« 能登半島地震 震度7 そして羽田空港での事故 そしてSNS | Main | 金融庁 カルテル 大手損害保険会社に対する行政処分 (2023.12.26) +ビッグモーター案件 »

2024.01.03

米国 国防総省 パブコメ サイバーセキュリティ成熟度認証規則案 (2023.12.26)

こんにちは、丸山満彦です。

米国国防総省がサイバーセキュリティ成熟度認証規則案 (CMMC 2.0) に対する意見募集すると発表していますね。。。すでにいくつかのコメントが掲載されていますね。。。

 

また、この規則案と同時に、

・8つのCMMC文書

  1. CMMC_Model_Overview
  2. CMMC_Assessment_Guide_Level1
  3. CMMC_Assessment_Guide_Level2
  4. CMMC_Assessment_Guide_Level3
  5. CMMC_Scoping_Guide_Level1
  6. CMMC_Scoping_Guide_Level2
  7. CMMC_Scoping_Guide_Level3
  8. CMMC_Hashing_Guide

についても意見募集をしています。。。

CMMCのウェブページはこちら。。。

 

米国は軍事的な防衛といえば、軍隊だけでなく、装備品をつくる産業全体、輸送を担う輸送業界、開発機関等も含めて考えますから、こういう考え方は昔からありますよね。。。効率的な手法をめぐって混乱したところはありますが。。。

 

まずは、国防総省のプレスから。。。

● U.S. Department of Defense

・2023.12.26 Cybersecurity Maturity Model Certification Program Proposed Rule Published

Cybersecurity Maturity Model Certification Program Proposed Rule Published サイバーセキュリティ成熟度モデル認証プログラムの規則案が公表される
Today, the Department of Defense publishes for a 60-day comment period a proposed rule for the Cybersecurity Maturity Model Certification (CMMC) program at [web] 本日、国防総省は、サイバーセキュリティ成熟度モデル認証(CMMC)プログラムに関する規則案を、[web] で、60日間の意見募集期間として公表した。
CMMC is designed to ensure that defense contractors and subcontractors are compliant with existing information protection requirements for federal contract information (FCI) and controlled unclassified information (CUI) and are protecting that sensitive unclassified information at a level commensurate with the risk from cybersecurity threats, including advanced persistent threats.  CMMCは、防衛請負事業者および下請事業者が、連邦契約情報(FCI)および管理された未分類の情報(CUI)に対する既存の情報保護要件を遵守し、高度持続的脅威を含むサイバーセキュリティの脅威からのリスクに見合ったレベルで機密の未分類の情報を保護していることを確認するために設計されている。
The proposed rule published today revises certain aspects of the program to address public concerns in response to DoD's initial vision for the CMMC 1.0 program, as originally published on Sep. 29, 2020. With its streamlined requirements, the CMMC program now provides for: 本日公表された規則案は、2020年9月29日に公表されたCMMC 1.0プログラムに関するDoDの初期ビジョンに対応するため、一般市民の懸念に対処するためにプログラムの特定の側面を改訂するものである。その合理化された要件により、CMMCプログラムは現在、以下を規定している:
・Simplified compliance by allowing self-assessment for some requirements ・いくつかの要件について自己評価を可能にすることによるコンプライアンスの簡素化
・Priorities for protecting DoD information ・国防総省の情報保護の優先順位
・Reinforced cooperation between the DoD and industry in addressing evolving cyber threats   ・進化するサイバー脅威への対応における国防総省と産業界の協力関係の強化  
As discussed in the proposed rule, CMMC requires cybersecurity assessment at only three levels, starting with basic safeguarding of FCI at CMMC Level 1.  規則案で議論されているように、CMMCは、CMMCレベル1のFCIの基本的な保護から始めて、わずか3つのレベルでのサイバーセキュリティ評価を要求している。
General protection of CUI will require assessment at CMMC Level 2, and a higher level of protection against risk from advanced persistent threats will require assessment at CMMC Level 3.  This rule also adds flexibility by allowing for limited use of Plans of Action and Milestones and a government waiver request process.  DoD estimates overall program costs will be reduced by allowing for self-assessments for Level 1 and some Level 2 assessments and minimizing cost to industry for Level 3 assessments by having Government assessors from Defense Industrial Base Cybersecurity Assessment Center (DIBCAC) conduct these assessments. CUIの一般的な保護にはCMMCレベル2での評価が必要となり、高度な持続的脅威からのリスクに対するより高いレベルの保護にはCMMCレベル3での評価が必要となる。 この規則はまた、行動計画およびマイルストーンの限定的な使用と、政府による権利放棄要求プロセスを許可することにより、柔軟性を追加している。 DoDは、レベル1とレベル2の一部の評価について自己評価を認め、国防産業基盤サイバーセキュリティ評価センター(DIBCAC)の政府評価者がこれらの評価を実施することにより、レベル3の評価について産業界へのコストを最小限に抑えることで、プログラム全体のコストが削減されると見積もっている。
Additionally, CMMC aligns directly with the cybersecurity requirements described in National Institute of Standards and Technology (NIST) Special Publications 800-171 and 800-172. さらに、CMMCは、米国標準技術局(NIST)の特別出版物800-171および800-172に記載されているサイバーセキュリティ要件と直接整合している。
Concurrent for comment with the CMMC proposed rule, DoD is also requesting comment on eight CMMC guidance documents, which can be accessed at [web], and several new information collections, which are available at [web].  More information on the overall CMMC program can be found at [web].
CMMC規則案と同時に、DoDは8つのCMMCガイダンス文書[web]、およびいくつかの新しい情報集[web]についてもコメントを求めている。 CMMCプログラム全体に関する詳細は、[web].  
A follow-on Defense Federal Acquisition Regulation Supplement (DFARS) rule for CMMC will be provided for public comment in 2024. The existing 48 Code of Federal Regulations (CFR) Rule will be modified to align with the 32 CFR rule for CMMC.  More information on the timing of the proposed DFARS rule can be found at [web]. CMMCに関する国防連邦調達規則補遺(DFARS)規則は、2024年にパブリックコメントのために提供される予定である。既存の連邦規則48章(CFR)規則は、CMMCのための32CFR規則と整合するように修正される。 DFARS規則の提案時期に関する詳細は、[web]
CMMC 1.0 was published as an interim DFARS rule (2019-D041): Assessing Contractor Implementation of Cybersecurity Requirements, which can be found at [web]. CMMC 1.0は暫定DFARS規則(2019-D041)として公表された: 請負業者のサイバーセキュリティ要件の実施評価(Assessing Contractor Implementation of Cybersecurity Requirements)」は[web]
The DoD CMMC program is now fully defined by the current rulemaking in the 32 CFR regulatory process. DoDのCMMCプログラムは現在、32 CFRの規制プロセスにおける現行の規則制定によって完全に定義されている。

 

● U.S. Department of Defense - Chief Information Officer

・2023.12.26 CMMC PROGRAM PROPOSED RULE PUBLISHED - PUBLIC COMMENT PERIOD BEGINS

 

具体的な規則案等については、Regulations.Govのウェブページから。。。

Regulations.Gov

 


まずは規則案から... (OS-0063)

・2023.12.26 Cybersecurity Maturity Model Certification (CMMC) Program

規則案

Cybersecurity Maturity Model Certification Program。

ウェブページで読んだ方が読みやすいですが。。。

・[PDF]

20240103-54152

 

「要約」と「本規則が提案するCMMC 2.0の概要」だけ仮対訳...

