米国 NIST 意見募集 SP 800-171 Rev.3(ドラフト) 非連邦政府組織およびシステムにおける管理対象非機密情報の保護
こんにちは、丸山満彦です。
みんなの大好きな?NIST SP800-171の第3版のドラフトが公開され、意見募集がされていますね。。。昨年の7月に改訂のアナウンスがでていますので、それと合わせt読むとよりよいかもしれません。。。という私も、まだこのドラフトを詳細に読んではいませんが(^^)
⚫︎NIST - ITL
発表...
文書...
SP 800-171 Rev. 3 (Draft) Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations | SP 800-171 Rev.3(ドラフト) 非連邦政府組織およびシステムにおける管理対象非機密情報の保護 |
Announcement | 発表 |
This update to NIST SP 800-171 represents over one year of data collection, technical analyses, customer interaction, redesign, and development of the security requirements and supporting information for the protection of Controlled Unclassified Information (CUI). Many trade-offs have been made to ensure that the technical and non-technical requirements have been stated clearly and concisely while also recognizing the specific needs of both federal and nonfederal organizations. | この NIST SP 800-171 の更新は、1 年以上にわたるデータ収集、技術分析、顧客との対話、再設計、および管理下非分類情報(CUI)の保護に関するセキュリティ要件とそのサポート情報の開発に相当する。技術的および非技術的な要件が明確かつ簡潔に記述され、かつ連邦および非連邦組織の特定のニーズを認識するために、多くのトレードオフが行なわれた。 |
Significant changes NIST SP 800-171, Revision 3 include: | NIST SP 800-171 改訂 3 版の主な変更点は以下の通りである: |
1. Updates to the security requirements and families to reflect updates in NIST SP 800-53, Revision 5 and the NIST SP 800-53B moderate control baseline | 1. NIST SP 800-53, Revision 5およびNIST SP 800-53Bの中程度のコントロールベースラインの更新を反映した、セキュリティ要件およびファミリーの更新。 |
2. Updated tailoring criteria | 2. テーラリング基準の更新 |
3. Increased specificity for security requirements to remove ambiguity, improve the effectiveness of implementation, and clarify the scope of assessments | 3. セキュリティ要件の具体性を高め、曖昧さをなくし、実装の有効性を向上させ、評価範囲を明確にした。 |
4. Introduction of organization-defined parameters (ODP) in selected security requirements to increase flexibility and help organizations better manage risk | 4. 一部のセキュリティ要件に組織定義パラメータ(ODP)を序文化し、柔軟性を高め、組織がリスクをより適切に管理できるようにした。 |
5. A prototype CUI overlay | 5. CUIオーバーレイのプロトタイプ |
Additional files include an FAQ, a detailed analysis of the changes between Revision 2 and Revision 3, and a prototype CUI Overlay. | 追加ファイルには、FAQ、Revision 2とRevision 3の間の変更点の詳細な分析、CUIオーバーレイのプロトタイプが含まれている。 |
NIST will also host a webinar on June 6, 2023 to provide an overview of the significant changes to SP 800-171, Revision 3. Registration information will be announced separately through a GovDelivery announcement and on the Protecting CUI project site. | また、NISTは2023年6月6日に、SP 800-171, Revision 3の重要な変更点の概要を説明するウェビナーを開催する予定である。登録情報は、GovDeliveryのアナウンスやProtecting CUIプロジェクトのサイトを通じて別途、案内する。 |
Submit Your Comments | コメントの提出 |
... | ... |
Abstract | 概要 |
The protection of Controlled Unclassified Information (CUI) resident in nonfederal systems and organizations is of paramount importance to federal agencies and can directly impact the ability of the Federal Government to successfully conduct its essential missions and functions. This publication provides agencies with recommended security requirements for protecting the confidentiality of CUI when the information is resident in nonfederal systems and organizations, when the nonfederal organization is not collecting or maintaining information on behalf of a federal agency or using or operating a system on behalf of an agency, and where there are no specific safeguarding requirements for protecting the confidentiality of CUI prescribed by the authorizing law, regulation, or governmentwide policy for the CUI category listed in the CUI Registry. The requirements apply to components of nonfederal systems that process, store, or transmit CUI or that provide protection for such components. The security requirements are intended for use by federal agencies in contractual vehicles or other agreements established between those agencies and nonfederal organizations. | 非連邦政府組織およびシステムにおける管理対象非機密情報(CUI)の保護は、連邦政府機関にとって最も重要であり、連邦政府がその重要な任務や機能を正常に遂行する能力に直接影響を与える可能性がある。本書は、情報が連邦政府以外のシステムおよび組織に常駐し、連邦政府以外の組織が連邦政府機関のために情報を収集または管理しておらず、連邦政府機関のためにシステムを使用または運用しておらず、CUIレジストリに記載されているCUIカテゴリに対して、認可法、規則、または政府全体の方針によって規定されているCUIの機密性を保護するための特定の保護要件がない場合に、CUIの機密性を保護するための推奨セキュリティ要件を機関に提供する。要件は、CUIを処理、保存、または送信する連邦政府以外のシステムのコンポーネント、またはそのようなコンポーネントに保護を提供するコンポーネントに適用されます。セキュリティ要件は、連邦機関が、連邦機関と非連邦機関との間で締結された契約書またはその他の協定で使用することを目的としている。 |
・[PDF] SP 800-171 Rev. 3 (Draft)
目次と表...
