米国 NIST SP800-100 情報セキュリティハンドブック： 管理者のためのガイドの改訂に向けた意見募集

こんにちは、丸山満彦です。

NISTのSP800-100 報セキュリティハンドブック： 管理者のためのガイドというのは、あまりというか、今まで全く見たことがなかったように思います。。。

2006年10月に制定されていることから、このブログが始まった後ということなのですが、このブログでも取り上げたことはなかったようですね。。。制定されてから、いろいろなガイド、フレームワークが発行されているので、それらとの整合性を図ることが今回の意図のようです。。。

これを機にちょっとみてみたのですが、

• 改訂は大変そう。。。
• でも、改訂されたら現場ではすばらしいものになりそう。

というかんじですね。。

 

● NIST - ITL

・2023.01.09 NIST SP 800-100 Rev. 1 (Initial Preliminary Draft) PRE-DRAFT Call for Comments | Information Security Handbook: A Guide for Managers

 

NIST SP 800-100 Rev. 1 (Initial Preliminary Draft) PRE-DRAFT Call for Comments | Information Security Handbook: A Guide for Managers	NIST SP 800-100 Rev.1（初期予備草案） PRE-DRAFT コメント募集｜情報セキュリティハンドブック： 管理者のためのガイド
Announcement	発表
Summary	概要
NIST plans to update Special Publication (SP) 800-100, Information Security Handbook: A Guide for Managers, and is issuing this Pre-Draft Call for Comments to solicit feedback from users. The public is invited to provide input by February 23, 2024.	NISTは、特別刊行物（SP）800-100「情報セキュリティハンドブック：管理者のための手引き」の更新を計画しており、利用者からの意見を求めるために、この「意見募集（Pre-Draft Call for Comments）」を発行する。2024年2月23日までに意見を提出するよう求められている。
Details	詳細
Since SP 800-100 was published in October of 2006, NIST has developed new frameworks for cybersecurity and risk management and released major updates to critical resources and references. This revision would focus the document’s scope for the intended audience and ensure alignment with other NIST guidance. Before revising, NIST would like to invite users and stakeholders to suggest changes that would improve the document’s effectiveness, relevance, and general use with regard to cybersecurity governance and the intersections between various organizational roles and information security.	2006年10月にSP 800-100が発行されて以来、NISTはサイバーセキュリティとリスク管理のための新しいフレームワークを開発し、重要なリソースや参考文献の大幅な更新を発表してきた。今回の改訂は、意図する対象者に向けて文書の範囲を絞り込み、他のNISTガイダンスとの整合性を確保するものである。改訂に先立ち、NISTは、サイバーセキュリティ・ガバナンスと様々な組織の役割と情報セキュリティとの相互関係に関して、この文書の有効性、妥当性、一般的な利用を改善するような変更を提案するよう、ユーザと利害関係者に呼びかけたい。
NIST welcomes feedback and input on any aspect of SP 800-100 and additionally proposes a list of non-exhaustive questions and topics for consideration:	NIST は、SP 800-100 のあらゆる側面に関するフィードバックとインプットを歓迎し、さらに、検討のための非網羅的な質問とトピックのリストを提案する：
・What role do you fill in your organization?	・あなたの組織ではどのような役割を担っているか。
・How have you used or referenced SP 800-100?	・SP 800-100 をどのように使用または参照したか？
・What specific topics in SP 800-100 are most useful to you?	・SP 800-100 のどのトピックが最も有用か？
・What challenges have you faced in applying the guidance in SP 800-100?	・SP 800-100 のガイダンスを適用するにあたり、どのような課題に直面したか？
・Is the document’s current level of specificity appropriate, too detailed, or too general? If the level of specificity is not appropriate, why?	・文書の現在の具体性のレベルは適切か、詳細すぎるか、一般的すぎるか。具体性のレベルが適切でない場合、その理由は何か。
・How can NIST improve the alignment between SP 800-100 and other frameworks and publications?	・NIST は、SP 800-100 と他のフレームワークや出版物との間の整合性をどのように改善できるか。
・What new cybersecurity capabilities, challenges, or topics should be addressed?	・どのような新しいサイバーセキュリティ能力、課題、またはトピックを取り上げるべきか？
・What current topics or sections in the document are out of scope, no longer relevant, or better addressed elsewhere?	・文書内のどのような現在のトピックやセクションが範囲外であるか、もはや適切でないか、他の場所で扱う方がよいか。
