« NIST NISTIR 8406 (ドラフト) 液化天然ガス向けサイバーセキュリティフレームワークプロファイル (2022.10.17) | Main | G7 金融セクター 「ランサムウェアに対するレジリエンスに関するG7の基礎的要素」「サードパーティのサイバーリスクマネジメントに関するG7の基礎的要素 」(2022.10.13) »

2022.10.25

NIST SP 800-140B Rev. 1 (Draft) CMVP セキュリティポリシー要求事項 ISO/IEC 24759 および ISO/IEC 19790 附属書 B に対する CMVP 検証権限の更新(第2次公開草案)

こんにちは、丸山満彦です。

NIST SP 800-140B の改訂版の第二次公開草案を公表し、意見募集していますね。。。

NIST - ITL

・2022.10.17 SP 800-140B Rev. 1 (Draft) CMVP Security Policy Requirements: CMVP Validation Authority Updates to ISO/IEC 24759 and ISO/IEC 19790 Annex B (2nd Public Draft)

 

SP 800-140B Rev. 1 (Draft) CMVP Security Policy Requirements: CMVP Validation Authority Updates to ISO/IEC 24759 and ISO/IEC 19790 Annex B (2nd Public Draft) SP 800-140B Rev. 1 (Draft) CMVP セキュリティポリシー要求事項 ISO/IEC 24759 および ISO/IEC 19790 附属書 B に対する CMVP 検証権限の更新(第 2 次公開草案)
Announcement 発表
The initial public draft introduced four significant changes to NIST SP 800-140B: 最初の公開草案では、NIST SP 800-140B に 4 つの重要な変更が加えられた。
1. Defines a more detailed structure and organization for the Security Policy 1. セキュリティポリシーのより詳細な構造と組織を定義する
2. Captures Security Policy requirements that are defined outside of ISO/IEC 19790 and ISO/IEC 24759 2. ISO/IEC 19790及びISO/IEC 24759以外で定義されているセキュリティポリシーの要件を取り込む
3. Builds the Security Policy document as a combination of the subsection information 3. サブセクションの情報の組み合わせとしてセキュリティポリシー文書を構築する
4. Generates the approved algorithm table based on lab/vendor selections from the algorithm tests 4. アルゴリズムテストによるラボ/ベンダーの選択に基づいて、承認されたアルゴリズム表を生成する
This second public draft addresses the comments made on the initial draft, including concerns with the structure of the Security Policy and the process for creating it. Appendix B provides details on these changes. この第2次公開草案では、セキュリティポリシーの構成や作成プロセスに関する懸念など、初回草案に対して寄せられたコメントに対応している。附属書Bにこれらの変更点の詳細が記載されている。
The NIST SP 800-140x series supports Federal Information Processing Standards (FIPS) Publication 140-3, Security Requirements for Cryptographic Modules, and its associated validation testing program, the Cryptographic Module Validation Program (CMVP). The series specifies modifications to ISO/IEC 19790 Annexes and ISO/IEC 24759 as permitted by the validation authority. NIST SP 800-140x シリーズは、連邦情報処理標準規格(FIPS)Publication 140-3「暗号モジュールに対するセキュリティ要件」と、それに関連する検証テストプログラム「暗号モジュール検証プログラム(CMVP)」をサポートしている。このシリーズは、検証機関の許可に基づく ISO/IEC 19790 Annexes と ISO/IEC 24759 の修正について規定している。
Abstract 概要
NIST Special Publication (SP) 800-140Br1 is to be used in conjunction with ISO/IEC 19790 Annex B and ISO/IEC 24759 section 6.14. The special publication modifies only those requirements identified in this document. SP 800-140Br1 also specifies the content of the information required in ISO/IEC 19790 Annex B. As a validation authority, the Cryptographic Module Validation Program (CMVP) may modify, add, or delete Vendor Evidence (VE) and/or Test Evidence (TE) specified under paragraph 6.14 of the ISO/IEC 24759 and specify the order of the security policy as specified in ISO/IEC 19790:2012 B.1. NIST Special Publication (SP) 800-140Br1 は、ISO/IEC 19790 Annex B および ISO/IEC 24759 のセクション 6.14 と共に使用されるものである。この特別刊行物は、この文書で特定された要件のみを変更する。SP 800-140Br1 は、ISO/IEC 19790 Annex B で要求される情報の内容も規定する。暗号モジュール検証プログラム(CMVP)は、検証機関として、ISO/IEC 24759 の 6.14 項で規定されるベンダエビデンス(VE)及び/又はテストエビデンス(TE)を修正、追加、削除し、ISO/IEC 19790:2012 B.1 で規定するセキュリティポリシーの順序を指定することができる。

 

・[PDF] SP 800-140B Rev. 1 (Draft)

20221025-12530

 

目次...

