NIST 「NISTIR 8011 Vol.1. セキュリティコントロールアセスメントの自動化支援:第1巻:概要」についての意見募集
こんにちは、丸山満彦です。
NISTが、すでに公表され、利用されている「NISTIR 8011 Vol.1. セキュリティコントロールアセスメントの自動化支援。第1巻:概要」について、使い勝手や、内容についての改善が必要ないか、意見募集をしていますね。。。
NISTIR 8011シリーズは、コントロールの評価という意味では興味深い文書ですので、この第1巻の概要については目を通していても良いかもですね。。。
特にNIST SP800-171とかに興味がある人とか...
● NIST - ITL
・2023.02.22 Call for Feedback: NIST IR 8011 Series Adoption
Call for Feedback: NIST IR 8011 Series Adoption | フィードバックの募集 NIST IR 8011 シリーズ |
NIST Interagency Report (IR) 8011, Automation Support for Security Control Assessments, provides guidance on automating the assessment of controls that can be tested. This series of technical publications, based on NIST Special Publication (SP) 800-53 controls and SP 800-53A control assessment procedures, is organized into multiple volumes, each dedicated to addressing a specific security capability (security capabilities are groups of controls that support a common purpose). Previously published volumes, which were based on SP 800-53, Revision 4, are being revised. New volumes covering additional security capabilities are being developed. | 「NIST 内部報告 (IR) 8011 セキュリティコントロールアセスメントの自動化支援」 は、テスト可能なコントロールの評価を自動化するためのガイダンスを提供する。この一連の技術文書は、NIST 特別発行物 (SP) 800-53のコントロールとSP 800-53Aのコントロール評価手順に基づき、複数の巻で構成され、それぞれが特定のセキュリティ能力(セキュリティ能力は、共通の目的を支援するコントロールのグループ)を扱うことに特化している。SP 800-53改訂4版に基づいて発行された既刊の巻は改訂されている。また、追加のセキュリティ能力をカバーする新版が開発されている。 |
The NIST Risk Management Framework (RMF) team seeks feedback from individuals and organizations who have used our guidance for supporting automated security control assessments. We would like to better understand the use of the IR 8011 series by adopters, success stories, what adopters liked/disliked about the methodology and about the series overall, the challenges (if any) adopters faced during implementation, and how we can improve the entire series – from the proposed methodology to ways to facilitate its adoption. | NISTリスクマネジメントフレームワーク(RMF)チームは、自動化されたセキュリティ対策の評価を支援するためにNISTのガイダンスを使用したことのある個人および組織からのフィードバックを求めている。 IR 8011シリーズの採用者による使用状況、成功事例、採用者が手法やシリーズ全体について好きなこと/嫌いなこと、導入時に直面した課題(もしあれば)、提案した手法から採用を促進する方法まで、シリーズ全体を改善できる方法をよりよく理解したいと思っている。 |
... | ... |
We are looking specifically for information such as: | 具体的には、以下のような情報を求めている。 |
・Adoption Status (e.g., used guidance in the past; currently use; planning to use). | ・採用状況(例:過去にガイダンスを使用した、現在使用中、使用予定)。 |
・How the IR 8011 Series is Being Used – and by Whom (e.g., applied guidance in-house [i.e., for internal operations] or developed a solution that can be used by other organizations [e.g., adoption by a service/solution provider]). | ・IR8011シリーズがどのように利用されているか、また、誰によって利用されているか(例:ガイダンスを社内で適用した(例:社内業務用)、他の組織が利用できるソリューションを開発した(例:サービス/ソリューションプロバイダによる採用))。 |
・Implementation Success (e.g., strengths and benefits of the IR 8011 series; what worked well to support implementation; ROI from the adoption of IR 8011). | ・導入の成功事例(例:IR8011シリーズの長所と利点、導入を支援するためにうまくいったこと、IR8011の採用によるROIなど)。 |
・Implementation Challenges and Opportunities (e.g., issues/concerns – and what can be considered for addressing them – and areas that can be improved). | ・導入の課題と機会(例:問題/懸念事項、その対処のために考慮できること、改善可能な分野)。 |
・Level of Interest (if a NIST IR 8011 Interest Group is established, would you be interested in joining it to share ideas and information with other 8011 adopters or interested parties?) | ・興味の度合い(NIST IR 8011 Interest Groupが設立された場合、他の8011採用者や関係者とアイデアや情報を共有するために参加することに興味があるか?) |