Table of Contents | 目次 |
1. Introduction | 1. 序文 |
1.1 Purpose and Applicability | 1.1 目的と適用範囲 |
1.2 Organization of This Publication | 1.2 本書の構成 |
2. The Fundamentals | 2. 基本的な考え方 |
2.1 Basic Assumptions | 2.1 基本的な前提条件 |
2.2 Security Requirement Development Methodology | 2.2 セキュリティ要求の開発手法 |
3. The Requirements | 3. 要求事項 |
3.1 Access Control | 3.1 アクセス制御 |
3.2 Awareness and Training | 3.2 意識向上および君んレン |
3.3 Audit and Accountability | 3.3 監査および説明責任 |
3.4 Configuration Management | 3.4 構成管理 |
3.4 Identification and Authentication | 3.4 識別および認証 |
3.6 Incident Response | 3.6 インシデント対応 |
3.7 Maintenance | 3.7 メンテナンス |
3.8 Media Protection | 3.8 媒体保護 |
3.9 Personnel Security | 3.9 職員のセキュリティ |
3.10 Physical Protection | 3.10 物理的保護 |
3.11 Risk Assessment | 3.11 リスクアセスメント |
3.12 Security Assessment and Monitoring | 3.12 セキュリティアセスメントとモニタリング |
3.13 System and Communications Protection | 3.13 システムおよび通信の保護 |
3.14 System and Information Integrity | 3.14 システムおよび情報の完全性 |
3.15 Planning | 3.15 計画 |
3.16 System and Services Acquisition | 3.16 システムおよびサービスの取得 |
3.17 Supply Chain Risk Management | 3.17 サプライチェーンリスクマネジメント |
References | 参考文献 |
Appendix A. Acronyms | 附属書A. 頭字語 |
Appendix B. Glossary | 附属書B. 用語集 |
Appendix C. Tailoring Criteria | 附属書C. テーラリング基準 |
Appendix D. Change Log | 附属書D. 変更履歴 |
List of Tables | 表の一覧 |
Table 1. Security requirement families | 表1. セキュリティ要件ファミリー |
Table 2. Tailoring criteria and associated symbols | 表2. テーラリング基準および関連するシンボル |
Table 3. Access Control | 表3. アクセス制御 |
Table 4. Awareness and Training | 表4. 意識向上および訓練 |
Table 5. Audit and Accountability | 表5. 監査および説明責任 |
Table 6. Assessment, Authorization, and Monitoring | 表6. 評価・認可・監視 |
Table 7. Configuration Management | 表7. 構成管理 |
Table 8. Contingency Planning | 表8. コンティンジェンシー・プランニング |
Table 9. Identification and Authentication | 表9. 識別と認証 |
Table 10. Incident Response | 表10. インシデント対応 |
Table 11. Maintenance | 表11. メンテナンス |
Table 12. Media Protection | 表12. 媒体保護 |
Table 13. Physical and Environmental Protection | 表13. 物理的および環境的な保護 |
Table 14. Planning | 表14. 計画 |
Table 15. Program Management | 表15. プログラム管理 |
Table 16. Personnel Security | 表16. 職員のセキュリティ |
Table 17. PII Processing and Transparency | 表17. PIIの処理と透明性 |
Table 18. Risk Assessment | 表18. リスクアセスメント |
Table 19. System and Services Acquisition | 表19. システムおよびサービスの取得 |
Table 20. System and Communications Protection | 表20. システムおよび通信の保護 |
Table 21. System and Information Integrity | 表21. システムおよび情報の完全性 |
Table 22. Supply Chain Risk Management | 表22. サプライチェーンリスクマネジメント |
Table 23. Change Log | 表23. 変更履歴 |
Note to Reviewers | レビューアへの注意 |
This update to NIST Special Publication (SP) 800-171 represents over one year of data collection, technical analysis, customer interaction, redesign, and development of the security requirements and supporting information for the protection of Controlled Unclassified Information (CUI). Many trade-offs have been made to ensure that the technical and nontechnical requirements have been stated clearly and concisely, while at the same time recognizing the specific needs of both federal and nonfederal organizations. The following provides a summary of the significant changes that have been made to NIST SP 800-171 in transitioning from Revision 2 to Revision 3: | この NIST Special Publication (SP) 800-171 の更新は、1 年以上にわたるデータ収集、技術分析、顧客との対話、再設計、および管理対象非機密情報 (CUI) の保護に関するセキュリティ要件とサポート情報の開発を表している。技術的および非技術的な要件が明確かつ簡潔に記述されると同時に、連邦および非連邦組織の特定のニーズを認識するために、多くのトレードオフが行われた。以下は、NIST SP 800-171 が改訂 2 から改訂 3 に移行する際に行われた重要な変更の概要である: |