Cybersecurity Maturity Model Certification Program サイバーセキュリティ成熟度モデル認証プログラム
Summary 概要
DoD is proposing to establish requirements for a comprehensive and scalable assessment mechanism to ensure defense contractors and subcontractors have, as part of the Cybersecurity Maturity Model Certification (CMMC) Program , implemented required security measures to expand application of existing security requirements for Federal Contract Information (FCI) and add new Controlled Unclassified Information (CUI) security requirements for certain priority programs. DoD currently requires covered defense contractors and subcontractors to implement the security protections set forth in the National Institute of Standards and Technology (NIST) Special Publication (SP) 800–171 Rev 2 to provide adequate security for sensitive unclassified DoD information that is processed, stored, or transmitted on contractor information systems and to document their implementation status, including any plans of action for any NIST SP 800–171 Rev 2 requirement not yet implemented, in a System Security Plan (SSP). The CMMC Program provides the Department the mechanism needed to verify that a defense contractor or subcontractor has implemented the security requirements at each CMMC Level and is maintaining that status across the contract period of performance, as required. 国防総省は、サイバーセキュリティ成熟度モデル認証(CMMC)プログラムの一環として、国防請負事業者および下請事業者が、連邦契約情報(FCI)に対する既存のセキュリティ要件の適用を拡大し、特定の優先プログラムに対する管理対象未分類情報(CUI)セキュリティ要件を新たに追加するために、必要なセキュリティ対策を実施していることを確認するための包括的かつスケーラブルな評価メカニズムの要件を確立することを提案している。DoDは現在、対象となる防衛請負事業者および下請事業者に対し、請負事業者の情報システムで処理、保存、または送信される機密のDoD非分類情報に対して適切なセキュリティを提供するため、米国標準技術研究所(NIST)特別刊行物(SP)800-171 Rev 2に規定されたセキュリティ保護を実装し、NIST SP 800-171 Rev 2の未実装要件に対する措置計画を含め、その実装状況をシステム・セキュリティ計画(SSP)に文書化することを求めている。CMMCプログラムは、防衛省の請負事業者または下請事業者が各CMMCレベルのセキュリティ要件を実装しており、要求に従って契約履行期間を通じてその状態を維持していることを検証するために必要なメカニズムを提供する。
... ...
CMMC 2.0 Overview as Proposed by This Rule 本規則が提案するCMMC 2.0の概要
Current Requirements for Defense Contractors and Subcontractors 国防契約者および下請事業者に対する現行の要件
Currently, federal contracts (including defense contracts) involving the transfer of FCI to a non-Government organization follow the requirements specified in FAR clause 52.204–21, Basic Safeguarding of Covered Contractor Information Systems . (5) FAR clause 52.204–21 requires compliance with 15 security requirements, FAR 52.204–21(b)(1), items (i) through (xv). These requirements are elementary for any entity wishing to achieve basic cybersecurity. 現在、FCIの非政府組織への移転を伴う連邦契約(防衛契約を含む)は、FAR条項52.204-21「対象請負事業者情報システムの基本的保護」に規定された要件に従っている。(5) FAR条項52.204-21は、FAR 52.204-21(b)(1)の項目(i)から(xv)までの15のセキュリティ要件に従うことを要求している。これらの要件は、基本的なサイバーセキュリティを達成しようとするあらゆる企業にとって初歩的なものである。
Defense contracts involving the transfer of CUI to a non-Government organization may include applicable requirements of DFARS clause 252.204–7012, Safeguarding Covered Defense Information and Cyber Incident Reporting . (6) The DFARS clause 252.204–7012 requires defense contractors to provide adequate security on all covered contractor information systems by implementing the 110 security requirements specified in the National Institute of Standards and Technology (NIST) Special Publication (SP) 800–171, Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations. The DFARS clause 252.204–7012 includes additional requirements; for example, defense contractors must meet Federal Risk and Authorization Management Program (FedRAMP) standards by confirming that their Cloud Service Providers (CSP) have achieved the FedRAMP Baseline Moderate or Equivalent standard. The DFARS clause 252.204–7012 also requires defense contractors to flow down all the requirements to their subcontractors. CUIの非政府組織への移転を伴う防衛契約は、DFARS条項252.204-7012「対象となる防衛情報の保護およびサイバーインシデント報告」の該当する要件を含むことができる。 (6) DFARS条項252.204-7012は、防衛請負事業者に対し、米国国立標準技術研究所(NIST)特別刊行物(SP)800-171「連邦政府以外のシステムおよび組織における管理された未分類情報の保護」に指定された110のセキュリティ要件を実施することにより、すべての対象となる請負事業者の情報システムに適切なセキュリティを提供することを要求する。DFARS条項252.204-7012には、追加要件が含まれている。例えば、防衛請負事業者は、クラウド・サービス・プロバイダー(CSP)がFedRAMP Baseline ModerateまたはEquivalent標準を達成していることを確認することにより、Federal Risk and Authorization Management Program(FedRAMP)標準を満たさなければならない。DFARS条項252.204-7012はまた、防衛請負事業者に対し、すべての要件を下請事業者にフローダウンするよう求めている。
