米国 NIST IR 8477(初公開ドラフト):文書標準、規制、フレームワーク、ガイドライン間の関係をマッピングする: サイバーセキュリティとプライバシーの概念マッピングの開発
こんにちは、丸山満彦です。
・2023.08.17 Cybersecurity and Privacy Mapping Guide: Draft NIST IR 8477 Available for Comment
| Cybersecurity and Privacy Mapping Guide: Draft NIST IR 8477 Available for Comment | サイバーセキュリティとプライバシーのマッピングガイド: NIST IR 8477ドラフト、コメント募集中 |
| NIST has released the initial public draft (ipd) of a new report for public comment: NIST Internal Report (IR) 8477 ipd, Mapping Relationships Between Documentary Standards, Regulations, Frameworks, and Guidelines: Developing Cybersecurity and Privacy Concept Mappings. | NISTは、新しい報告書の初公開ドラフト(ipd)を公開し、パブリックコメントを求めている: NIST内部報告 (IR) 8477 ipd: サイバーセキュリティとプライバシーの概念マッピングを開発する。 |
| Understanding how the elements of diverse sources of cybersecurity and privacy content are related to each other is an ongoing challenge for people in nearly every organization. This document explains NIST’s proposed approach for identifying and documenting relationships between concepts such as controls, requirements, recommendations, outcomes, technologies, functions, processes, techniques, roles, and skills. | サイバーセキュリティとプライバシーの内容の多様な情報源の要素が互いにどのように関連しているかを理解することは、ほとんどすべての組織の人々にとって継続的な課題である。この文書では、コントロール、要求事項、勧告、成果、技術、機能、プロセス、技術、役割、スキルなどの概念間の関係を特定し、文書化するための NIST の提案するアプローチを説明する。 |
| NIST intends for the approach to be used for mapping relationships involving NIST cybersecurity and privacy publications that will be submitted to NIST’s National Online Informative References (OLIR) Program for hosting in NIST’s online Cybersecurity and Privacy Reference Tool (CPRT). This will include mapping the equivalent of the NIST Cybersecurity Framework’s (CSF) 1.1 Informative References in support of CSF 2.0. | NIST は、NIST のオンラインサイバーセキュリティ・プライバシー参照ツール(CPRT)に掲載するために、NIST の全国オンライン情報参考文献(OLIR)プログラムに提出される NIST のサイバーセキュリティおよびプライバシーに関する出版物に関係する関係をマッピングするために、このアプローチを使用することを意図している。これには、NIST のサイバーセキュリティフレームワーク(CSF)1.1 に相当する参考文献を CSF2.0 に対応させることも含まれる。 |
| By following this approach, NIST and others in the cybersecurity and privacy standards community can jointly establish a single concept system over time that links cybersecurity and privacy concepts from many sources into a cohesive, consistent set of relationship mappings. The mappings can then be used by different audiences to better describe the interrelated aspects of the global cybersecurity and privacy corpus. | このアプローチに従うことで、NIST とサイバーセキュリティとプライバシーの標準コミュニティの他の人々は、多くのソースからのサイバーセキュリティとプライバシーの概念を、まとまりのある一貫した一連の関係マッピングに結びつける単一の概念体系を、時間をかけて共同で確立することができる。このマッピングは、グローバルなサイバーセキュリティとプライバシーのコーパスの相互に関連する側面をよりよく記述するために、さまざまな想定読者が使用することができる。 |
| NIST IR 8477 (Initial Public Draft) : Mapping Relationships Between Documentary Standards, Regulations, Frameworks, and Guidelines: Developing Cybersecurity and Privacy Concept Mappings | NIST IR 8477(初公開ドラフト):文書標準、規制、フレームワーク、ガイドライン間の関係をマッピングする: サイバーセキュリティとプライバシーの概念マッピングの開発 |
| Announcement | 発表 |