Feedback received will not be published or shared. There is no due date to respond (feedback can be provided at any time); however, the sooner the feedback is received, the sooner it may be considered, and possibly reflected on revisions and new development. | 受け取ったフィードバックは公開、共有されない。回答期限はない(フィードバックはいつでも提供できる)。しかし、フィードバックを早く受け取れば受け取るほど、早く検討され、改訂や新規開発に反映される可能性がある。 |
・2023.02.22 NISTIR 8011 Vol. 1 Automation Support for Security Control Assessments: Volume 1: Overview
NISTIR 8011 Vol. 1. Automation Support for Security Control Assessments: Volume 1: Overview | NISTIR 8011 Vol.1. セキュリティコントロールアセスメントの自動化支援。第1巻:概要 |
Abstract | 概要 |
This volume introduces concepts to support automated assessment of most of the security controls in NIST Special Publication (SP) 800-53. Referencing SP 800-53A, the controls are divided into more granular parts (determination statements) to be assessed. The parts of the control assessed by each determination statement are called control items. The control items are then grouped into the appropriate security capabilities. As suggested by SP 800-53 Revision 4, security capabilities are groups of controls that support a common purpose. For effective automated assessment, testable defect checks are defined that bridge the determination statements to the broader security capabilities to be achieved and to the SP 800-53 security control items themselves. The defect checks correspond to security sub-capabilities—called sub-capabilities because each is part of a larger capability. Capabilities and sub-capabilities are both designed with the purpose of addressing a series of attack steps. Automated assessments (in the form of defect checks) are performed using the test assessment method defined in SP 800-53A by comparing a desired and actual state (or behavior). | この巻では、NIST Special Publication (SP) 800-53のほとんどのセキュリティコントロールの自動アセスメントを支援するための概念を紹介している。SP 800-53Aを参照し、コントロールはより細かい部分(判断文)に分割され、評価される。各決定文で評価されるコントロールの部分は、コントロールアイテムと呼ばれる。そして、管理項目は、適切なセキュリティ能力にグループ化される。SP 800-53 改訂4版で提案されているように、セキュリティ能力は、共通の目的を支援する統制のグループである。効果的な自動アセスメントのために、テスト可能な欠陥チェックを定義し、決定ステートメントと達成すべき広範なセキュリティ能力およびSP 800-53セキュリティ管理項目そのものとの橋渡しをする。欠陥チェックは、セキュリティの下位能力に対応する。下位能力とは、それぞれがより大きな能力の一部であることを意味する。能力とサブ能力は、いずれも一連の攻撃手順に対処する目的で設計されている。自動化された評価(欠陥チェックの形式)は、SP800-53Aで定義されたテスト評価方法を用いて、望ましい状態と実際の状態(または動作)を比較することで実施される。 |
・[PDF] NISTIR 8011 Vol. 1 (DOI)
エグゼクティブサマリー...
Executive Summary | エグゼクティブサマリー |
Evolving threats create a challenge for organizations that design, implement, and operate complex systems containing many moving parts. The ability to assess all implemented information security controls as frequently as needed using manual procedural methods is impractical and unrealistic for most organizations due to the sheer size, complexity, and scope of their information technology footprint. Additionally, the rapid deployment of new technologies such as mobile, cloud, and social media brings with it new risks that make ongoing manual procedural assessments of all controls impossible for the vast majority of organizations. Today there is broad agreement in the information security community that once a system is in production, automation of security control assessments[1] is needed to support and facilitate near real-time information security continuous monitoring (ISCM). | 進化する脅威は、多くの可動部品を含む複雑なシステムを設計、実装、運用する組織にとっての課題となっている。実装されているすべての情報セキュリティ対策を、手作業による手順で必要な頻度で評価することは、情報技術の規模、複雑さ、範囲が非常に大きいため、ほとんどの組織にとって非現実的であり、非現実的なことなのである。さらに、モバイル、クラウド、ソーシャルメディアなどの新技術の急速な普及は、新たなリスクをもたらし、大多数の組織にとって、すべての対策を手作業で継続的に評価することを不可能にする。今日、情報セキュリティコミュニティでは、システムが本稼働したら、ほぼリアルタイムの情報セキュリティ継続的監視(ISCM)を支援し促進するために、セキュリティ制御評価の自動化[1]が必要であるという点で広く合意されている。 |
