« 会計検査院 令和3年検査報告(森田検査院長から岸田総理大臣へ) (2022.11.07) | Main | NIST NISTIR 8409 共通脆弱性評点システムの基礎評点の計算式の測定 (2022.11.15) »

2022.11.20

NIST SP 800-55 Rev. 2 (ドラフト)情報セキュリティ パフォーマンス測定ガイド(初期ワーキング・ドラフト)(2022.11.14)

こんにちは、丸山満彦です。

NISTが、SP 800-55 Rev. 2 (ドラフト)情報セキュリティのパフォーマンス測定ガイド(初期ワーキング・ドラフト)を公表し、意見募集をしていますね。。。

NIST - ITL

・2022.11.14 SP 800-55 Rev. 2 (Draft) Performance Measurement Guide for Information Security (initial working draft)

 

SP 800-55 Rev. 2 (Draft)Performance Measurement Guide for Information Security (initial working draft)  SP 800-55 Rev. 2 (ドラフト)情報セキュリティのパフォーマンス測定ガイド(初期ワーキング・ドラフト)
Announcement 発表
This working draft of SP 800-55 Revision 2 is an annotated outline that will enable further community discussions and feedback. Comments received by the deadline will be incorporated to the extent practicable. NIST will then post a complete public draft of SP 800-55 Rev. 2 for an additional comment period. SP 800-55 Rev.2のこのワーキングドラフトは、コミュニティでの議論やフィードバックを可能にするための注釈付きアウトラインである。期限までに寄せられたコメントは、可能な限り反映される予定である。その後、NISTはSP 800-55 Rev.2の完全な公開ドラフトを投稿し、追加のコメント期間を設ける予定である。
Note to Reviewers レビュアーへの注意事項
We seek input on the changes being proposed to SP 800-55. New sections are noted as new additions to SP 800-55. Many are also marked by a “Note to Reviewer” with a request for feedback. These questions are meant to facilitate discussion and should not discourage input on any other topics within this annotated outline. There are three additional questions for reviewer consideration. These questions are: SP 800-55 に提案されている変更点についての意見を求める。新しいセクションは、SP 800-55 に新たに追加されたものとして記されている。また、その多くには、フィードバックを求める「レビュアーへの注意事項」が記されている。これらの質問は、議論を促進するためのものであり、この注釈付きアウトライン内の他のトピックに関する意見を妨げてはならない。レビュアーが検討するための追加の質問が3つある。これらの質問は以下の通りである。
・CIOs and CISOs: What measurement and metrics guidance would benefit your program? ・CIOとCISO:どのような測定と測定基準のガイダンスがあなたのプログラムに役立つか
・How to best communicate information security measurement needs up and down the organizational structure? ・情報セキュリティ測定のニーズを組織構造の上下に伝えるのに最も適した方法は何か?
・Examples: What kinds of measures and metrics examples or templates could this publication provide that would be helpful in your work? ・例 この出版物は、どのような種類の対策や測定基準の例やテンプレートを提供することができ、あなたの仕事に役立つか?
This working draft also has sections with only minor planned changes marked as “intentionally left out of this review cycle” to allow for readers to focus on the more substantial proposed changes. The Initial Public Draft will include the full proposed text for all sections of the document. Feedback is still welcome on the sections not highlighted in this Initial Working Draft.   このワーキング・ドラフトでは、読者がより実質的な変更案に集中できるように、「このレビューサイクルでは意図的に除外した」と記された、わずかな変更しか予定されていないセクションも含まれている。初回公開ドラフトでは、文書のすべてのセクションについて提案された全文が含まれる予定である。この初回ワーキング・ドラフトで強調されていない部分については、引き続きフィードバックを歓迎する。 
virtual public forum will be held on December 13, 2022, to introduce the working draft of SP 800-55 and highlight the various questions for reviewers within the document through a panel of practitioners across different sectors. 2022年12月13日に仮想パブリックフォーラムを開催し、SP 800-55のワーキングドラフトを紹介し、異なるセクターの実務者のパネルを通じて、文書内のレビュー担当者への様々な質問を強調する予定である。
Abstract 概要
This document provides guidance on how an organization can use metrics to identifies the adequacy of an in-place security controls, policies, and procedures. It provides an approach to help management decide where to invest in additional security protection resources or identify and evaluate nonproductive controls. It explains the metric development and implementation process and how it can also be used to adequately justify security control investments. The results of an effective metric program can provide useful data for directing the allocation of information security resources and should simplify the preparation of performance-related reports. 本書は、組織がどのように評価指標を使用して、実施中のセキュリティ管理、方針、及び手続きの妥当性を識別できるかについての指針を提供する。経営陣がセキュリティ保護リソースの追加投資先を決定したり、非生産的な管理策を特定・評価したりするのに役立つアプローチを提供する。測定基準の開発と実施プロセス、およびセキュリティ管理への投資を適切に正当化するために測定基準をどのように利用できるかを説明する。効果的な評価指標プログラムの結果は、情報セキュリティ資源の配分を指示するための有用なデータを提供し、パフォーマンス関連の報告書の作成を簡素化することができるはずである。

 

・[PDF] SP 800-55 Rev. 2 (Draft)

20221120-44734

 

目次...