・Are there other substantive suggestions that would improve the document?	・その他、文書を改善するための実質的な提案はあるか。
・Specific topics to consider for revision or improvement:	・改訂や改善を検討すべき具体的なトピック
・・Cybersecurity governance	・・サイバーセキュリティガバナンス
・・Role of information security in the software development life cycle (e.g., agile development)	・・ソフトウエア開発ライフサイクルにおける情報セキュリティの役割 （アジャイル開発など）
・・Contingency planning and the intersection of roles across organizations	・・コンティンジェンシープランニング（緊急時対応計画）及び組織横断的な役割分担
・・Risk management	・・リスクマネジメント
・・・Enterprise risk management	・・・エンタープライズリスクマネジメント
・・・Supply chain risk management and acquisitions	・・・サプライチェーンのリスク管理と買収
・・・Metrics development and cybersecurity scorecard	・・・評価指標の策定とサイバーセキュリティスコアカード
・・System authorizations	・・システムの認可
・・Relationship between privacy and information security programs	・・プライバシー・プログラムと情報セキュリティ・プログラムの関係
The comment period is open through February 23, 2024. Please submit comments to sp800-100-comments@nist.gov with "Comments on Information Security Handbook: A Guide for Managers” in the subject field. We encourage you to use this comment template.	意見募集期間は2024年2月23日までである。sp800-100-comments@nist.gov、件名に「Comments on Information Security Handbook： 件名に "A Guide for Managers"（管理者のための手引書）と記入の上、提出のこと。このコメントテンプレートを使用することを推奨する。
Abstract	概要
This Information Security Handbook provides a broad overview of information security program elements to assist managers in understanding how to establish and implement an information security program. Typically, the organization looks to the program for overall responsibility to ensure the selection and implementation of appropriate security controls and to demonstrate the effectiveness of satisfying their stated security requirements. The topics within this document were selected based on the laws and regulations relevant to information security, including the Clinger-Cohen Act of 1996, the Federal Information Security Management Act (FISMA) of 2002, and Office of Management and Budget (OMB) Circular A-130. The material in this handbook can be referenced for general information on a particular topic or can be used in the decision making process for developing an information security program. National Institute of Standards and Technology (NIST) Interagency Report (IR) 7298, Glossary of Key Information Security Terms, provides a summary glossary for the basic security terms used throughout this document. While reading this handbook, please consider that the guidance is not specific to a particular agency. Agencies should tailor this guidance according to their security posture and business requirements.	この「情報セキュリティハンドブック」は、管理者が情報セキュリティプログラムを確立し、実施する方法を理解するのを支援するために、情報セキュリティプログラムの要素の幅広い概要を提供する。通常、組織は、適切なセキュリティ管理策の選択と実装を確実にし、規定のセキュリティ要件を満たす有効性を実証するために、プログラムに全体的な責任を求める。本書内のトピックは、1996年のクリンガー・コーエン法、2002年の連邦情報セキュ リティ管理法（FISMA）、管理予算局（OMB）サーキュラーA-130など、情報セキュリ ティに関連する法律や規則に基づいて選択されている。このハンドブックの資料は、特定のトピックに関する一般的な情報を得るために参照することも、情報セキュリティ・プログラムを策定するための意思決定プロセスで使用することもできる。米国国立標準技術研究所（NIST）の省庁間報告書（IR）7298「主要情報セキュリティ用語集（Glossary of Key Information Security Terms）」は、本書を通して使用される基本的なセキュリティ用語の要約を提供している。このハンドブックを読む際には、ガイダンスは特定の機関に特化したものではないことを考慮されたい。各機関は、自機関のセキュリティ態勢とビジネス要件に応じて、この手引きを調整すべきである。

 

ちなみに、2006年10月に公表された現在のSP800-100はこちら...

・[PDF] SP800-100 Information Security Handbook: A Guide for Managers 

・[DOCX] 仮訳

 

 

目次...