In September 2011, as part of Office of Management and Budget (OMB) memorandum M-11- | 2011 年 9 月、米行政管理予算局(OMB) の覚書 M-11-33[2] の一部として、OMB はセキュリティ制御評価の自動化を承認した。 |
33,[2] OMB approved the transition from a static every-three-year security authorization process to an ongoing authorization process via ISCM. Also in September 2011, NIST published SP 800137, Information Security Continuous Monitoring for Federal Information Systems and Organizations, which provided management-level guidance on developing an ISCM strategy and implementing an ISCM program. However, many federal organizations were finding the technical implementation to be challenging. | 33の一部として、OMBは、3年ごとの静的なセキュリティ認可プロセスから、ISCMによる継続的な認可プロセスへの移行を承認した。また、2011年9月には、NISTがSP 800-137「連邦政府の情報システムおよび組織における情報セキュリティの継続的モニタリング」を発表し、ISCM戦略の策定とISCMプログラムの導入に関するマネジメントレベルのガイダンスを提供した。しかし、多くの連邦政府機関は、技術的な導入に困難を感じていた。 |
Recognizing this challenge, the United States Congress funded the Continuous Diagnostics and Mitigation (CDM) program in 2012 at the Department of Homeland Security (DHS). The DHS CDM program is designed to facilitate automated security control assessment and continuous monitoring that is consistent with NIST guidance by providing a robust, comprehensive set of monitoring tools, an ISCM dashboard, and implementation assistance. | この課題を認識し、米国議会は2012年に国土安全保障省(DHS)の継続的診断・軽減(CDM)プログラムに資金を提供した。DHSのCDMプログラムは、堅牢で包括的な監視ツール、ISCMダッシュボード、および実装支援を提供することにより、NISTの指針に合致した自動セキュリティ制御評価と継続的監視を促進するように設計されている。 |
In November 2013 OMB issued Memorandum M-14-03,[3] which provided instructions and deadlines to federal organizations for development of an ISCM strategy and program. M-14-03 stated that each organization may follow one of three approaches for ISCM: 1) develop its own ISCM program; 2) leverage the CDM program from DHS; or 3) establish a hybrid program between its own ISCM program and the DHS CDM program. | 2013年11月にOMBが発行したM-14-03[3]は、ISCM戦略およびプログラムの開発について、連邦政府組織への指示と期限を定めたものである。M-14-03では、各組織はISCMについて、次の3つのアプローチのいずれかに従うことができると述べている:1)独自のISCMプログラムを開発する、2)DHSのCDMプログラムを活用する、3)独自のISCMプログラムとDHS CDMプログラムとのハイブリッドプログラムを確立する。 |
This NIST Interagency Report (NISTIR) supports all three of the ISCM approaches in M-14-03 and represents a joint effort between NIST and DHS to provide an operational approach for automating assessments of the selected and implemented security controls from SP 800-53 that is also consistent with the guidance in SP 800-53A. | このNIST 内部報告(NISTIR)は、M-14-03の3つのISCMアプローチすべてを支援し、SP 800-53の選択および実装されたセキュリティコントロールの評価を自動化するための運用アプローチを提供するNISTとDHSの共同作業であり、SP 800-53Aの指針とも整合している。 |
Organizations implementing ISCM and automating security control assessments using the methods described herein are encouraged to share the results with both NIST and DHS so that lessons learned can be shared broadly. If needed, this document will be revised and/or supplemented to document such best practices. | ISCMを実施し、ここに記載された方法を使用してセキュリティ対策の評価を自動化する組織は、その結果をNISTおよびDHSの両者と共有し、得られた教訓を広く共有できるようにすることが奨励される。必要に応じて、この文書はそのようなベストプラクティスを文書化するために改訂および/または補足される予定である。 |
[1] See glossary for definition of ongoing assessment. | [1] 継続的評価の定義については、用語集を参照のこと。 |
[2] OMB Memos M-11-33 and M-14-03 are no longer available and are referenced here for historical purposes. OMB Circular A-130 provides federal-wide information security policy. | [2] OMB Memos M-11-33 および M-14-03 は既に公開されていないため、ここでは歴史的な目的で参照されている。OMB Circular A-130は、連邦政府全体の情報セキュリティ政策を規定している。 |
[3] See Footnote 2. | [3] 脚注2を参照。 |
目次...