Currently, to comply with DFARS clause 252.204–7012, contractors are required to develop a System Security Plan (SSP)  (7) detailing the policies and procedures their organization has in place to comply with NIST SP 800–171. The SSP serves as a foundational document for the required NIST SP 800–171 self-assessment. Self-assessment scores, as referenced in DFARS clause 252.204–7020, must be submitted in the DoD's Supplier Performance Risk System (SPRS). (8) The highest score is 110, meaning all 110 NIST SP 800–171 security requirements have been fully implemented. If a contractor's SPRS score is less than 110, indicating security gaps exist, then the contractor must create a Plan of Action (POA)  (9) identifying security tasks that still need to be accomplished. In essence, an SSP describes the cybersecurity plan the contractor has in place to protect CUI. The SSP needs to go through each NIST SP 800–171 security requirement and explain how the requirement is implemented, monitored, and enforced. This can be through policy, technology, or a combination of both. The SSP will also outline the roles and responsibilities of security personnel to ensure that CUI is appropriately protected. 現在、DFARS条項252.204-7012に準拠するために、請負事業者は、NIST SP 800-171に準拠するために組織が実施している方針と手順を詳述したシステム・セキュリティ・プラン(SSP)(7)を策定することが要求されている。SSP は、要求される NIST SP 800-171 自己評価の基礎文書となる。DFARS 第 252.204-7020 項で言及されている自己評価スコアは、DoD のサプライヤー・パフォーマンス・リスク・システム(SPRS)に提出されなければならない。(8) 最高得点は 110 点であり、これは 110 の NIST SP 800-171 セキュリティ要件がすべて完全に実施されていることを意味する。請負事業者の SPRS スコアが 110 未満であり、セキュリティ・ギャップが存在することを示す場合、請負事業者は、まだ達成する必要があるセキュリティ・タスクを特定する行動計画(POA)(9) を作成しなければならない。要するに、SSP は、請負事業者が CUI を保護するために実施しているサイバーセキュリティ計画を記述するものである。SSP は、NIST SP 800-171 の各セキュリティ要件を確認し、要件がどのように実装、監視、および実施されるかを説明する必要がある。これは、ポリシー、技術、またはその両方の組み合わせによるものである。SSPはまた、CUIが適切に保護されることを保証するために、セキュリティ要員の役割と責任を概説する。
In November 2020, the DoD released its DFARS Interim Rule, the Defense Federal Acquisition Regulation Supplement: Assessing Contractor Implementation of Cybersecurity Requirements. (10) The goal of this rule was to increase compliance with its cybersecurity regulations and improve security throughout the DIB. This rule introduced three new clauses—DFARS clause 252.204–7019, DFARS clause 252.204–7020, and DFARS clause 252.204–7021. 2020年11月、DoDはDFARS暫定規則「国防連邦調達規則補足」を発表した: 請負事業者によるサイバーセキュリティ要件の実施を評価する。(10) この規則の目的は、サイバーセキュリティ規制の遵守を高め、DIB 全体のセキュリティを向上させることであった。この規則では、DFARS 第 252.204-7019 項、DFARS 第 252.204-7020 項、および DFARS 第 252.204-7021 項の 3 つの新しい条項が導入された。
• DFARS clause 252.204–7019 strengthens DFARS clause 252.204–7012 by requiring contractors to conduct a NIST SP 800–171 self-assessment according to NIST SP 800–171 DoD Assessment Methodology. (11) Self-assessment scores must be reported to the Department via SPRS. SPRS scores must be submitted by the time of contract award and not be more than three years old. - DFARS条項252.204-7019は、DFARS条項252.204-7012を強化し、請負事業者がNIST SP 800-171 DoD評価方法論に従ってNIST SP 800-171自己評価を実施することを要求している。(11) 自己評価スコアは、SPRS を介して省に報告されなければならない。SPRS スコアは契約締結時までに提出されなければならず、3 年以上経過していないこと。
DFARS clause 252.204–7020 notifies contractors that DoD reserves the right to conduct a higher-level assessment of contractors' cybersecurity compliance, and contractors must give DoD assessors full access to their facilities, systems, and personnel. Further, DFARS clause 252.204–7020 strengthens DFARS clause 252.204–7012's flow down requirements by holding contractors responsible for confirming their subcontractors have SPRS scores on file prior to awarding them contracts. DFARS条項252.204-7020は、DoDが請負事業者のサイバーセキュリティ遵守についてより高いレベルの評価を実施する権利を留保することを請負事業者に通知し、請負事業者はDoDの評価者が施設、システム、人員に完全にアクセスできるようにしなければならない。さらに、DFARS条項252.204-7020は、DFARS条項252.204-7012のフローダウン要件を強化し、下請事業者に契約を発注する前に、下請事業者がSPRSスコアを保持していることを確認する責任を請負事業者に課している。
DFARS clause 252.204–7021 paves the way for rollout of the CMMC Program. Once CMMC is implemented, DFARS clause 252.204–7021 requires contractors to achieve the CMMC level required in the DoD contract. DFARS clause 252.204–7021 also stipulates contractors will be responsible for flowing down the CMMC requirements to their subcontractors. DFARS条項252.204-7021は、CMMCプログラムの展開に道を開くものである。CMMCが実施されると、DFARS条項252.204-7021は、請負事業者がDoD契約で要求されるCMMCレベルを達成することを要求する。また、DFARS条項252.204-7021は、請負事業者が下請事業者にCMMC要件をフローダウンする責任を負うと規定している。
Additional Requirements for Defense Contractors and Subcontractors Discussed in This Proposed Rule 本規則案で議論されている国防請負事業者および下請事業者に対する追加要件
A key difference between the DFARS 252.204–7012 and CMMC Level 2 requirements is that compliance with NIST SP 800–171 under DFARS 252.204–7012 has not been consistently verified. Under CMMC, compliance will be checked by independent third-party assessors certified by DoD. DFARS 252.204-7012とCMMCレベル2要件の主な違いは、DFARS 252.204-7012におけるNIST SP 800-171への準拠が一貫して検証されていないことである。CMMCの下では、準拠はDoDによって認定された独立した第三者評価者によってチェックされる。
When this 32 CFR CMMC Program rule is finalized, solicitations for defense contracts involving the processing, storing, or transmitting of FCI or CUI on a non-Federal system will, in most cases, have a CMMC level and assessment type requirement a contractor must meet to be eligible for a contract award. CMMC-related contractual processes will be addressed in DoD's DFARS Case 2019–D041, Assessing Contractor Implementation of Cybersecurity Requirements, which will be proposed by the Department in a separate rulemaking. (12) この32 CFR CMMCプログラム規則が最終化されると、FCIまたはCUIを非連邦システム上で処理、保管、または送信することに関わる防衛契約の勧誘は、ほとんどの場合、契約者が契約締結の資格を得るために満たさなければならないCMMCレベルおよび評価タイプの要件を持つことになる。CMMC関連の契約プロセスは、DoDのDFARSケース2019-D041「サイバーセキュリティ要件の請負事業者実施の評価」で扱われる予定であり、これは別の規則制定で同省が提案する予定である。(12)
