった。さらに、SP 800-171とそのサポート出版物を実施した組織の経験もあります。これらの変化と実施者から学ぶ機会により、NISTはCUIシリーズの使用、有効性、妥当性、および継続的な改善に関するフィードバックを求めている。 |
The following is a non-exhaustive list of topics that may be addressed in the call for comments. Comments may also include other topics related to the improvement of the CUI series. NIST will consider all relevant topics in the development of the revised SP 800-171 and its supporting publications. | 以下は、コメント募集で取り上げられる可能性のあるトピックの非網羅的なリストである。コメントには、CUIシリーズの改善に関連する他のトピックも含めることができる。NISTは、改訂版SP 800-171及びそのサポート出版物の開発において、全ての関連するトピックを検討する予定である。 |
Use of the CUI Series | CUIシリーズの使用 |
1. How organizations are currently using the CUI series (SP 800-171, SP 800-171A, SP 800-172, and SP 800-172A) | 1. 組織が現在どのようにCUIシリーズ(SP 800-171、SP 800-171A、SP 800-172、およびSP 800-172A)を使用しているか。 |
2. How organizations are currently using the CUI series with other frameworks and standards (e.g., NIST Risk Management Framework, NIST Cybersecurity Framework, GSA Federal Risk and Authorization Management Program [FedRAMP], DOD Cybersecurity Maturity Model Certification [CMMC], etc.) | 2. 組織が現在、他のフレームワークや標準(NISTリスク管理フレームワーク、NISTサイバーセキュリティフレームワーク、GSA連邦リスク・権限管理プログラム[FedRAMP]、DODサイバーセキュリティ成熟度モデル認証[CMMC]など)とどのようにCUIシリーズを使用しているのか。 |
3. How to improve the alignment between the CUI series and other frameworks | 3. CUIシリーズと他のフレームワークとの整合性を向上させる方法 |
4. Benefits of using the CUI series | 4. CUIシリーズを使用する利点 |
5. Challenges in using the CUI series | 5. CUIシリーズを使用する際の課題 |
Updates for consistency with SP 800-53 Revision 5 and SP 800-53B | SP 800-53 Revision 5およびSP 800-53Bとの整合性のためのアップデート |
6. Impact on the usability and existing organizational implementation (i.e., backward compatibility) of the CUI series if it were updated for consistency with SP 800-53 Revision 5 and the moderate security control baseline in SP 800-53B | 6. SP 800-53 Revision 5及びSP 800-53Bの中程度のセキュリティ管理基準との整合性のために更新された場合、CUIシリーズのユーザビリティ及び既存の組織的実装(すなわち後方互換性)に与える影響。 |
Updates to improve usability and implementation | ユーザビリティと実装を改善するための更新 |
7. Features of the CUI series should be changed, added, or removed. Changes, additions, and removals can cover a broad range of topics, from consistency with other frameworks and standards to rescoping criteria for inclusion of requirements. For example: | 7. CUIシリーズの機能は、変更、追加、または削除されるべきである。変更、追加、削除は、他のフレームワークや標準との整合性から、要求事項を含めるための基準の再スコープまで、幅広いトピックに及ぶ可能性がある。例えば、以下のようなものである。 |
a. Addition of new resources to support implementation: The benefits and challenges of including an SP 800-53 Control Overlay [1] and/or a Cybersecurity Framework Profile Appendix as an alternative way to express the CUI security requirements. | a. 実装を支援するための新しいリソースの追加。CUIセキュリティ要求事項を表現する代替方法として、SP800-53コントロール・オーバーレイ[1]とサイバーセキュリティ・フレームワーク・プロファイル附属書を含めることの利点と課題。 |
b. Change to the security requirement tailoring criteria: Impact of modifying the criteria used to tailor [2] the moderate SP 800-53B security control baseline (e.g., the potential inclusion of controls that are currently categorized as NFO – Expected to be routinely satisfied by nonfederal organizations without specification) | b. セキュリティ要件の調整基準への変更。中程度のSP 800-53Bセキュリティ対策基準 [2] を調整するために使用される基準を変更することの影響(例えば、現在NFO(指定なしでも連邦政府以外の組織が日常的に満たすことが期待される事項)と分類されている対策を含める可能性など)。 |