Executive Summary | エグゼクティブサマリー |
1. Introduction | 1. 序文 |
1.1 Purpose and Scope | 1.1 目的と範囲 |
1.2 Target Audience | 1.2 対象読者 |
1.3 Organization of Volume 1 | 1.3 第1巻の構成 |
2. Overview of an Automated Security Control Assessment Process | 2. 自動化されたセキュリティコントロール評価プロセスの概要 |
2.1 Prerequisites to Automated Security Control Assessment | 2.1 セキュリティコントロール評価の自動化の前提条件 |
2.2 Automating the Test Assessment Method | 2.2 テスト評価手法の自動化 |
2.2.1 Terms for Referring to Assessment Objects | 2.2.1 評価対象を参照するための用語 |
2.3 Factors for Determining When to Trust Automated Ongoing Assessments | 2.3 自動化された継続的な評価を信頼するタイミングを決定するための要因 |
2.4 An Automated Security Control Assessment Program: ISCM | 2.4 自動化されたセキュリティコントロールの評価プログラム:ISCM |
2.5 Preparing for Automated Security Control Assessments | 2.5 自動化されたセキュリティコントロールの評価のための準備 |
3. Focusing Security Control Assessments on Security Results | 3. セキュリティコントロールの評価をセキュリティ結果に集中させる |
3.1 Applying Security Capabilities to Automated Assessments | 3.1 自動アセスメントへのセキュリティ能力の適用 |
3.1.1 Supports Strong Systems Engineering of Security Capabilities | 3.1.1 セキュリティ能力の強力なシステムエンジニアリングの支援 |
3.1.2 Supports Guidance for Control Selection | 3.1.2 コントロールの選択に関するガイダンスの支援 |
3.1.3 Simplifies Understanding of the Overall Protection Process | 3.1.3 保護プロセス全体の理解の簡素化 |
3.1.4 Enables Assessment of Security Results at a Higher Level than Individual Controls | 3.1.4 個別のコントロールよりも上位のレベルでセキュリティ結果の評価を可能にする |
3.1.5 Improves Risk Management by Measuring Security Results More Closely Aligned with Desired Business Results | 3.1.5 望ましいビジネス上の成果により近いセキュリティ成果を測定することによるリスクマネジメントの改善 |
3.2 Attack Steps | 3.2 攻撃のステップ |
3.2.1 Adversarial Attack Step Model | 3.2.1 敵対的攻撃ステップモデル |
3.3 Security Capabilities | 3.3 セキュリティ能力 |
3.3.1 SP 800-53 Control Families and Security Capabilities | 3.3.1 SP 800-53 コントロールファミリーとセキュリティ能力 |
3.3.2 SP 800-137 Security Automation Domains and Security Capabilities | 3.3.2 SP 800-137 セキュリティオートメーションドメインとセキュリティ能力 |
3.3.3 Using Security Capabilities in Security Control Assessment | 3.3.3 セキュリティコントロールの評価におけるセキュリティ能力の使用 |
3.3.4 Security Capabilities and ISCM | 3.3.4 セキュリティ能力とISCM |
3.3.5 Example Security Capabilities Listed and Defined | 3.3.5 セキュリティ能力のリストアップと定義の例 |
3.3.6 Tracing Requirements: Mapping Capability to Attack Steps | 3.3.6 要件のトレース:能力から攻撃ステップへのマッピング |
3.3.7 Organization-Defined Security Capabilities | 3.3.7 組織で定義されたセキュリティ能力 |
3.4 Sub-Capabilities | 3.4 サブ能力 |
3.4.1 Examples of Sub-Capabilities (from HWAM) | 3.4.1 サブ能力の例(HWAMより) |
3.4.2 Tracing Sub-Capabilities to Attack Steps | 3.4.2 攻撃ステップへのサブ能力のトレース |
3.5 Security Control Items | 3.5 セキュリティ管理項目 |
3.5.1 Tracing Security Control Items to Attack Steps | 3.5.1 セキュリティ管理項目から攻撃ステップへのトレース |
3.5.2 Tracing Security Control Items to Capabilities | 3.5.2 セキュリティ制御項目から能力へのトレース |
3.5.3 Tracing Security Control Items to Sub-Capabilities | 3.5.3 セキュリティ管理項目からサブキャパシティへの追跡 |
3.6 Synergies Across Each Abstraction Level | 3.6 各抽象レベル間の相乗効果 |
3.6.1 Multiple Capabilities Support Addressing Each Attack Step | 3.6.1 各攻撃ステップに対応するための複数の能力 |
3.6.2 Many Controls Support Multiple Capabilities | 3.6.2 多くの制御が複数の能力を支援する |
4. Using Actual State and Desired State Specification to Detect Defects | 4. 実際の状態と望ましい状態の仕様による欠陥の検出 |
4.1 Actual State and Desired State Specification | 4.1 実状と希望する状態仕様 |
4.2 Collectors and the Collection System | 4.2 収集装置と収集システム |