1.  Scope 1.  範囲
2.  Normative references 2.  規範となる参考文献
3.  Terms and definitions 3.  用語と定義
4.  Symbols and abbreviated terms 4.  記号・略語
5.  Document organization 5.  文書構成
5.1.  General 5.1.  一般
5.2.  Modifications 5.2.  変更点
6.  Security requirements 6.  セキュリティ要件
6.1.  Changes to ISO/IEC 24759 section 6.14 and ISO/IEC 19790 Annex B Requirements 6.1.  ISO/IEC 24759 6.14 節及び ISO/IEC 19790 Annex B の要求事項の変更
6.2.  Documentation requirement additions 6.2.  文書化要求の追加
6.3.  Documentation input, structure, and formatting  6.3.  ドキュメントの入力、構造、及び書式 
Appendix A.  Security Policy Detailed Information Description 附属書 A.  セキュリティポリシー詳細情報説明
Appendix B.  Document Revisions 附属書B.  文書の改訂

 

SP 800-140シリーズがどのような状況か...

SP 800-140 Final 2020.03.20 FIPS 140-3 Derived Test Requirements (DTR): CMVP Validation Authority Updates to ISO/IEC 24759 [PDF]
SP 800-140A Final 2020.03.20 CMVP Documentation Requirements: CMVP Validation Authority Updates to ISO/IEC 24759 [PDF]
SP 800-140B Final 2020.03.20 CMVP Security Policy Requirements: CMVP Validation Authority Updates to ISO/IEC 24759 and ISO/IEC 19790 Annex B [PDF]
SP 800-140B Rev. 1 2nd.
Draft
2022.10.17 CMVP Security Policy Requirements: CMVP Validation Authority Updates to ISO/IEC 24759 and ISO/IEC 19790 Annex B  [PDF]
SP 800-140C Rev. 1 Final 2022.05.20 CMVP Approved Security Functions: CMVP Validation Authority Updates to ISO/IEC 24759 [PDF]
SP 800-140D Rev. 1 Final 2022.05.20 CMVP Approved Sensitive Parameter Generation and Establishment Methods: CMVP Validation Authority Updates to ISO/IEC 24759 [PDF]
SP 800-140E Final 2020.03.20 CMVP Approved Authentication Mechanisms: CMVP Validation Authority Requirements for ISO/IEC 19790 Annex E and ISO/IEC 24579 Section 6.17 [PDF]
SP 800-140F Final 2020.03.20 CMVP Approved Non-Invasive Attack Mitigation Test Metrics: CMVP Validation Authority Updates to ISO/IEC 24759 [PDF]
SP 800-140F Rev. 1 Draft 2021.08.20 CMVP Approved Non-Invasive Attack Mitigation Test Metrics: CMVP Validation Authority Updates to ISO/IEC 24759 [PDF]

 

【参考】

● FIPS140-3 Security Requirements for Cryptographic Modules [PDF]

● ISO/IEC 19790:2012 Information technology — Security techniques — Security requirements for cryptographic modules

● ISO/IEC 24759:2017 Information technology — Security techniques — Test requirements for cryptographic modules

  

【参考 日本】

● IPA 暗号モジュール試験及び認証制度(JCMVP):規程集

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.05.25 NIST SP 800-140C Rev.1 CMVP 承認されたセキュリティ機能:ISO/IEC 24759 に対する CMVP 検証機関に関する更新、SP 800-140D Rev.1 CMVP 承認のセンシティブパラメーター生成及び確立方法:ISO/IEC 24759 に対する CMVP 検証機関の更新

 ・2022.05.14 NIST SP 800-140B Rev.1(ドラフト)CMVP セキュリティポリシー要件:ISO/IEC 24759 及び ISO/IEC 19790 附属書Bに対する CMVP検証権限の更新

・2022.02.12 NIST SP 800-140D Rev.1(ドラフト)CMVP認定済みのセンシティブパラメータ生成・確立方法:ISO/IEC 24759に対するCMVP検証機関のアップデート(第2稿)

・2022.02.12 NIST SP 800-140C Rev.1(ドラフト)CMVP認定済みのセキュリティ機能: ISO/IEC 24759に対するCMVP検証機関の更新(第2稿)

・2020.03.21 NIST SP 800-140 FIPS 140-3 Derived Test Requirements (DTR): CMVP Validation Authority Updates to ISO/IEC 24759

 

|

« NIST NISTIR 8406 (ドラフト) 液化天然ガス向けサイバーセキュリティフレームワークプロファイル (2022.10.17) | Main | G7 金融セクター 「ランサムウェアに対するレジリエンスに関するG7の基礎的要素」「サードパーティのサイバーリスクマネジメントに関するG7の基礎的要素 」(2022.10.13) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« NIST NISTIR 8406 (ドラフト) 液化天然ガス向けサイバーセキュリティフレームワークプロファイル (2022.10.17) | Main | G7 金融セクター 「ランサムウェアに対するレジリエンスに関するG7の基礎的要素」「サードパーティのサイバーリスクマネジメントに関するG7の基礎的要素 」(2022.10.13) »