Table of Contents	目次
1. Introduction	1.序文
1.1 Purpose and Applicability	1.1目的と適用範囲
1.2 Relationship to Existing Guidance	1.2既存のガイダンスとの関係
1.3 Audience	1.3 観客
2. Information Security Governance	2.情報セキュリティガバナンス
2.1 Information Security Governance Requirements	2.1 情報セキュリティガバナンスの要件
2.2 Information Security Governance Components	2.2 情報セキュリティガバナンスの構成要素
2.2.1 Information Security Strategic Planning	2.2.1 情報セキュリティ戦略計画
2.2.2 Information Security Governance Structures	2.2.2 情報セキュリティガバナンス体制
2.2.3 Key Governance Roles and Responsibilities	2.2.3 主なガバナンスの役割と責任
2.2.3.1 Agency Head	2.2.3.1 機関代表
2.2.3.2 Chief Information Officer	2.2.3.2 最高情報責任者
2.2.3.3 Senior Agency Information Security Officer	2.2.3.3 上級機関情報セキュリティ責任者
2.2.3.4 Chief Enterprise Architect	2.2.3.4 チーフ・エンタープライズ・アーキテクト
2.2.3.5 Related Roles	2.2.3.5 関連する役割
2.2.4 Federal Enterprise Architecture (FEA)	2.2.4 連邦エンタープライズ・アーキテクチャ（FEA）
2.2.5 Information Security Policy and Guidance	2.2.5 情報セキュリティ方針とガイダンス
2.2.6 Ongoing Monitoring	2.2.6 継続的モニタリング
2.3 Information Security Governance Challenges and Keys to Success	2.3 情報セキュリティガバナンスの課題と成功の鍵
3. System Development Life Cycle	3.システム開発ライフサイクル
3.1 Initiation Phase	3.1 開始段階
3.2 Development/Acquisition Phase	3.2 開発／購買段階
3.3 Implementation Phase	3.3 実施段階
3.4 Operations/Maintenance Phase	3.4 運用／保守段階
3.5 Disposal Phase	3.5 廃棄段階
3.6 Security Activities within the SDLC	3.6 SDLC におけるセキュリティ活動
4. Awareness and Training	4.意識向上およびトレーニング
4.1 Awareness and Training Policy	4.1 意識向上およびトレーニング方針
4.2 Components: Awareness, Training, Education, and Certification	4.2 構成要素：意識向上、トレーニング、教育および認証
4.2.1 Awareness	4.2.1 認知度
4.2.2 Training	4.2.2 トレーニング
4.2.3 Education	4.2.3 教育
4.2.4 Certification	4.2.4 認証
4.3 Designing, Developing, and Implementing an Awareness and Training Program	4.3 意識向上およびトレーニング・プログラムの設計、開発、実施
4.3.1 Designing an Awareness and Training Program	4.3.1 意識向上およびトレーニング・プログラムの設計
4.3.2 Developing an Awareness and Training Program	4.3.2 意識向上およびトレーニング・プログラムの開発
4.3.3 Implementing an Awareness and Training Program	4.3.3 意識向上およびトレーニング・プログラムの実施
4.4 Post-Implementation	4.4 実施後
4.4.1 Monitoring Compliance	4.4.1 コンプライアンスのモニタリング
4.4.2 Evaluation and Feedback	4.4.2 評価とフィードバック
4.5 Managing Change	4.5 変化を管理する
4.6 Program Success Indicators	4.6 プログラムの成功指標
5. Capital Planning and Investment Control	5.資本計画と投資管理
5.1 Legislative Overview	5.1 法制の概要
5.2 Integrating Information Security into the CPIC Process	5.2情報セキュリティをCPICプロセスに組み込む
5.3 Capital Planning and Investment Control Roles and Responsibilities	5.3 資本計画と投資管理の役割と対応責任
5.4 Identify Baseline	5.4 ベースラインの識別
5.5 Identify Prioritization Criteria	5.5 優先順位付けの基準を特定する
5.6 Conduct System- and Enterprise-Level Prioritization	5.6 システムレベルおよびエンタープライズレベルの優先順位付けの実施
5.7 Develop Supporting Materials	5.7 サポート資料を作成する
5.8 IRB and Portfolio Management	5.8 IRBとポートフォリオ管理