8. Any additional ways in which NIST could improve the CUI series | 8. NISTがCUIシリーズを改善することができるその他の方法 |
[1] The term overlay is a specification of security or privacy controls, control enhancements, supplemental guidance, and other supporting information employed during the tailoring process that is intended to complement (and further refine) security control baselines. The overlay specification may be more stringent or less stringent than the original security control baseline specification and can be applied to multiple information systems. | [1] オーバーレイという用語は、セキュリティまたはプライバシー管理、管理の強化、補足ガイダンス、およびセキュリティ管理ベースラインを補完(およびさらに洗練)することを目的とした調整プロセスで使用されるその他の補助情報の仕様である。オーバーレイの仕様は、元のセキュリティ管理ベースラインの仕様よりも厳しい場合もあれば、緩い場合もあり、複数の情報システムに適用することができる。 |
[2] The term tailoring is the process by which control baselines are modified by (1) identifying and designating common controls, (2) applying scoping considerations on the applicability and implementation of SP 800-53B baseline controls, (3) selecting compensating controls, (4) assigning specific values to organization-defined control parameters, (5) supplementing baselines with additional controls or control enhancements, and (5) providing additional specification information for control implementation. | [2] テーラリングという用語は、コントロールベースラインが、(1)共通コントロールの識別と指定、(2)SP 800-53Bベースラインコントロールの適用性と実施に関するスコープ検討の適用、(3)補償コントロールの選択、(4)組織定義のコントロールパラメータへの特定の値の割り当て、(5)追加コントロールまたはコントロール強化によるベースラインの補完、(5)コントロール実施に関する追加の仕様情報の提供によって修正されるプロセスである。 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2022.03.18 NIST SP 800-172A 管理対象非機密情報に対する強化版セキュリティ要件の評価
・2022.01.27 NIST SP 800-53A Rev. 5 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価
・2021.11.07 米国 DoD サイバーセキュリティ成熟度モデル認証(CMMC)プログラムの戦略的方向性 - CMMC2.0
・2021.08.06 NIST SP 800-53A Rev. 5 (Draft) 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価
・2021.07.19 IPA NIST文書SP800-53 rev.5「組織と情報システムのためのセキュリティおよびプライバシー管理策」及びSP800-53B「組織と情報システムのための管理策ベースライン」の翻訳版を公開
・2021.04.28 NIST SP 800-172A 管理対象非機密情報 (CUI) に対する強化版セキュリティ要件の評価
・2020.10.30 NIST SP 800-53B Control Baselines for Information Systems and Organizations 情報システムと組織のコントロールベースライン
・2020.10.02 米国国防省がCMMCの暫定規則(DFARS Case 2019-D041)を公表し、意見募集を行っています
・2020.09.24 NIST SP 800-53 Rev. 5 Security and Privacy Controls for Information Systems and Organizations
・2020.08.01 NIST SP 800-53B (Draft) Control Baselines for Information Systems and Organizations
・2020.03.31 CMMC概要 An Introduction to the Cybersecurity Maturity Model Certification (CMMC)
・2020.03.09 Cybersecurity Maturity Model Certification (CMMC) Version 1.0
少し前...
・2012.03.01 NIST Draft SP 800-53 Rev. 4 Security and Privacy Controls for Federal Information Systems and Organizations
・2011.07.22 NIST Draft SP 800-53 Appendix J DRAFT Privacy Control Catalog
・2010.05.10 NIST SP800-53関係の情報
« W3C Decentralized Identifiers (DIDs) v1.0がW3C勧告に到達 | Main | カナダ サイバーセキュリティセンター 「サイバー脅威報告:ロシアのウクライナ侵攻に関連するサイバー脅威活動」 (2022.07.14) »
Comments