| Understanding how the elements of diverse sources of cybersecurity and privacy content are related to each other is an ongoing challenge for people in nearly every organization. This document explains NIST’s proposed approach for identifying and documenting relationships between concepts such as controls, requirements, recommendations, outcomes, technologies, functions, processes, techniques, roles, and skills. | サイバーセキュリティとプライバシーに関する多様な情報源の要素が互いにどのように関連しているかを理解することは、ほとんどすべての組織の人々にとって継続的な課題である。この文書では、コントロール、要求事項、勧告、成果、技術、機能、プロセス、技術、役割、スキルなどの概念間の関係を特定し、文書化するための NIST の提案するアプローチを説明する。 |
| NIST intends for the approach to be used for mapping relationships involving NIST cybersecurity and privacy publications that will be submitted to NIST’s National Online Informative References (OLIR) Program for hosting in NIST’s online Cybersecurity and Privacy Reference Tool (CPRT). This will include mapping the equivalent of the NIST Cybersecurity Framework’s (CSF) 1.1 Informative References in support of CSF 2.0. | NIST は、NIST のオンラインサイバーセキュリティ・プライバシー参照ツール(CPRT)に掲載するために、NIST の オンライン情報参考文献(OLIR)プログラムに提出される NIST のサイバーセキュリティおよびプライバシーに関する出版物に関係する関係をマッピングするために、このアプローチを使用することを意図している。これには、NIST のサイバーセキュリティフレームワーク(CSF)1.1 に相当する参考文献を CSF2.0 に対応させることも含まれる。 |
| By following this approach, NIST and others in the cybersecurity and privacy standards community can jointly establish a single concept system over time that links cybersecurity and privacy concepts from many sources into a cohesive, consistent set of relationship mappings. The mappings can then be used by different audiences to better describe the interrelated aspects of the global cybersecurity and privacy corpus. | このアプローチに従うことで、NIST とサイバーセキュリティとプライバシーの標準コミュニティの他の人々は、多くのソースからのサイバーセキュリティとプライバシーの概念を、まとまりのある一貫した一連の関係マッピングに結びつける単一の概念体系を、時間をかけて共同で確立することができる。このマッピングは、グローバルなサイバーセキュリティとプライバシーのコーパスの相互に関連する側面をよりよく記述するために、さまざまな想定読者が使用することができる。 |
| Abstract | 概要 |
| This document describes an approach that NIST would use and other parties could use for mapping the elements of documentary standards, regulations, frameworks, and guidelines to NIST publications, such as CSF Subcategories or SP 800-53r5 controls. NIST intends for this approach to be used for future mappings involving NIST cybersecurity and privacy publications that will be submitted via the NIST National Online Informative References (OLIR) process for hosting on NIST’s online Cybersecurity and Privacy Reference Tool (CPRT). By following this approach, NIST and others in the cybersecurity and privacy standards community can jointly establish a single concept system over time that links cybersecurity and privacy concepts from many sources into a cohesive, consistent set of relationship mappings within the NIST CPRT. The approach is informed by concept system and terminology standards, as well as experience with what information the cybersecurity and privacy community would find most valuable. | 本文書は、文書化された標準、規制、フレームワーク、およびガイドラインの要素を、CSF サブカテゴリーや SP 800-53r5 コントロールのような NIST の出版物にマッピングするために、NIST が使用し、他の関係者が使用できるアプローチについて記述している。NIST は、NIST 全国オンライン情報参考文献(OLIR)プロセスを通じて提出され、NIST のオンライン・サイバーセキュリティ・プライバシー・リファレンス・ツール(CPRT)でホストされる NIST のサイバーセキュリティとプライバシーの出版物を含む将来のマッピングに、このアプローチが使用されることを意図している。このアプローチに従うことで、NIST とサイバーセキュリティとプライバシーの標準化コミュニティの他の関係者は、多くの情報源からのサイバーセキュリティとプライバシーの概念を NIST CPRT 内のまとまりのある一貫した一連の関係マッピングにリンクさせる単一の概念体系を、時間をかけて共同で確立することができる。このアプローチは、概念体系と用語の標準に加え、サイバーセキュリティとプライバシーのコミュニティがどのような情報に最も価値を見出すかについての経験に基づいている。 |
・[PDF] NIST.IR.8477.ipd
目次と表...