• Streamlined introductory information in Section 1 and Section 2 to improve clarity and customer understanding | ・セクション 1 とセクション 2 の導入情報を簡素化し、明確性と利用者の理解度を向上させた。 |
• Modified the security requirements and families in Section 3 to reflect the controls in the NIST SP 800-53B [13] moderate baseline and the tailoring actions in Appendix C | ・NIST SP 800-53B [13]の中程度のベースラインの管理及び附属書Cのテーラリングアクションを反映させるため、セクション3のセキュリティ要件及びファミリーを変更した。 |
• Eliminated the distinction between basic and derived security requirements | ・基本的なセキュリティ要件と派生的なセキュリティ要件の区別をなくした。 |
• Increased the specificity of security requirements to remove ambiguity, improve the effectiveness of implementation, and clarify the scope of assessments | ・セキュリティ要件の具体性を高め,曖昧さをなくし,実装の有効性を向上させ,評価の範囲を明確にした。 |
• Introduced organization-defined parameters (ODP) in selected security requirements to increase flexibility and help organizations better manage risk | ・一部のセキュリティ要件に組織定義パラメータ(ODP)を導入し、柔軟性を高め、組織がリスクをより適切に管理できるようにした。 |
• Grouped security requirements, where possible, to improve understanding and efficiency of implementation and assessments | ・可能な限りセキュリティ要件をグループ化し,理解度を高め,実装と評価の効率を向上させた。 |
• Removed outdated and redundant security requirements | ・時代遅れの冗長なセキュリティ要求事項を削除した |
• Added titles to security requirements | ・セキュリティ要件にタイトルを追加した |
• Introduced a new tailoring category, Not Applicable (NA) | ・新しいテーラリングカテゴリ「該当しない(NA)」を導入した。 |
• Recategorized selected controls in the NIST SP 800-53B moderate baseline (using the tailoring criteria in Appendix C) | ・NIST SP 800-53B 中程度基準における選択した管理項目を再分類した(附属書 C のテーラーリング基準を使用) |
• Recast the security requirements, where possible, for consistency with the security control language in NIST SP 800-53 | ・NIST SP 800-53のセキュリティ管理言語との整合性を図るため、可能な限りセキュリティ要求事項を再構成した。 |
• Developed a prototype CUI overlay that expresses security requirements using the tailored security controls in NIST SP 800-53 | ・NIST SP 800-53の調整されたセキュリティ管理を使用して、セキュリティ要件を表現するCUIオーバーレイのプロトタイプを作成した。 |
• Revised the structure of the References, Acronyms, and Glossary sections for greater clarity and ease of use | ・参考文献,略語,及び用語集セクションの構造を,より明確で使いやすいものに改訂した。 |
• Revised the tailoring table in Appendix C for consistency with the changes to the security requirements | ・セキュリティ要件の変更に伴い、附属書 C のテーラリングテーブルを改訂した。 |
• Transitioned the mapping tables formerly resident in Appendix D of NIST SP 800-171, Revision 2 to the publication details web page along with other supporting material | ・NIST SP 800-171改訂2版の附属書Dに掲載されていたマッピング表を、その他の資料とともに出版物の詳細ウェブページに移行した。 |