5.9 Exhibits 53 and 300 and Program Management	5.9 別紙53および300とプログラム・マネジメント
6. Interconnecting Systems	6.相互接続システム
6.1 Managing System Interconnections	6.1 システムの相互接続を管理する
6.2 Life-Cycle Management Approach	6.2 ライフサイクル・マネジメントのアプローチ
6.2.1 Phase 1: Planning the Interconnection	6.2.1 フェーズ1：相互接続の計画
6.2.2 Phase 2: Establishing the Interconnection	6.2.2 フェーズ2：相互接続の確立
6.2.3 Phase 3: Maintaining the Interconnection	6.2.3 フェーズ 3：相互接続の維持
6.2.4 Phase 4: Disconnecting the Interconnection	6.2.4 フェーズ4：相互接続の切断
6.3 Terminating Interconnection	6.3 相互接続の終了
6.3.1 Emergency Disconnection	6.3.1 緊急遮断
6.3.2 Restoration of Interconnection	6.3.2 相互接続の回復
7. Performance Measures	7.パフォーマンス対策
7.1 Metric Types	7.1 メトリックタイプ
7.2 Metrics Development and Implementation Approach	7.2 メトリクスの開発と実施アプローチ
7.3 Metrics Development Process	7.3 メトリクス開発プロセス
7.4 Metrics Program Implementation	7.4 メトリクス・プログラムの実施
7.4.1 Prepare for Data Collection	7.4.1 データ収集の準備
7.4.2 Collect Data and Analyze Results	7.4.2 データの収集と結果の分析
7.4.3 Identify Corrective Actions	7.4.3 是正措置の識別
7.4.4 Develop Business Case and Obtain Resources	7.4.4 ビジネスケースの作成とリソースの確保
7.4.5 Apply Corrective Actions	7.4.5 是正処置を適用する
8. Security Planning	8.セキュリティ計画
8.1 Major Applications, General Support Systems, and Minor Applications	8.1 主要アプリケーション、総合サポートシステム、マイナーアプリケーション
8.2 Security Planning Roles and Responsibilities	8.2 セキュリティ計画の役割と対応計画
8.2.1 Chief Information Officer	8.2.1 最高情報責任者
8.2.2 Information System Owner	8.2.2 情報システム・オーナー
8.2.3 Information Owner	8.2.3 情報所有者
8.2.4 Senior Agency Information Security Officer	8.2.4 上級機関情報セキュリティ責任者
8.2.5 Information System Security Officer	8.2.5 情報システムセキュリティオフィサー
8.3 Rules of Behavior	8.3 行動規則
8.4 System Security Plan Approval	8.4 システム・セキュリティ計画の承認
8.4.1 System Boundary Analysis and Security Controls	8.4.1 システム境界分析とセキュリティ制御
8.4.2 Security Controls	8.4.2 セキュリティ・コントロール
8.4.3 Scoping Guidance	8.4.3 スコーピング・ガイダンス
8.4.4 Compensating Controls	8.4.4 補償コントロール
8.4.5 Common Security Controls	8.4.5 共通のセキュリティ・コントロール
8.5 Security Control Selection	8.5 セキュリティ・コントロールの選択
8.6 Completion and Approval Dates	8.6 完成日と承認日
8.7 Ongoing System Security Plan Maintenance	8.7 継続的なシステム・セキュリティ計画の保守
9. Information Technology Contingency Planning	9.情報技術緊急時対応計画
9.1 Step 1: Develop Contingency Planning Policy Statement	9.1 ステップ1：コンティンジェンシー・プランニング方針声明の策定
9.2 Step 2: Conduct Business Impact Analysis	9.2 ステップ2：ビジネスインパクト分析の実施
9.3 Step 3: Identify Preventive Controls	9.3 ステップ3：予防的管理策の識別
9.4 Step 4: Develop Recovery Strategies	9.4 ステップ4：復旧戦略の策定
9.5 Step 5: Develop IT Contingency Plan	9.5 ステップ5：ITコンティンジェンシープランを策定する
9.6 Step 6: Plan Testing, Training, and Exercises	9.6 ステップ6：テスト、訓練、演習を計画する
9.7 Step 7: Plan Maintenance	9.7 ステップ7：プラン保守
10. Risk Management	10.リスクマネジメント
10.1 Risk Assessment	10.1 リスクアセスメント
10.1.1 Step 1 – System Characterization	10.1.1 ステップ1 - システムの特性評価
