NIST SP 800-140B Rev. 1 (Draft) CMVP セキュリティポリシー要求事項 ISO/IEC 24759 および ISO/IEC 19790 附属書 B に対する CMVP 検証権限の更新(第2次公開草案)
こんにちは、丸山満彦です。
NIST SP 800-140B の改訂版の第二次公開草案を公表し、意見募集していますね。。。
● NIST - ITL
SP 800-140B Rev. 1 (Draft) CMVP Security Policy Requirements: CMVP Validation Authority Updates to ISO/IEC 24759 and ISO/IEC 19790 Annex B (2nd Public Draft) | SP 800-140B Rev. 1 (Draft) CMVP セキュリティポリシー要求事項 ISO/IEC 24759 および ISO/IEC 19790 附属書 B に対する CMVP 検証権限の更新(第 2 次公開草案) |
Announcement | 発表 |
The initial public draft introduced four significant changes to NIST SP 800-140B: | 最初の公開草案では、NIST SP 800-140B に 4 つの重要な変更が加えられた。 |
1. Defines a more detailed structure and organization for the Security Policy | 1. セキュリティポリシーのより詳細な構造と組織を定義する |
2. Captures Security Policy requirements that are defined outside of ISO/IEC 19790 and ISO/IEC 24759 | 2. ISO/IEC 19790及びISO/IEC 24759以外で定義されているセキュリティポリシーの要件を取り込む |
3. Builds the Security Policy document as a combination of the subsection information | 3. サブセクションの情報の組み合わせとしてセキュリティポリシー文書を構築する |
4. Generates the approved algorithm table based on lab/vendor selections from the algorithm tests | 4. アルゴリズムテストによるラボ/ベンダーの選択に基づいて、承認されたアルゴリズム表を生成する |
This second public draft addresses the comments made on the initial draft, including concerns with the structure of the Security Policy and the process for creating it. Appendix B provides details on these changes. | この第2次公開草案では、セキュリティポリシーの構成や作成プロセスに関する懸念など、初回草案に対して寄せられたコメントに対応している。附属書Bにこれらの変更点の詳細が記載されている。 |
The NIST SP 800-140x series supports Federal Information Processing Standards (FIPS) Publication 140-3, Security Requirements for Cryptographic Modules, and its associated validation testing program, the Cryptographic Module Validation Program (CMVP). The series specifies modifications to ISO/IEC 19790 Annexes and ISO/IEC 24759 as permitted by the validation authority. | NIST SP 800-140x シリーズは、連邦情報処理標準規格(FIPS)Publication 140-3「暗号モジュールに対するセキュリティ要件」と、それに関連する検証テストプログラム「暗号モジュール検証プログラム(CMVP)」をサポートしている。このシリーズは、検証機関の許可に基づく ISO/IEC 19790 Annexes と ISO/IEC 24759 の修正について規定している。 |
Abstract | 概要 |
NIST Special Publication (SP) 800-140Br1 is to be used in conjunction with ISO/IEC 19790 Annex B and ISO/IEC 24759 section 6.14. The special publication modifies only those requirements identified in this document. SP 800-140Br1 also specifies the content of the information required in ISO/IEC 19790 Annex B. As a validation authority, the Cryptographic Module Validation Program (CMVP) may modify, add, or delete Vendor Evidence (VE) and/or Test Evidence (TE) specified under paragraph 6.14 of the ISO/IEC 24759 and specify the order of the security policy as specified in ISO/IEC 19790:2012 B.1. | NIST Special Publication (SP) 800-140Br1 は、ISO/IEC 19790 Annex B および ISO/IEC 24759 のセクション 6.14 と共に使用されるものである。この特別刊行物は、この文書で特定された要件のみを変更する。SP 800-140Br1 は、ISO/IEC 19790 Annex B で要求される情報の内容も規定する。暗号モジュール検証プログラム(CMVP)は、検証機関として、ISO/IEC 24759 の 6.14 項で規定されるベンダエビデンス(VE)及び/又はテストエビデンス(TE)を修正、追加、削除し、ISO/IEC 19790:2012 B.1 で規定するセキュリティポリシーの順序を指定することができる。 |
・[PDF] SP 800-140B Rev. 1 (Draft)
目次...
1. Scope | 1. 範囲 |
2. Normative references | 2. 規範となる参考文献 |
3. Terms and definitions | 3. 用語と定義 |
4. Symbols and abbreviated terms | 4. 記号・略語 |
5. Document organization | 5. 文書構成 |
5.1. General | 5.1. 一般 |
5.2. Modifications | 5.2. 変更点 |
6. Security requirements | 6. セキュリティ要件 |
6.1. Changes to ISO/IEC 24759 section 6.14 and ISO/IEC 19790 Annex B Requirements | 6.1. ISO/IEC 24759 6.14 節及び ISO/IEC 19790 Annex B の要求事項の変更 |
6.2. Documentation requirement additions | 6.2. 文書化要求の追加 |
6.3. Documentation input, structure, and formatting | 6.3. ドキュメントの入力、構造、及び書式 |
Appendix A. Security Policy Detailed Information Description | 附属書 A. セキュリティポリシー詳細情報説明 |
Appendix B. Document Revisions | 附属書B. 文書の改訂 |
SP 800-140シリーズがどのような状況か...
【参考】
● FIPS140-3 Security Requirements for Cryptographic Modules [PDF]
● ISO/IEC 19790:2012 Information technology — Security techniques — Security requirements for cryptographic modules
● ISO/IEC 24759:2017 Information technology — Security techniques — Test requirements for cryptographic modules
【参考 日本】
● IPA 暗号モジュール試験及び認証制度(JCMVP):規程集
● まるちゃんの情報セキュリティ気まぐれ日記
・2022.05.14 NIST SP 800-140B Rev.1(ドラフト)CMVP セキュリティポリシー要件:ISO/IEC 24759 及び ISO/IEC 19790 附属書Bに対する CMVP検証権限の更新
・2022.02.12 NIST SP 800-140D Rev.1(ドラフト)CMVP認定済みのセンシティブパラメータ生成・確立方法:ISO/IEC 24759に対するCMVP検証機関のアップデート(第2稿)
・2022.02.12 NIST SP 800-140C Rev.1(ドラフト)CMVP認定済みのセキュリティ機能: ISO/IEC 24759に対するCMVP検証機関の更新(第2稿)
« NIST NISTIR 8406 (ドラフト) 液化天然ガス向けサイバーセキュリティフレームワークプロファイル (2022.10.17) | Main | G7 金融セクター 「ランサムウェアに対するレジリエンスに関するG7の基礎的要素」「サードパーティのサイバーリスクマネジメントに関するG7の基礎的要素 」(2022.10.13) »
Comments