This rule establishes the CMMC Program and defines requirements both in general and based on the specific CMMC level and assessment type required by the contract and applicable subcontract. Each CMMC level and assessment type is described. 本規則は、CMMCプログラムを確立し、一般的な要件と、契約および該当する下請契約によって要求される特定のCMMCレベルおよび評価タイプに基づく要件の両方を定義する。各CMMCレベルおよび評価タイプについて説明する。
1. Contracts or Subcontracts With a CMMC Level 1 Self-Assessment Requirement 1. CMMCレベル1の自己評価要件がある契約または下請契約
a. Security Requirements a. セキュリティ要件
For CMMC Level 1, contractors and applicable subcontractors are already required to implement the 15 security requirements currently required by the FAR clause 52.204–21. CMMCレベル1の場合、請負事業者および該当する下請事業者は、FAR条項52.204-21で現在要求されている15のセキュリティ要件を実施することが既に要求されている。
b. Assessment Requirements (New) b. 評価要件(新規)
At Level 1, CMMC adds a requirement for contractors and applicable subcontractors to verify through self-assessment that all applicable security requirements outlined in FAR clause 52.204–21 have been implemented. This self-assessment must be performed annually and the results must be entered electronically in the Supplier Performance Risk System (SPRS) (see § 170.15 for details on CMMC Level 1 Self-Assessment requirements and procedures, and specifically § 170.15(a)(1)(i) for the information collection). レベル1では、請負事業者および該当する下請事業者は、FAR条項52.204-21に概説されているすべての該当するセキュリティ要求事項が実施されていることを自己評価により確認する要求事項が追加される。この自己評価は毎年実施され、その結果はサプライヤー・パフォーマンス・リスク・システム(SPRS)に電子的に入力されなければならない(CMMCレベル1の自己評価要件と手順の詳細については§170.15を参照、特に情報収集については§170.15(a)(1)(i)を参照)。
c. Affirmation Requirements (New) c. 確認要件(新規)
A senior official from the prime contractor and any applicable subcontractor will be required to annually affirm continuing compliance with the specified security requirements. Affirmations are entered electronically in SPRS (see § 170.22 for details on Affirmation requirements and procedures). 請負事業者及び該当する下請事業者の上級職員は、毎年、指定されたセキュリティ要求事項の継続的な遵守を確認することが要求される。確約はSPRSに電子的に入力される(確約の要件及び手順の詳細については、§170.22を参照のこと)。
2. Contracts or Subcontracts With a CMMC Level 2 Self-Assessment Requirement 2. CMMCレベル2の自己評価要件がある契約又は下請契約
a. Security Requirements a. セキュリティ要件
For CMMC Level 2, contractors and applicable subcontractors are already required to implement the 110 security requirements currently required by the DFARS clause 252.204–7012, which are aligned with NIST SP 800–171 Rev 2. CMMCレベル2の場合、請負事業者および該当する下請事業者は、現在DFARS条項252.204-7012で要求されている110のセキュリティ要件を実施することが既に要求されており、これはNIST SP 800-171 Rev 2に沿ったものである。
b. Assessment Requirements (New) b. 評価要件(新規)
At Level 2, CMMC adds a requirement for contractors and applicable subcontractors to verify that all applicable security requirements outlined in NIST SP 800–171 Rev 2 and required via DFARS clause 252.204–7012 have been implemented. As determined by DoD, program contracts will include either a CMMC Level 2 Self-Assessment requirement or a CMMC Level 2 Certification Assessment requirement to verify a contractor's implementation of the CMMC Level 2 security requirements. Selected requirements are allowed to have a Plan of Action and Milestones (POA&M) that must be closed out within 180 days of the assessment (see § 170.21 for details on POA&M). This self-assessment must be performed on a triennial basis and the results must be entered electronically in SPRS (see § 170.16 for details on CMMC Level 2 Self-Assessment requirements and procedures, and specifically § 170.16(a)(1)(i) for information collection). レベル2において、CMMCは、請負事業者及び該当する下請事業者に対し、NIST SP 800-171 Rev 2に概説され、DFARS条項252.204-7012を通じて要求される該当するすべてのセキュリティ要件が実施されていることを検証する要件を追加する。DoDの決定により、プログラム契約は、CMMCレベル2セキュリティ要件の請負事業者の実装を検証するために、CMMCレベル2自己評価要件またはCMMCレベル2認証評価要件のいずれかを含む。選択された要求事項には、評価後 180 日以内に終了しなければならな い行動計画及びマイルストーン(POA&M)を設けることが認められている(POA&M の詳細については、§170.21 を参照のこと)。この自己評価は3年毎に実施され、その結果はSPRSに電子的に入力されなければならない(CMMCレベル2自己評価の要求事項及び手順の詳細については§170.16を参照し、特に情報収集については§170.16(a)(1)(i)を参照)。
c. Affirmation Requirements (New) c. 確認要件(新規)
A senior official from the prime contractor and any applicable subcontractor will be required to affirm continuing compliance with the specified security requirements after every assessment, including POA&M closeout, and annually thereafter. Affirmations are entered electronically in SPRS (see § 170.22 for details on Affirmation requirements and procedures). 請負事業者及び該当する下請事業者の上級職員は、POA&M のクローズアウトを含む毎回の評価後、及びその後毎年、指定されたセキュリ ティ要件への継続的な遵守を確認することが要求される。確約は SPRS に電子的に入力される(確約の要件と手順の詳細については、§170.22 を参照)。
3. Contracts or Subcontracts With a CMMC Level 2 Certification Assessment Requirement 3. CMMCレベル2認証審査要件のある契約又は下請契約
a. Security Requirements a. セキュリティ要件