10.1.2 Step 2 – Threat Identification	10.1.2 ステップ2 - 脅威の特定
10.1.3 Step 3 – Vulnerability Identification	10.1.3 ステップ3 - 脆弱性の特定
10.1.4 Step 4 – Risk Analysis	10.1.4 ステップ4 - リスク分析
10.1.4.1 Control Analysis	10.1.4.1 コントロール分析
10.1.4.2 Likelihood Determination	10.1.4.2 尤度の決定
10.1.4.3 Impact Analysis	10.1.4.3 影響分析
10.1.4.4 Risk Determination	10.1.4.4 リスクの判定
10.1.5 Step 5 – Control Recommendations	10.1.5 ステップ5 - 管理勧告
10.1.6 Step 6 – Results Documentation	10.1.6 ステップ 6 - 結果の文書化
10.2 Risk Mitigation	10.2 リスク低減
10.3 Evaluation and Assessment	10.3 評価と査定
11. Certification, Accreditation, and Security Assessments	11.認証、認定、セキュリティ評価
11.1 Certification, Accreditation, and Security Assessments Roles and Responsibilities	11.1 認証、認定、およびセキュリティ評価の役割と責任
11.1.1 Chief Information Officer	11.1.1 最高情報責任者
11.1.2 Authorizing Official	11.1.2 認可権限者
11.1.3 Senior Agency Information Security Officer	11.1.3 上級機関情報セキュリティ責任者
11.1.4 Information System Owner	11.1.4 情報システム・オーナー
11.1.5 Information Owner	11.1.5 情報所有者
11.1.6 Information System Security Officer	11.1.6 情報システムセキュリティオフィサー
11.1.7 Certification Agent	11.1.7 認証エージェント
11.1.8 User Representatives	11.1.8 ユーザー代表者
11.2 Delegation of Roles	11.2 役割の委譲
11.3 The Security Certification and Accreditation Process	11.3 セキュリティ認証と認定のプロセス
11.4 Security Certification Documentation	11.4 セキュリティ認証文書
11.5 Accreditation Decisions	11.5 認定決定
11.6 Continuous Monitoring	11.6 継続的モニタリング
11.7 Program Assessments	11.7 プログラム評価
12. Security Services and Products Acquisition	12.セキュリティ・サービスおよび製品の取得
12.1 Information Security Services Life Cycle	12.1情報セキュリティサービスのライフサイクル
12.2 Selecting Information Security Services	12.2 情報セキュリティサービスの選択
12.2.1 Selecting Information Security Services Management Tools	12.2.1 情報セキュリティサービス管理ツールの選択
12.2.2 Information Security Services Issues	12.2.2 情報セキュリティ・サービスの課題
12.2.3 General Considerations for Information Security Services	12.2.3 情報セキュリティサービスに関する一般的な考慮事項
12.3 Selecting Information Security Products	12.3 情報セキュリティ製品の選択
12.4 Security Checklists for IT Products	12.4 IT製品のセキュリティ・チェックリスト
12.5 Organizational Conflict of Interest	12.5 組織の利益相反
13. Incident Response	13.インシデント対応
13.1 Preparation	13.1 準備
13.1.1 Preparing for Incident Response	13.1.1 インシデント対応の準備
13.1.2 Preparing to Collect Incident Data	13.1.2 インシデントデータ収集の準備
13.1.3 Preventing Incidents	13.1.3 インシデントを防ぐ
13.2 Detection and Analysis	13.2 検出と分析
13.3 Containment, Eradication, and Recovery	13.3 封じ込め、根絶、回復
13.4 Post-Incident Activity	13.4 インシデント後の活動
14. Configuration Management	14.コンフィギュレーション管理
14.1 Configuration Management in the System Development Life Cycle	14.1 システム開発ライフサイクルにおける構成管理
14.2 Configuration Management Roles and Responsibilities	14.2 構成管理の役割と責任
14.3 Configuration Management Process	14.3 コンフィギュレーション管理プロセス
Appendix A – Acronyms List	附属書A - 略語リスト
Appendix B – Frequently Asked Questions	附属書B - よくある質問