NIST SP 800-55 第1巻(初期ドラフト) 情報セキュリティのための測定ガイド:第1巻 - 措置の識別と選択、第2巻 - 情報セキュリティ測定プログラムの策定 (2024.01.17)
こんにちは、丸山満彦です。
NISTが、NIST SP 800-55 第1巻(初期ドラフト) 情報セキュリティのための測定ガイド:
- 第1巻 - 措置の識別と選択
- 第2巻 - 情報セキュリティ測定プログラムの策定
の改訂版の初期ドラフトを公開し、意見募集をしていますね。。。
リスクアセスメントについては、リスクマネジメントの一環として、金融のリスクも併せて勉強していたことはあるのですが、情報セキュリティ分野に信用リスクのような定量的なリスク分析を持ち込むのは難しいと思い、一旦横においていたのですが...ゆるい定量リスクということであれば、直感的なリスクよりも、すこしはましだろうとは思っているので、これを機会に勉強をしておこうかな。。。
第1巻 - 措置の識別と選択
- 情報セキュリティ対策の策定、選択、優先順位付けに対する柔軟なアプローチ。
- 定量的評価と定性的評価の両方を検討し、データ分析手法や影響度・尤度モデリングに関する基本的なガイダンスを提供する。
第2巻 - 情報セキュリティ測定プログラムの策定
- 情報セキュリティ測定プログラムの構造を策定し、実施するための方法論
● NIST - ITL
・[PDF] SP.800-55v1.ipd
目次...
| 1. Introduction | 1. 序文 |
| 1.1. Purpose and Scope | 1.1. 目的と範囲 |
| 1.2. Relationship to Other NIST Publications | 1.2. 他のNIST出版物との関係 |
| 1.3. Document Organization | 1.3. 文書の構成 |
| 1.4. Document Terminology | 1.4. 文書の用語 |
| 2. Fundamentals | 2. 基礎知識 |
| 2.1. Types of Assessment | 2.1. アセスメントの種類 |
| 2.2. Benefits of Using Measures | 2.2. メジャーを使用する利点 |
| 2.3. Measurement and Quantitative Assessment | 2.3. 測定と定量的評価 |
| 2.4. Measurement Considerations | 2.4. 測定に関する考慮事項 |
| 2.4.1. Measures Documentation | 2.4.1. 対策の文書化 |
| 2.4.2. Data Management | 2.4.2. データ管理 |
| 2.4.3. Data Quality | 2.4.3. データの質 |
| 2.4.4. Uncertainty and Errors | 2.4.4. 不確実性とエラー |
| 2.5. Metrics | 2.5. 指標 |
| 3. Selecting and Prioritizing Measures | 3. 尺度の選択と優先順位付け |
| 3.1. Identification and Definition | 3.1. 識別と定義 |
| 3.2. Types of Measures | 3.2. 対策の種類 |
| 3.2.1. Implementation Measures | 3.2.1. 実施対策 |
| 3.2.2. Effectiveness Measures | 3.2.2. 効果測定 |
| 3.2.3. Efficiency Measures | 3.2.3. 効率対策 |
| 3.2.4. Impact Measures | 3.2.4. インパクト対策 |
| 3.2.5. Comparing Measures and Assessment Results | 3.2.5. 対策と評価結果の比較 |
| 3.3. Prioritizing Measures | 3.3. 対策の優先順位付け |
| 3.3.1. Likelihood and Impact Modeling | 3.3.1. 可能性と影響のモデリング |
| 3.3.2. Weighing Scale | 3.3.2. 計量尺度 |
| 3.4. Evaluating Methods for Supporting Continuous Improvement | 3.4. 継続的改善を支援する方法の評価 |
| References | 参考文献 |
| Appendix A. Glossary | 附属書A. 用語集 |
| Appendix B. Data Analysis Dictionary | 附属書B. データ分析辞典 |
| B.1. Bayesian Methodology | B.1. ベイズの方法論 |
| B.2. Classical Data Analysis | B.2. 古典的データ分析 |
| B.3. Exploratory Data Analysis | B.3. 探索的データ分析 |
| Appendix C. Modeling Impact and Likelihood | 附属書C.影響と尤度のモデル化 |
| C.1. Bayesian Methodology | C.1. ベイズ法 |
| C.2. Monte Carlo Methodology | C.2. モンテカルロ法 |
| C.3. Time Series Analysis | C.3. 時系列分析 |
| C.4. Value at Risk | C.4. バリュー・アット・リスク |
| Appendix D. Change Log | 附属書D. 変更記録 |
・[PDF] SP.800-55v2.ipd
目次...
| 1. Introduction | 1. 序文 |
| 1.1. Purpose and Scope | 1.1. 目的と範囲 |
| 1.2. Relationship to Other Publications | 1.2. 他の出版物との関係 |
| 1.3. Document Organization | 1.3. 文書の構成 |
| 1.4. Document Terminology | 1.4. 文書の用語 |
| 2. Fundamentals | 2. 基礎知識 |
| 2.1. Measurement Program Benefits | 2.1. 測定プログラムの利点 |
| 2.2. Program Scope | 2.2. プログラムの範囲 |
| 2.3. Foundations for a Successful Information Security Measurement Program | 2.3. 情報セキュリティ測定プログラムを成功させるための基盤 |
| 2.4. Roles and Responsibilities | 2.4. 役割と責任 |
| 2.5. Programmatic Value of Metrics | 2.5. 測定基準のプログラム上の価値 |
| 2.6. Aggregation and Communication | 2.6. 集計とコミュニケーション |
| 2.7. Measurement Program Considerations | 2.7. 測定プログラムに関する考察 |
| 2.7.1. Organizational Considerations | 2.7.1. 組織上の考慮事項 |
| 2.7.2. Manageability | 2.7.2. 管理可能性 |
| 2.7.3. Data Management Concerns | 2.7.3. データ管理に関する懸念 |
| 3. Information Security Measurement Program | 3. 情報セキュリティ測定プログラム |
| 3.1. Evaluation and Definition of the Existing Security Program | 3.1. 既存のセキュリティ・プログラムの評価と定義 |
| 3.1.1. Gathering Stakeholder Input | 3.1.1. 利害関係者の意見の収集 |
| 3.1.2. Goals and Objectives | 3.1.2. 目標と目的 |
| 3.1.3. Information Security Policies, Procedures, and Guidelines | 3.1.3. 情報セキュリティ方針、手順、ガイドライン |
| 3.1.4. Evaluating Current Implementation | 3.1.4. 現在の実施状況の評価 |
| 3.2. Identify and Prioritize Measures | 3.2. 対策の識別と優先順位付け |
| 3.3. Identify and Prioritize Measures | 3.3. 対策の識別と優先順位付け |
| 3.3.1. Identify and Prioritize Measures | 3.3.1. 対策の識別と優先順位付け |
| 3.3.2. Identify Corrective Actions | 3.3.2. 是正措置の識別 |
| 3.3.3. Apply Corrective Actions | 3.3.3. 是正措置の適用 |
| References | 参考文献 |
| Appendix A. Glossary | 附属書A. 用語集 |
| Appendix B. Change Log | 附属書 B. 変更記録 |
Fig. 2. Information security measurement program workflow
« Atlantic Council 2024年の世界予測 - 今年のトップリスクと機会、6つの注目すべきこと、10年後の世界 | Main | ドイツ 連邦情報セキュリティー局 BSI 強化学習のセキュリティ概要 (2024.01.16) »
Comments