For CMMC Level 2 Certification Assessment, contractors and applicable subcontractors are already required to implement the security requirements currently required by the DFARS clause 252.204–7012, which are aligned with NIST SP 800–171 Rev 2. CMMCレベル2認証評価では、請負事業者および該当する下請事業者は、NIST SP 800-171 Rev 2に沿ったDFARS条項252.204-7012で現在要求されているセキュリティ要件を実施することが既に要求されている。
b. Assessment Requirements (New) b. 評価要件(新規)
At Level 2, CMMC adds a requirement for contractors and applicable subcontractors to verify that all applicable security requirements outlined in NIST SP 800–171 Rev 2 and required via DFARS clause 252.204–7012 have been implemented. As determined by DoD, program contracts will include either a CMMC Level 2 Self-Assessment requirement or a CMMC Level 2 Certification Assessment requirement to verify a contractor's implementation of the CMMC Level 2 security requirements. Selected requirements are allowed to have a POA&M that must be closed out within 180 days of the assessment (see § 170.21 for details on POA&M). The final certification will have up to a three-year duration. The third-party assessment organization will enter the assessment information electronically into the CMMC Enterprise Mission Assurance Support Service (eMASS), that will electronically transmit the assessment results into SPRS (see § 170.17 for details on CMMC Level 2 Certification Assessment requirements and procedures, and specifically § 170.17(a)(1)(i) for information collection). レベル2において、CMMCは、請負事業者及び該当する下請事業者に対し、NIST SP 800-171 Rev 2に概説され、DFARS条項252.204-7012を通じて要求される該当するすべてのセキュリティ要件が実施されていることを検証する要件を追加する。DoDの決定により、プログラム契約は、CMMCレベル2自己評価要件またはCMMCレベル2認証評価要件のいずれかを含み、請負事業者がCMMCレベル2セキュリティ要件を実装していることを検証する。選択された要件には、評価後 180 日以内に終了しなければならない POA&M を設けることができる(POA&M の詳細については、§170.21 を参照のこと)。最終認証の有効期間は最長3年間である。第三者評価機関は、評価情報をCMMCエンタープライズ・ミッション保証支援サービス(eMASS)に電子的に入力し、評価結果をSPRSに電子的に送信する(CMMCレベル2認証評価の要求事項及び手順の詳細については§170.17を参照、特に情報収集については§170.17(a)(1)(i)を参照)。
c. Affirmation Requirements (New) c. 確認要件(新規)
A senior official from the prime contractor and any applicable subcontractor will be required to affirm continuing compliance with the specified security requirements after every assessment, including POA&M closeout, and annually thereafter. Affirmations are entered electronically in SPRS (see § 170.22 for details on Affirmation requirements, procedures, and information collection). 請負事業者及び該当する下請事業者の上級職員は、POA&M のクローズアウトを含む毎回の評 価後、及びその後毎年、指定されたセキュリティ要件に継続して適合していることを確 認することが要求される。確約は SPRS に電子的に入力される(確約の要件、手順及び情報収集の詳細については、§170.22 を参照)。
4. Contracts or Subcontracts With a CMMC Level 3 Certification Assessment Requirement 4. CMMCレベル3認定審査要件のある契約または下請契約
a. Security Requirements (New) a. セキュリティ要件(新規)
For CMMC Level 3, when CMMC becomes a final rule, contractors and applicable subcontractors will be required to implement the 24 selected security requirements from NIST SP 800–172, as detailed in table 1 to § 170.14(c)(4). CMMC Level 2 is a prerequisite for CMMC Level 3. CMMCレベル3の場合、CMMCが最終規則になると、請負事業者及び該当する下請事業者は、§170.14(c)(4)の表1に詳述されているように、NIST SP 800-172から選択された24のセキュリティ要求事項を実施することが要求される。CMMCレベル2は、CMMCレベル3の前提条件である。
b. Assessment Requirements (New) b. 評価要件(新規)
At Level 3, CMMC adds a requirement for contractors and applicable subcontractors to verify through DoD assessment and receive certification that all applicable CMMC Level 3 security requirements from NIST SP 800–172 have been implemented. Selected requirements are allowed to have a POA&M that must be closed out within 180 days of the assessment (see § 170.21 for details on POA&Ms). The final certification will be valid for up to three years. The DoD assessor will enter the assessment information electronically into the eMASS, that will electronically transmit the assessment results into SPRS (see § 170.18 for details on CMMC Level 3 Certification Assessment requirements and procedures, and specifically § 170.18(a)(1)(i) for information collection). レベル3では、請負事業者及び該当する下請事業者に対して、DoD評価を通じて、NIST SP 800-172から該当するCMMCレベル3のセキュリティ要求事項がすべて実施されていることを検証し、認証を受けるという要求事項が追加される。選択された要件は、評価から180日以内に終了しなければならないPOA&Mを持つことが認められている(POA&Mの詳細については、§170.21を参照のこと)。最終認証は最長3年間有効である。国防総省の評価者は、評価情報を電子的に eMASS に入力し、eMASS は評価結果を電子的に SPRS に送信する(CMMC レベル 3 認証評価の要件および手順の詳細については第 170.18 条を、特に情報収集については第 170.18 条(a)(1)(i)を参照のこと)。
c. Affirmation Requirements (New) c. 確認要件(新規)
A senior official from the prime contractor and any applicable subcontractor will be required to affirm continuing compliance with the specified security requirements after every assessment, including POA&M closeout, and annually thereafter. Affirmations are entered electronically in SPRS (see § 170.22 for details on Affirmation requirements, procedures, and information collection). 請負事業者及び該当する下請事業者の上級職員は、POA&M のクローズアウトを含む毎回の評 価後、及びその後毎年、指定されたセキュリティ要件に継続して適合していることを確 認することが要求される。確約は SPRS に電子的に入力される(確約の要件、手順及び情報収集の詳細については、§170.22 を参照)。