| Executive Summary | エグゼクティブサマリー |
| 1. Introduction | 1. 序文 |
| 1.1. Purpose and Scope | 1.1. 目的と範囲 |
| 1.2. Related Work | 1.2. 関連作業 |
| 1.3. Publication Structure | 1.3. 出版構成 |
| 2. Concept Mapping Approach Overview | 2. 概念マッピング・アプローチの概要 |
| 3. Identify and Document Use Cases for the Mapping | 3. マッピングのユースケースの識別と文書化 |
| 4. Choose a Concept Relationship Style | 4. 概念関係のスタイルを選択する |
| 4.1. Concept Crosswalk | 4.1. 概念クロスウォーク |
| 4.2. Supportive Relationship Mapping | 4.2. サポート関係マッピング |
| 4.3. Set Theory Relationship Mapping | 4.3. セットセオリー関係マッピング |
| 4.4. Structural Relationship Mapping | 4.4. 構造的関係マッピング |
| 4.5. Custom | 4.5. カスタム |
| 4.6. Using Mappings With Different Relationship Styles | 4.6. 異なるリレーションシップスタイルでマッピングを使用する |
| 5. Evaluate Concept Pairs and Document Their Relationships | 5. 概念ペアを評価し、その関係を文書化する |
| 6. Next Steps | 6. 次のステップ |
| References | 参考文献 |
| Appendix A. Glossary | 附属書A. 用語集 |
| List of Tables | 表 |
| Table 1. Notional documentation of assumptions | 表1. 前提条件の想定文書 |
| Table 2. Concept relationship styles | 表2. 概念関係のスタイル |
| Table 3. Supportive relationship mapping examples from SP 1800-36 Vol. E | 表3. SP 1800-36 Vol.Eからの支援関係マッピングの例 |
| Table 4. Supportive relationship mapping examples from SP 1800-35 Vol. E | 表4. SP 1800-35 Vol.Eからの支援関係マッピング例 |
| Table 5. Set theory relationship mapping example from OLIR repository | 表5. OLIRリポジトリからの集合論的関係マッピング例 |
| Table 6. Notional example of parent-child relationships | 表6. 親子関係の想定例 |
| Table 7. Converting set theory relationships to supportive relationships | 表7. 集合論の関係を支持関係に変換する |
エグゼクティブサマリー...
| Executive Summary | エグゼクティブサマリー |
| Understanding how the elements of diverse cybersecurity and privacy standards, regulations, frameworks, guidelines, and other content are related to each other is an ongoing challenge for people at nearly every organization. It can be time-consuming and difficult to answer questions like: | 多様なサイバーセキュリティとプライバシーの標準、規制、フレームワーク、ガイドライン、その他のコンテンツの要素が互いにどのように関連しているかを理解することは、ほとんどすべての組織の人々にとって継続的な課題である。次のような質問に答えるには、時間がかかり、困難な場合がある: |
| • How does conforming to one standard help the organization conform to another standard? What parts of the second standard does the first standard fail to address? | ・ある標準に適合することは、その組織が別の標準に適合することにどのように役立つのか?ある標準に適合することは、その組織が別の標準に適合することにどのように役立つのか? |
| • Where can we find more information on how to satisfy a particular requirement in a guideline? What types of technologies can we use, and what types of skills do the implementers need to have? | ・あるガイドラインの特定の要求事項を満たす方法について,詳しい情報はどこにあるのか?どのような種類の技術を使うことができ,実装者にはどのような種類のスキルが必要なのか? |
| • If we want to conform to a particular standard, what types of cybersecurity capabilities do our technology product and service providers need to support? | ・特定の標準に適合させたいのであれば、どのような種類のサイバーセキュリティ機能 を,当社の技術製品及びサービスプロバイダがサポートする必要があるのか。 |