4.2.1 Actual State Collectors | 4.2.1 実状収集装置 |
4.2.2 Collection of Desired State Specifications | 4.2.2 望ましい状態の仕様の収集 |
4.2.3 The Collection System | 4.2.3 収集システム |
4.3 Authorization Boundary and Assessment Boundary | 4.3 認可境界とアセスメント境界 |
4.3.1 System Authorization Boundary | 4.3.1 システム認可境界 |
4.3.2 ISCM Assessment Boundary | 4.3.2 ISCMアセスメント境界 |
4.3.3 Tracing System Risk to its Sources | 4.3.3 システムリスクの発生源へのトレース |
4.4 The Desired State Specification | 4.4 望ましい状態の仕様 |
4.4.1 Types of Desired State Specifications | 4.4.1 望ましい状態の仕様の種類 |
4.4.2 Desired State Specification Reflects Policy | 4.4.2 ポリシーを反映した望ましい状態の仕様 |
4.4.3 Desired State Specification Demonstrates the Existence of Policy | 4.4.3 望ましい状態仕様はポリシーの存在を証明する |
4.5 Using Automation to Compare Actual State and Desired State Specification | 4.5 実状と望ましい状態を比較するためのオートメーションの利用 |
5. Defect Checks | 5. 欠陥チェック |
5.1 Defect Checks and Determination Statements | 5.1 欠陥チェックと判定ステートメント |
5.2 Interpreting Defect Checks as Tests of Control Items | 5.2 欠陥検査はコントロール項目のテストと解釈する |
5.3 Interpreting Defect Checks as Tests of Sub-Capabilities and Control Items | 5.3 サブ能力およびコントロール項目のテストとしての欠陥チェックの解釈 |
5.4 Defect Check Documentation | 5.4 欠陥チェックの文書化 |
5.5 Data Quality Measures | 5.5 データ品質対策 |
5.6 Assessment Criteria Device Groupings to Consider | 5.6 評価基準 デバイスのグループ化を考慮する |
5.7 Why Not Call Defects Vulnerabilities or Weaknesses? | 5.7 欠陥を脆弱性または弱点と呼ばない理由は? |
5.8 Security Controls Selected/Not Selected and Defect Checks | 5.8 セキュリティコントロールの選択/非選択と欠陥チェック |
5.9 Foundational and Local Defect Checks | 5.9 基礎的な欠陥と局所的な欠陥チェック |
5.10 Documenting Tailoring Decisions | 5.10 テーラリングの決定の文書化 |
6. Assessment Plan Documentation | 6. 評価計画書の文書化 |
6.1 Introduction to Security Assessment Plan Narratives | 6.1 セキュリティアセスメント計画書の序文 |
6.2 Assessment Scope | 6.2 評価の範囲 |
6.3 Determination Statements within the Narratives | 6.3 ナラティブ内の決定ステートメント |
6.4 Roles and Assessment Methods in the Narratives | 6.4 ナラティブにおける役割と評価方法 |
6.5 Defect Check Rationale Table | 6.5 欠陥チェックの根拠表 |
6.6 Tailoring of Security Assessment Plan Narratives | 6.6 セキュリティアセスメント計画ナラティブのテーラリング |
6.7 Control Allocation Tables | 6.7 コントロールの割り当て表 |
6.8 Documenting Selected Controls and Tailoring Decisions | 6.8 選択されたコントロールとテーラリングの決定事項の文書化 |
7. Root Cause Analysis | 7. 根本原因の分析 |
7.1 Knowing Who Is Responsible | 7.1 責任者の把握 |
7.2 Root Cause Analysis | 7.2 根本原因分析 |
7.2.1 Root Cause Analysis How-to: Controls | 7.2.1 根本原因分析ハウツー:コントロール |
7.2.2 Root Cause Analysis How-to: Defect Types | 7.2.2 根本原因分析ハウツー:欠陥の種類 |
8. Roles and Responsibilities | 8. 役割と責任 |
8.1 SP 800-37-Defined Management Responsibilities | 8.1 SP 800-37-定義された管理責任 |
8.2 ISCM Operational Responsibilities | 8.2 ISCMの運用責任 |
9. Relationship of Automated Security Control Assessment to the NIST Risk Management Framework | 9. 自動化されたセキュリティ対策評価と NIST リスクマネジメントフレームワークの関係 |
9.1 Linking ISCM to Specific RMF Assessment Tasks | 9.1 ISCM と特定の RMF 評価タスクとの関連付け |
Appendix A. References | 附属書A. 参考文献 |
Appendix B. Glossary | 附属書B. 用語集 |
Appendix C. Acronyms and Abbreviations | 附属書C. 頭字語・略語 |
Figure 1: Overview of an Automated Security Control Assessment Process
Figure 3: ISCM Security Capabilities Used in this NISTIR
Figure 5: ISCM Collection System
参考文献
Appendix A. References
POLICIES, DIRECTIVES, INSTRUCTIONS, REGULATIONS, AND MEMORANDA |
- Office of Management and Budget Circular A-130, July, 2016.