 

規則部分

・[PDF] RIA_32CFR_CMMC

20240103-54749

 

根拠参考文書部分

・[PDF] IRFA_32CFR_CMMC

20240103-55057

 

 


 

次にガイダンス文書... (OS-0096)

・202.12.26 Cybersecurity Maturity Model Certification Guidance Documents

Guidance: Cybersecurity Maturity Model Certification Program

Guidance: Cybersecurity Maturity Model Certification Program ガイダンス サイバーセキュリティ成熟度モデル認証プログラム
Summary 概要
The Department of Defense announces the availability of eight guidance documents for the CMMC Program. These documents provide additional guidance for the CMMC model, assessments, scoring, and hashing. 国防総省は、CMMC プログラムに関する 8 つのガイダンス文書を公表する。これらの文書は、CMMC モデル、評価、スコアリング、およびハッシュに関する追加ガイダンスを提供する。
... ...
Supplementary Information 補足情報
CMMC Model Overview CMMCモデルの概要
DoD–CIO–00001 (ZRIN 0790–ZA17) DoD-CIO-00001 (ZRIN 0790-ZA17)
This document focuses on the CMMC Model as set forth in 32 CFR 170.14 of the CMMC Program proposed rule (See docket DoD–2023–OS–0063 on Regulations.gov ). The model incorporates the security requirements from: (1) FAR 52.204–21, Basic Safeguarding of Covered Contractor Information Systems, (2) NIST SP 800–171, Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations, and (3) a selected set of the requirements from NIST SP 800–172, Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800–171. The CMMC Program is designed to provide increased assurance to the DoD that defense contractors and subcontractors are compliant with information protection requirements for Federal Contract Information (FCI) and Controlled Unclassified Information (CUI) and are protecting such information at a level commensurate with risk from cybersecurity threats, including Advanced Persistent Threats (APTs). この文書は、CMMC プログラム提案規則(Regulations.gov のドケット DoD-2023-OS-0063 を参照)の 32 CFR 170.14 に規定されている CMMC モデルに焦点を当てている。このモデルには、(1) FAR 52.204-21「対象となる請負事業者の情報システムの基本的な保護」、(2) NIST SP 800-171「連邦政府以外のシステムおよび組織における管理された非分類情報の保護」、(3) NIST SP 800-172「管理された非分類情報の保護のための強化されたセキュリティ要件」から選択された要件が組み込まれている: NIST Special Publication 800-171の補足である。CMMCプログラムは、国防総省の請負事業者および下請事業者が、連邦契約情報(FCI)および管理された未分類情報(CUI)に対する情報保護要件を遵守し、高度持続的脅威(APT)を含むサイバーセキュリティの脅威からのリスクに見合ったレベルでそのような情報を保護しているという保証を国防総省に提供するために設計されている。
CMMC Assessment Guide—Level 1 CMMC評価ガイド-レベル1
DoD–CIO–00002 (ZRIN 0790–ZA18) DoD-CIO-00002 (ZRIN 0790-ZA18)
This document provides guidance in the preparation for and execution of a Level 1 Self-Assessment under the CMMC Program as set forth in 32 CFR 170.15. CMMC Level 1 focuses on the protection of FCI, which is defined in 32 CFR 170.4 and 48 CFR 4.1901 as: 本文書は、32 CFR 170.15 に規定される CMMC プログラムにおけるレベル 1 自己評価の準備と実行のガイダンスを提供する。CMMCレベル1は、32 CFR 170.4及び48 CFR 4.1901に定義されるFCIの保護に重点を置く:
Federal contract information means information, not intended for public release, that is provided by or generated for the Government under a contract to develop or deliver a product or service to the Government, but not including information provided by the Government to the public (such as on public websites) or simple transactional information, such as necessary to process payments. 連邦契約情報とは、政府に対する製品またはサービスを開発または提供する契約に基づき、政府によって提供される、または政府のために生成される、一般公開を意図しない情報を意味するが、政府によって一般に提供される情報(公開ウェブサイトなど)や、支払処理に必要な単純な取引情報などは含まれない。
CMMC Level 1 is comprised of the 15 basic safeguarding requirements specified in Federal Acquisition Regulation (FAR) Clause 52.204–21. CMMCレベル1は、連邦調達規則(FAR)条項52.204-21に規定される15の基本的な保護要件で構成される。
CMMC Assessment Guide—Level 2 CMMC評価ガイド-レベル2
DoD–CIO–00003 (ZRIN 0790–ZA19) DoD-CIO-00003 (ZRIN 0790-ZA19)
This document provides guidance in the preparation for and execution of a Level 2 Self-Assessment or Level 2 Certification Assessment under the CMMC Program as set forth 32 CFR 170.16 and 170.17 respectively. An Assessment as defined in 32 CFR 170.4 means: 本文書は、32 CFR 170.16及び170.17に規定されるCMMCプログラムに基づくレベル2自己評価又はレベル2認証評価の準備及び実施に関するガイダンスを提供する。評価とは、32 CFR 170.4に定義される:
The testing or evaluation of security controls to determine the extent to which the controls are implemented correctly, operating as intended, and producing the desired outcome with respect to meeting the security requirements for an information system or organization as defined in 32 CFR 170.15 to 32 CFR 170.18. For CMMC Level 2 there are two types of assessments: 32CFR170.15から32CFR170.18に定義される情報システムまたは組織のセキュリティ要求事項を満たすために、セキュリティ管理策がどの程度正しく実施され、意図されたとおりに運用され、望ましい結果を生み出しているかを判断するための、セキュリティ管理策の試験または評価。CMMCレベル2には、2種類の評価がある:
• A Self-Assessment is the term for the activity performed by an entity to evaluate its own CMMC Level, as applied to Level 1 and some Level 2. - 自己評価(Self-Assessment)とは、レベル1及びレベル2に適用される、組織が自らのCMMCレベルを評価するために行う活動を指す。
• A CMMC Level 2 Certification Assessment is the term for the activity performed by a Certified Third-Party Assessment Organization (C3PAO) to evaluate the CMMC Level of an OSC. - CMMCレベル2認証審査とは、認証された第三者審査機関(C3PAO)がOSCのCMMCレベルを評価するために行う審査をいう。
32 CFR 170.16(b) describes contract or subcontract eligibility for any contract with a CMMC Level 2 Self-Assessment requirement, and 32 CFR 170.17(b) describes contract or subcontract eligibility for any contract with a CMMC Level 2 Certification Assessment requirement. Level 2 Certification Assessment requires the OSA achieve either a Level 2 Conditional Certification Assessment or a Level 2 Final Certification Assessment, as described in 32 CFR 170.4, obtained through an assessment by an accredited Certified Third-Party Assessment Organization (C3PAO). 32 CFR 170.16(b)は、CMMCレベル2自己評価要件がある契約の契約または下請契約の適格性を記述し、32 CFR 170.17(b)は、CMMCレベル2認証評価要件がある契約の契約または下請契約の適格性を記述する。レベル2認定審査では、OSAは、認定された認定第三者審査機関(C3PAO)による審査を通じて、32 CFR 170.4に記載されているように、レベル2条件付認定審査またはレベル2最終認定審査のいずれかを達成する必要がある。
CMMC Assessment Guide—Level 3 CMMC 評価ガイド-レベル 3
DoD–CIO–00004 (ZRIN 0790–ZA20) DoD-CIO-00004 (ZRIN 0790-ZA20)
This document provides guidance in the preparation for and execution of a Level 3 Certification Assessment under the CMMC Program as set forth in 32 CFR 170.18. Certification at each CMMC level occurs independently. An Assessment as defined in 32 CFR 170.4 means: 本文書は、32 CFR 170.18 に規定される CMMC プログラムにおけるレベル 3 認証審査の準備及び実施に関す る指針を提供する。各 CMMC レベルにおける認証は、独立して行われる。評価とは、32 CFR 170.4に定義される:
The testing or evaluation of security controls to determine the extent to which the controls are implemented correctly, operating as intended, and producing the desired outcome with respect to meeting the security requirements for an information system, or organization as defined in 32 CFR 170.15 to 32 CFR 170.18. 32 CFR 170.15から32 CFR 170.18に定義される情報システムまたは組織のセキュリティ要件を満たすために、セキュリティ管理策がどの程度正しく実装され、意図されたとおりに運用され、望ましい結果を生み出しているかを判断するための、セキュリティ管理策の試験または評価。