| • If we perform a particular security assessment methodology, what requirements will be sufficiently validated across our compliance portfolio? | ・特定のセキュリティ評価手法を実施する場合、どのような要件が当社のコンプライ アンス・ポートフォリオ全体で十分に検証されることになるのか。 |
| • What recommendations substantially changed from a guideline’s previous version to its current version? | ・ガイドラインの旧版と現行版とで、どのような推奨事項が大幅に変更されたのか。 |
| • What security and privacy controls must be in place before we adopt a new technology? | ・新しい技術を採用する前に、どのようなセキュリティ管理及びプライバシー管理を実施しなければならないか。 |
| This document explains NIST’s proposed approach for identifying and documenting the relationships between concepts in cybersecurity and privacy, such as how the concepts of a NIST or third-party standard or guideline relate to the concepts of a foundational NIST publication like the Cybersecurity Framework (CSF) or NIST Special Publication (SP) 800-53. There are many possible concept types, including controls, requirements, recommendations, outcomes, technologies, functions, processes, techniques, roles, and skills. NIST intends to use this approach for mapping relationships involving NIST cybersecurity and privacy publications that will be submitted via NIST’s National Online Informative References (OLIR) Program for hosting in NIST’s online Cybersecurity and Privacy Reference Tool (CPRT). This will include mapping the equivalent of CSF 1.1’s Informative References in support of CSF 2.0. Third parties choosing to contribute mappings to OLIR for CPRT hosting would also need to use the approach in the future. | この文書では、サイバーセキュリティとプライバシーの概念間の関係を特定し、文書化するための NIST の提案アプローチを説明する。例えば、NIST やサードパーティの標準やガイドラインの概念が、サイバーセキュリティフレームワーク(CSF)や NIST 特別刊行物(SP)800-53 のような NIST の基本的な刊行物の概念とどのように関連しているかなどである。概念には、管理、要件、推奨、成果、技術、機能、プロセス、技術、役割、スキルなど、多くの種類が考えられる。NIST は、NIST のオンライン・サイバーセキュリティ・プライバシー・リファレンス・ツール(CPRT)に掲載するために、NIST の全国オンライン情報参照(OLIR)プログラムを通じて提出される NIST のサイバーセキュリティとプライバシーの出版物に関係する関係をマッピングするために、このアプローチを使用する予定である。これには、CSF 2.0 をサポートするために、CSF 1.1 の参考情報に相当するマッピングが含まれる。CPRT ホスティングのために OLIR にマッピングを提供することを選択したサードパーティも、将来はこのアプローチを使用する必要がある。 |
| By following this approach, NIST and others in the cybersecurity and privacy standards community can jointly establish a single concept system over time that links cybersecurity and privacy concepts from many sources into a cohesive, consistent set of relationship mappings within the NIST CPRT. The mappings can then be used by different audiences to better describe the interrelated aspects of the global cybersecurity and privacy corpus. | このアプローチに従うことにより、NIST 及びサイバーセキュリティとプライバシーの標準コミュニティの他の関係者は、NIST CPRT 内で、多くの情報源からのサイバーセキュリティとプライバ シーの概念を首尾一貫した一連の関係マッピングにリンクする単一の概念体系を、長期にわたっ て共同で確立することができる。このマッピングは、グローバルなサイバーセキュリティとプライバシーのコーパスの相互に関連する側面をよりよく記述するために、さまざまな想定読者が使用することができる。 |
参考
● NIST
全国オンライン情報参考文献 (OLIR)プログラム
・National Online Informative References Program OLIR
PDFからの解放...
サイバーセキュリティとプライバシーリファレンスツール CPRT
Comments