https://obamawhitehouse.archives.gov/sites/default/files/omb/assets/OMB/circulars/a1 30/a130revised.pdf
STANDARDS |
- NIST National Institute of Standards and Technology Federal Information Processing Standards Publication (FIPS) 199, Standards for Security Categorization of Federal Information and Information Systems, February 2004.
https://doi.org/10.6028/NIST.FIPS.199
GUIDELINES AND INTERAGENCY REPORTS |
- National Institute of Standards and Technology Special Publication (SP) 800-30 Revision 1, Guide for Conducting Risk Assessments, September 2012.
https://doi.org/10.6028/NIST.SP.800-30r1
- National Institute of Standards and Technology Special Publication (SP) 800-37 Revision 1, Guide for Applying the Risk Management Framework to Federal Information Systems: A Security Life Cycle Approach, February 2010 (updated June 5, 2014).
https://doi.org/10.6028/NIST.SP.800-37r1
- National Institute of Standards and Technology Special Publication (SP) 800-39, Managing Information Security Risk: Organization, Mission, and Information System View, March 2011.
https://doi.org/10.6028/NIST.SP.800-39 - National Institute of Standards and Technology Special Publication (SP) 800-53 Revision 4, Security and Privacy Controls for Federal Information Systems and Organizations, April 2013 (updated January 22, 2015).
https://doi.org/10.6028/NIST.SP.800-53r4
- National Institute of Standards and Technology Special Publication (SP) 800-53A Revision 4, Assessing Security and Privacy Controls in Federal Information Systems and Organizations: Building Effective Assessment Plans, December 2014 (updated December 18, 2014).
https://doi.org/10.6028/NIST.SP.800-53Ar4 - National Institute of Standards and Technology Special Publication (SP) 800-115, Technical Guide to Information Security Testing and Assessment, September 2008.
https://doi.org/10.6028/NIST.SP.800-115 - National Institute of Standards and Technology Special Publication (SP) 800-137, Information Security Continuous Monitoring (ISCM) for Federal Information Systems and Organizations, September 2011.
https://doi.org/10.6028/NIST.SP.800-137 - National Institute of Standards and Technology Special Publication (SP) 800-160, Systems Security Engineering: Considerations for a Multidisciplinary Approach in the Engineering of Trustworthy Secure Systems, September 2016.
https://doi.org/10.6028/NIST.SP.800-160
- National Institute of Standards and Technology Interagency Report (NISTIR) 7298 Revision 2, Glossary of Key Information Security Terms, May 2013.
https://doi.org/10.6028/NIST.IR.7298r2
- National Institute of Standards and Technology Interagency Report (NISTIR) 7756 (DRAFT), CAESARS Framework Extension: An Enterprise Continuous Monitoring Technical Reference Architecture, January 2012.
http://csrc.nist.gov/publications/PubsNISTIRs.html#NIST-IR-7756
参考...
Automation Support for Security Control Assessments:
・NISTIR 8011 Vol. 2 Hardware Asset Management
・NISTIR 8011 Vol. 3 Software Asset Management
・NISTIR 8011 Vol. 4 Software Vulnerability Management
Related NIST Publications:
Comments