A CMMC Level 3 Certification Assessment as defined in 32 CFR 170.4 is the term for the activity performed by the Department of Defense to evaluate the CMMC Level of an OSC. For CMMC Level 3, assessments are performed exclusively by the DoD. 32 CFR 170.4 に定義される CMMC レベル 3 認証審査とは、OSC の CMMC レベルを評価するために国防総省が実施する活動を指す。CMMCレベル3の場合、審査は国防総省のみが行う。
An OSC seeking a CMMC Level 3 Certification Assessment must have first received a CMMC Level 2 Final Certification Assessment, as set forth in 32 CFR 170.18, for all applicable information systems within the CMMC Assessment Scope, and the OSC must implement the Level 3 requirements specified in 32 CFR 170.14(c)(4). This is followed by the CMMC Level 3 assessment conducted by the DoD. CMMC レベル 3 の認定審査を受けようとする OSC は、まず、32 CFR 170.18 に規定される CMMC レベル 2 の最終認定審査を CMMC 審査範囲内の該当する全ての情報システムに関して受けていなければならず、OSC は 32 CFR 170.14(c)(4) に規定されるレベル 3 の要件を実施しなければならない。これに続いて、DoD が CMMC レベル 3 評価を実施する。
OSCs may also use this guide to perform CMMC Level 3 self-assessment (for example, in preparation for an annual affirmation); however, they are not eligible to submit results from a self-assessment in support of a CMMC Level 3 Certification Assessment. Only the results from an assessment by the DoD are considered for award of a CMMC Level 3 Certification Assessment. Level 3 reporting and affirmation requirements can be found in 32 CFR 170.18 and 32 CFR 170.22. OSC は、CMMC レベル 3 の自己評価を実施するために本ガイドラインを使用することもできる(例えば、年次確認の準備のため)。しかし、OSC は、CMMC レベル 3 認証審査のサポートとして自己評価の結果を提出する資格はない。CMMCレベル3認証評価の授与には、国防総省による評価の結果のみが考慮される。レベル3の報告及び確認の要件は、32 CFR 170.18及び32 CFR 170.22に記載されている。
CMMC Scoping Guide—Level 1 CMMC適用範囲ガイド-レベル1
DoD–CIO–00005 (ZRIN 0790–ZA21) DoD-CIO-00005 (ZRIN 0790-ZA21)
This document provides scoping guidance for Level 1 of CMMC as set forth in 32 CFR 170.19. Prior to a Level 1 CMMC Self-Assessment the OSA must specify the CMMC Assessment Scope. The CMMC Assessment Scope defines which assets within the OSA's environment will be assessed and the details of the self-assessment. この文書は、32 CFR 170.19に規定されるCMMCのレベル1のための適用範囲ガイダンスを提供する。レベル1のCMMC自己評価に先立ち、OSAはCMMC評価範囲を指定しなければならない。CMMC評価範囲は、OSAの環境内のどの資産を評価し、自己評価の詳細を定義する。
This guide is intended for OSAs that will be conducting a CMMC Level 1 self-assessment and the professionals or companies that will support them in those efforts. 本ガイドは、CMMC レベル 1 の自己評価を実施する OSA と、その取り組みを支援する専門家または企業を対象としている。
CMMC Scoping Guide—Level 2 CMMC適用範囲ガイド-レベル2
DoD–CIO–00006 (ZRIN 0790–ZA22) DoD-CIO-00006 (ZRIN 0790-ZA22)
This document provides scoping guidance for Level 2 of CMMC as set forth in 32 CFR 170.19. Prior to a Level 2 Self-Assessment or Level 2 Certification Assessment, the OSA must specify the CMMC Assessment Scope. The CMMC Assessment Scope defines which assets within the OSA's environment will be assessed and the details of the assessment. この文書は、32 CFR 170.19に規定されるCMMCのレベル2のための適用範囲ガイダンスを提供する。レベル 2 自己評価またはレベル 2 認証評価の前に、OSA は CMMC 評価範囲を指定しなければならない。CMMC評価範囲は、OSAの環境内のどの資産を評価し、評価の詳細を定義する。
This guide is intended for OSAs that will be conducting a CMMC Level 2 Self-Assessment in accordance with 32 CFR 170.16, OSCs that will be obtaining a CMMC Level 2 Certification Assessment in accordance with 32 CFR 170.17, and the professionals or companies that will support them in those efforts. OSCs are a subset of OSAs as all organizations will participate in an assessment, but self-assessment cannot result in certification. 本ガイドブックは、32 CFR 170.16に従ってCMMCレベル2自己評価を実施するOSA、32 CFR 170.17に従ってCMMCレベル2認証評価を取得するOSC、及びそれらの取り組みを支援する専門家又は企業を対象としている。OSCはOSAのサブセットであり、全ての組織が審査に参加するが、自己審査では認証は得られない。
CMMC Scoping Guide—Level 3 CMMC適用範囲ガイド-レベル3
DoD–CIO–00007 (ZRIN 0790–ZA23) DoD-CIO-00007 (ZRIN 0790-ZA23)
This document provides scoping guidance for Level 3 of CMMC as set forth in 32 CFR 170.19. Prior to conducting a CMMC assessment, the Level 3 CMMC Assessment Scope must be defined as set forth in 32 CFR 170.19(d). The CMMC Assessment Scope defines which assets within the OSC's environment will be assessed and the details of the assessment. 本文書は、32 CFR 170.19に規定されるCMMCのレベル3に関する適用範囲・ガイダンスを提供する。CMMC評価を実施する前に、32 CFR 170.19(d)に定めるように、レベル3のCMMC評価範囲を定義しなければならない。CMMC 評価範囲は、OSC の環境内のどの資産を評価し、評価の詳細を定義する。
When seeking a Level 3 Certification, the OSC must have a CMMC Level 2 Final Certification Assessment for the same scope as the Level 3 assessment. Any Level 2 Plan of Action and Milestones (POA&M as set forth in 32 CFR 170.4) items must be closed prior to the initiation of the CMMC Level 3 assessment. The CMMC Level 3 CMMC Assessment Scope may be a subset of the Level 2 CMMC Assessment Scope ( e.g., a Level 3 data enclave with greater restrictions and protections within the Level 2 data enclave). レベル 3 認証を求める場合、OSC は、レベル 3 審査と同じ範囲について、CMMC レベル 2 最終審査を受けなければならない。レベル 2 の行動計画及びマイルストーン(32 CFR 170.4 に定める POA&M)項目は、CMMC レベル 3 審査の開始前に終了していなければならない。CMMC レベル 3 の CMMC 評価範囲は、レベル 2 の CMMC 評価範囲のサブセットであってもよい(例えば、レベル 2 のデータ囲い込みの中に、より大きな制限と保護を持つレベル 3 のデータ囲い込み)。
This guide is intended for OSCs that will be obtaining a CMMC Level 3 assessment and the professionals or companies that will support them in those efforts. 本ガイドラインは、CMMC レベル 3 評価を取得する OSC およびその取り組みをサポートする専門家または企業を対象としている。
CMMC Hashing Guide CMMCハッシングガイド
DoD–CIO–00008 (ZRIN 0790–ZA24) DoD-CIO-00008 (ZRIN 0790-ZA24)
This guide assumes that the reader has a basic understanding of command line tools and scripting. During the performance of a CMMC assessment, the assessment team will collect objective evidence using a combination of three assessment methods: このガイドは、読者がコマンドラインツールとスクリプトの基本的な理解を持っていることを前提としている。CMMC 評価の実施中、評価チームは 3 つの評価方法を組み合わせて客観的な証拠を収集する:
・examination of artifacts, ・成果物の調査
・affirmations through interviews, and ・インタビューによる確認、および
・observations of actions. ・行動の観察。
Because these OSA artifacts may be proprietary, the assessment team will not take OSA artifacts offsite at the conclusion of the assessment. For the protection of all stakeholders, the OSA must retain the artifacts. This guide describes how to provide a cryptographic reference (or hash) for each artifact used in the assessment as discussed in 32 CFR 170.17 and 170.18. これらのOSAの成果物は専有物である可能性があるため、評価チームは評価終了時にOSAの成果物を持ち出さない。すべての利害関係者の保護のため、OSA は成果物を保持しなければならない。このガイドでは、32 CFR 170.17及び170.18で議論されているように、評価で使用される各成果物に暗号参照(またはハッシュ)を提供する方法を説明する。