Information regarding the transition of security requirements from NIST SP 800-171, Revision 2 to Revision 3 can be found on the publication details web page. | NIST SP 800-171, Revision 2 から Revision 3 へのセキュリティ要件の移行に関する情報は、Publishing Details Web Page に記載されている。 |
NIST is specifically interested in comments, feedback, and recommendations for the following topics: | NISTは、特に以下のトピックに関するコメント、フィードバック、および推奨を希望している: |
• Re-categorized controls (e.g., controls formerly categorized as NFO) | ・再分類された管理(例:以前はNFOに分類されていた管理)。 |
• Inclusion of organization-defined parameters (ODP) | ・組織で定義されたパラメータ(ODP)の組み込み |
• Prototype CUI overlay | ・CUIオーバーレイのプロトタイプ |
Reviewers are encouraged to comment on all or parts of draft NIST SP 800-171, Revision 3. | レビュアーは、NIST SP 800-171改訂3版の全部または一部についてコメントすることが推奨される。 |
NIST requests that all comments be submitted to 800-171comments@list.nist.gov by 11:59 PM Eastern Time on July 14, 2023. Commenters are encouraged to use the comment template provided with the document announcement. | NISTは、すべてのコメントを2023年7月14日東部時間午後11時59分までに 800-171comments@list.nist.gov に提出するよう求めている。コメント提出者は、文書発表時に提供されたコメントテンプレートを使用することが推奨されます。 |
Comments received in response to this request will be posted on the Protecting CUI project site after the due date. Submitters’ names and affiliations (when provided) will be included, while contact information will be removed. | この要請に応じて寄せられたコメントは、期限後にProtecting CUIプロジェクトのサイトに掲載される予定である。提出者の名前と所属(提供されている場合)は含まれますが、連絡先情報は削除されます。 |
補足情報l:
・[XLSX] Comment template
・[PDF] FAQ
・[XLSX] Change analysis (Rev. 2 to Rev. 3 ipd)
・[XLSX] Prototype CUI Overlay
・[Web] Protecting CUI project
・[Web] NIST news article
● まるちゃんの情報セキュリティ気まぐれ日記
・2022.07.21 NIST SP 800-171 Rev. 3 (ドラフト) 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護の作成に向けた意見募集
・2022.03.18 NIST SP 800-172A 管理対象非機密情報に対する強化版セキュリティ要件の評価
・2022.01.27 NIST SP 800-53A Rev. 5 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価
・2021.11.07 米国 DoD サイバーセキュリティ成熟度モデル認証(CMMC)プログラムの戦略的方向性 - CMMC2.0
・2021.08.06 NIST SP 800-53A Rev. 5 (Draft) 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価
・2021.07.19 IPA NIST文書SP800-53 rev.5「組織と情報システムのためのセキュリティおよびプライバシー管理策」及びSP800-53B「組織と情報システムのための管理策ベースライン」の翻訳版を公開
・2021.04.28 NIST SP 800-172A 管理対象非機密情報 (CUI) に対する強化版セキュリティ要件の評価
・2020.10.30 NIST SP 800-53B Control Baselines for Information Systems and Organizations 情報システムと組織のコントロールベースライン
・2020.10.02 米国国防省がCMMCの暫定規則(DFARS Case 2019-D041)を公表し、意見募集を行っています
・2020.09.24 NIST SP 800-53 Rev. 5 Security and Privacy Controls for Information Systems and Organizations
・2020.08.01 NIST SP 800-53B (Draft) Control Baselines for Information Systems and Organizations
・2020.03.31 CMMC概要 An Introduction to the Cybersecurity Maturity Model Certification (CMMC)
・2020.03.09 Cybersecurity Maturity Model Certification (CMMC) Version 1.0
少し前...
・2012.03.01 NIST Draft SP 800-53 Rev. 4 Security and Privacy Controls for Federal Information Systems and Organizations
・2011.07.22 NIST Draft SP 800-53 Appendix J DRAFT Privacy Control Catalog
・2010.05.10 NIST SP800-53関係の情報
« 米国 NIST 意見募集 NISTIR 8450(ドラフト) 属性暗号に基づくアクセス制御の概要と留意点 | Main | 中国 意見募集 国家標準 情報セキュリティ技術 - 端末型コンピュータの一般的なセキュリティ技術仕様 (2023.05.05) »
Comments