1.  Introduction 1.  はじめに
1.1.  Purpose and Scope 1.1.  目的及び範囲
1.2.  Audience 1.2.  対象読者
1.3.  Relation to Other NIST Publications 1.3.  他のNIST出版物との関係
1.4.  Document Organization 1.4.  文書の構成
2.  Information Security Measures Fundamentals 2.  情報セキュリティ対策の基礎
2.1.  Document Conventions 2.1.  文書規則
2.1.1. Terminology 2.1.1. 用語の説明
2.1.2. Definition 2.1.2. 定義
2.2.  Benefits of Using Measures 2.2.  測定値を使用するメリット
2.3.  Critical Success Factors 2.3.  重要成功要因
2.4.  Types of Measures 2.4.  施策の種類
2.4.1. Implementation Measures 2.4.1. 実施施策
2.4.2. Effectiveness/Efficiency Measures 2.4.2. 有効性/効率性対策
2.4.3. Impact Measures 2.4.3. 影響度評価
2.5.  Measurement Considerations 2.5.  測定に関する考慮事項
2.5.1. Organizational Considerations 2.5.1. 組織的な検討
2.5.2. Manageability 2.5.2. 管理性
2.5.3. Data Management Concerns 2.5.3. データ管理に関する懸念
2.5.4. Measurement Quality 2.5.4. 測定品質
2.5.5. Trends and Historical Information 2.5.5. トレンドと履歴情報
2.5.6. Automation of Data Collection 2.5.6. データ収集の自動化
2.6.  Information Security Measurement Program Scope 2.6.  情報セキュリティ測定プログラムの範囲
2.6.1. Individual Information Systems 2.6.1. 個々の情報システム
2.6.2. Enterprise-wide Program 2.6.2. 全社的なプログラム
3.  Information Security Measures Fundamentals 3.  情報セキュリティ対策の基礎
3.1.  Information Security Measurement Program Scope 3.1.  情報セキュリティ対策プログラムの範囲
3.2.  Goals and Objective Definition 3.2.  目標及び目的の定義
3.2.1. Governance and Compliance 3.2.1. ガバナンスとコンプライアンス
3.3.  Information Security Policies, Guidelines, and Procedures Review 3.3.  情報セキュリティ方針、ガイドライン、手順の見直し
3.4.  Information Security Measurement Program Implementation Review 3.4.  情報セキュリティ測定プログラム実施状況の確認
3.5.  Measures Development and Schedules 3.5.  対策の策定及びスケジュール
3.5.1. Measures Development Approach 3.5.1. 測定法開発のアプローチ
3.5.2. Measures Prioritization and Selection 3.5.2. 対策の優先順位付けと選択
3.5.3. Establishing Performance Targets 3.5.3. パフォーマンス目標の設定
3.6.  Defining Evaluation Methods 3.6.  評価方法の定義
3.7.  Measures Development and Schedules 3.7.  施策の策定とスケジュール
3.8.  Feedback Within the Development Process 3.8.  開発プロセスにおけるフィードバック
4.  Information Security Measures Program Implementation 4.  情報セキュリティ対策プログラムの実施
4.1.  Prepare for Data Collection 4.1.  データ収集の準備
4.2.  Collect Data and Analyze Results 4.2.  データ収集と結果の分析
4.2.1. Data Collection and Reporting 4.2.1. データ収集と報告
4.3.  Identify Corrective Actions 4.3.  是正処置の特定
4.4.  Develop a Business Case and Obtain Resources 4.4.  ビジネスケースの作成とリソースの確保
4.5.  Apply Corrective Actions 4.5.  是正措置の適用
References 参考文献
Appendix A. List of Symbols, Abbreviations, and Acronyms 附属書 A. 記号、略語、頭字語のリスト
Appendix B. Glossary 附属書B. 用語集
Appendix C. Change Log 附属書C. 変更履歴

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.02.04 サイバーセキュリティとプライバシーに関する 2021年のNISTの取り組み

 

2008年に発行の現在のバージョン (Rev 1.0) については、IPAで翻訳を公表していますね・・・

IPA - 情報セキュリティ - ... - セキュリティ関連NIST文書

 ・[PDF] SP 800-55 rev.1 情報セキュリティパフォーマンス測定ガイド

|

« 会計検査院 令和3年検査報告(森田検査院長から岸田総理大臣へ) (2022.11.07) | Main | NIST NISTIR 8409 共通脆弱性評点システムの基礎評点の計算式の測定 (2022.11.15) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 会計検査院 令和3年検査報告(森田検査院長から岸田総理大臣へ) (2022.11.07) | Main | NIST NISTIR 8409 共通脆弱性評点システムの基礎評点の計算式の測定 (2022.11.15) »