 

8つのガイダンス...

1. CMMC_Model_Overview

・[DOCX]

 

2. CMMC_Assessment_Guide_Level1

・[DOCX]

 

3. CMMC_Assessment_Guide_Level2

・[PDFDOCX]

 

4. CMMC_Assessment_Guide_Level3

・[DOCX]

 

5. CMMC_Scoping_Guide_Level1

・[DOCX]

 

6. CMMC_Scoping_Guide_Level2

・[DOCX]

 

7. CMMC_Scoping_Guide_Level3

・[DOCX]

 

8. CMMC_Hashing_Guide

・[DOCX]

 

 


 

最後に、情報要求... (OS-0097)

・2023.12.26 Cybersecurity Maturity Model Certification PRA Submission for Title 32 CFR Rule

1Draft_SSA_PRA_32CFR_CMMCProgram

・[DOCX]

附属文書

・・[XSLX] CMMC L3_PreAssessment_Template_Mock-up

・・[XSLX] CMMC_PreAssessment_Template_Edits20220906

・・[XSLX] CMMC L3_AssessmentResults_Mock-up

・・[XSLX] CMMC_AssessmentResults_Template_Edits20220906

・・[DOCX] CMMC_Hashing_Guide

 

2Draft_SSA_PRA_32CFR_CMMCeMASS

・[DOCX]

附属文書

・・[PDF] eMASS_CMMC_C3PAO_User_Job_Aid

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.11.13 NIST 意見募集 SP 800-171 Rev.3(最終ドラフト) 非連邦政府組織およびシステムにおける管理対象非機密情報の保護、NIST SP 800-171A 改訂第3版(初期公開ドラフト) 管理対象非機密情報のセキュリティ要件の評価

・2023.05.13 米国 NIST 意見募集 SP 800-171 Rev.3(ドラフト) 非連邦政府組織およびシステムにおける管理対象非機密情報の保護

・2022.07.21 NIST SP 800-171 Rev. 3 (ドラフト) 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護の作成に向けた意見募集

・2022.03.18 NIST SP 800-172A 管理対象非機密情報に対する強化版セキュリティ要件の評価

・2022.01.27 NIST SP 800-53A Rev. 5 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価

・2021.11.07 米国 DoD サイバーセキュリティ成熟度モデル認証(CMMC)プログラムの戦略的方向性 - CMMC2.0

・2021.08.06 NIST SP 800-53A Rev. 5 (Draft) 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価

・2021.07.19 IPA NIST文書SP800-53 rev.5「組織と情報システムのためのセキュリティおよびプライバシー管理策」及びSP800-53B「組織と情報システムのための管理策ベースライン」の翻訳版を公開

・2021.04.28 NIST SP 800-172A 管理対象非機密情報 (CUI) に対する強化版セキュリティ要件の評価

・2021.02.04 NIST SP 800-172 Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171

・2020.12.11 SP 800-53 Rev. 5 Security and Privacy Controls for Information Systems and Organizations, SP 800-53B Control Baselines for Information Systems and Organizationsの記載ミスの修正と第5版と第4版の更新分析、ISO/IEC27001とのマッピング表等の追加

・2020.10.30 NIST SP 800-53B Control Baselines for Information Systems and Organizations 情報システムと組織のコントロールベースライン

・2020.10.02 米国国防省がCMMCの暫定規則(DFARS Case 2019-D041)を公表し、意見募集を行っています

・2020.09.24 NIST SP 800-53 Rev. 5 Security and Privacy Controls for Information Systems and Organizations

・2020.08.01 NIST SP 800-53B (Draft) Control Baselines for Information Systems and Organizations

・2020.07.09 NIST SP 800-172 (Draft) Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171 (Final Public Draft)

・2020.03.31 CMMC概要 An Introduction to the Cybersecurity Maturity Model Certification (CMMC)

・2020.03.17 NIST SP 800-53 Rev. 5(Draft) Security and Privacy Controls for Information Systems and Organizations (Final Public Draft)

・2020.03.09 Cybersecurity Maturity Model Certification (CMMC) Version 1.0

 

・2020.02.22 NIST Publishes SP 800-171 Revision 2: Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations

 

少し前...

・2012.03.01 NIST Draft SP 800-53 Rev. 4 Security and Privacy Controls for Federal Information Systems and Organizations

・2011.07.22 NIST Draft SP 800-53 Appendix J DRAFT Privacy Control Catalog

・2010.05.10 NIST SP800-53関係の情報

 

 

|

« 能登半島地震 震度7 そして羽田空港での事故 そしてSNS | Main | 金融庁 カルテル 大手損害保険会社に対する行政処分 (2023.12.26) +ビッグモーター案件 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 能登半島地震 震度7 そして羽田空港での事故 そしてSNS | Main | 金融庁 カルテル 大手損害保険会社に対する行政処分 (2023.12.26) +ビッグモーター案件 »