米国 NIST 意見募集 SP 800-60 Rev.2（初期作業ドラフト）情報及びシステムのタイプとセキュリティカテゴリーとの対応付けの手引き

こんにちは、丸山満彦です。

NISTが、SP 800-60 Rev.2（初期作業ドラフト）情報及びシステムのタイプとセキュリティカテゴリーとの対応付けの手引きの第二版にむけた意見募集をしていますね...

 

● NIST - ITL

・2023.01.31 NIST SP 800-60 Rev. 2 (Initial Working Draft) Guide for Mapping Types of Information and Systems to Security Categories

NIST SP 800-60 Rev. 2 (Initial Working Draft) Guide for Mapping Types of Information and Systems to Security Categories	NIST SP 800-60 Rev.2（初期作業ドラフト）情報及びシステムのタイプとセキュリティカテゴリーとの対応付けの手引き
Announcement	発表
Summary	概要
NIST seeks to update and improve the guidance in Special Publication (SP) 800-60, Guide for Mapping Types of Information and Information Systems to Security Categories. Specifically, NIST seeks feedback on the document’s current use, proposed updates in the initial working draft and information types taxonomy, and opportunities for ongoing improvement to SP 800-60. The public is invited to provide input by March 18, 2024.	NISTは、特別刊行物（SP）800-60「情報及び情報システムのタイプとセキュリティカテゴリーとの対応付けの手引き」のガイダンスを更新し、改善することを求めている。具体的には、NISTはこの文書の現在の使用状況、初期作業ドラフト及び情報タイプ分類法の更新案、SP 800-60の継続的改善の機会に関するフィードバックを求めている。一般からの意見募集は2024年3月18日までである。
Details	詳細
NIST is proposing updates to the information types categorization methodology to better address privacy considerations during security categorization and align with updates in SP 800-37r2 (Revision 2), Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy. Additionally, NIST intends to update the information types taxonomy and provisional impact levels (Volume 2) to ensure that they are consistent with current federal information types, including the National Archives and Records Administration (NARA) Controlled Unclassified Information (CUI) registry, and allow for a more user-friendly and useable experience.	NISTは、セキュリティ分類の際にプライバシーの考慮事項をより適切に取り扱うため、また、SP 800-37r2（改訂2）「情報システム及び組織のためのリスクマネジメントフレームワーク」の更新と整合させるため、情報タイプ分類方法の更新を提案している： セキュリティとプライバシーのためのシステムライフサイクルアプローチ）の更新と整合させる。さらに、NISTは、情報タイプ分類法と暫定的な影響レベル（第2巻）を更新し、米国国立公文書記録管理局（NARA）の管理対象非機密情報（CUI）登録簿を含む現行の連邦政府の情報タイプとの整合性を確保し、より使いやすく、利用しやすくすることを意図している。
NIST welcomes feedback and input on any aspect of SP 800-60 and additionally proposes a list of non-exhaustive questions and topics for consideration:	NISTは、SP 800-60のあらゆる側面に関するフィードバックと意見を歓迎し、さらに検討のための非網羅的な質問とトピックのリストを提案する：
・How does your organization use SP 800-60?	・あなたの組織は SP 800-60 をどのように使用しているか。
・If applicable, how does your organization use SP 800-60 to address PII?	・該当する場合、貴組織は PII に対処するために SP 800-60 をどのように使用しているか。
・・Does your organization currently use SP 800-122 to help categorize PII?	・・貴組織は現在、PIIを分類するためにSP 800-122を使用しているか？
・NIST intends to incorporate relevant guidance from SP 800-122, Guide to Protecting the Confidentiality of Personally Identifiable Information (PII), into the new draft revision of SP 800-60 and withdraw SP 800-122. What guidance (or topic areas) are critical to include in an SP 800-60 update?	・NIST は、SP800-122「個人を特定できる情報（PII）の機密保護の手引き」の関連ガイダンスを、SP800-60 の新しい改訂ドラフトに組み込み、SP800-122 を廃止する予定である。SP 800-60 の更新に含めることが重要なガイダンス（またはトピック領域）は何か。
・・What are other privacy considerations during security categorization?	・・セキュリティ分類の際、プライバシーについて他に考慮すべきことは何か？
・・Are there other important relationships between privacy and information types that should be covered? If so, what should be highlighted?	・・プライバシーと情報の種類との間に、カバーすべき重要な関係が他にあるか？もしそうなら、何を強調すべきか？
・What currently works well in SP 800-60?	・現在、SP800-60 でうまく機能しているものは何か。
・What are opportunities for improvement?	・改善の機会は何か。
・Any other feedback on:	・その他
・・Updates to the security categorization methodology	・・セキュリティ分類方法の更新
・・Preliminary analysis and taxonomy for the information types catalog	・・情報タイプカタログの予備的分析と分類法
・・Proposed next steps	・・次のステップの提案
Following the feedback received on this pre-call for comments, NIST plans to issue an initial public draft update to SP 800-60. The methodology will be issued as a document for comment, and the information types and provisional impact levels will be issued in a spreadsheet format for comment and then via the Cybersecurity and Privacy Reference Tool when finalized.	今回の事前意見募集に寄せられたフィードバックを受けて、NISTはSP800-60の初期公開ドラフトを発行する予定である。方法論はコメント用の文書として発行され、情報タイプ及び暫定的な影響レベルはコメント用のスプレッドシート形式で発行され、その後、最終化された時点でサイバーセキュリティ及びプライバシー・リファレンス・ツールを通じて発行される予定である。
Abstract	概要
NIST Special Publication (SP) 800-60 facilities the application of appropriate levels of information security according to a range of levels of impact or consequence that may result from unauthorized disclosure, modification, or use of the information or systems. This publication provides a methodology to map types of information and systems to security categories (i.e., confidentiality, integrity, and availability) and impact levels (i.e., low, moderate, and high), a catalog of federal information types and recommended provisional impact levels.	NIST特別刊行物（SP）800-60は、情報またはシステムの不正な開示、変更、または使用によって生じる可能性のある影響または結果のレベルの範囲に従って、適切なレベルの情報セキュリティを適用することを規定している。本書は、情報およびシステムの種類をセキュリティ・カテゴリー（機密性、完全性、可用性）および影響レベル（低、中、高）に対応付けるための方法論、連邦情報の種類のカタログ、および推奨される暫定的な影響レベルを提供している。

 

・[PDF] SP.800-60r2.iwd

 

目次...

1. Introduction	1. 序文
1.1. Purpose and Applicability	1.1. 目的と適用性
1.2. Relationship to Other Documents	1.2. 他の文書との関係
1.3. Document Organization	1.3. 文書の構成
2. The Fundamentals	2. 基礎
2.1. Role of Information Types and Security Categorization in the NIST Risk Management Framework (RMF)	2.1. NISTリスクマネジメントフレームワーク（RMF）における情報タイプとセキュリティ分類の役割
2.2. Security Categories and Objectives	2.2. セキュリティカテゴリーと目的
2.2.1. Security Categories	2.2.1. セキュリティカテゴリー
2.2.2. Security Objectives and Types of Potential Losses	2.2.2. セキュリティ目的と潜在的損失の種類
2.3. Security Categorization and Privacy	2.3. セキュリティの分類とプライバシー
2.3.1. Relationship between Security Risk and Privacy Risk	2.3.1. セキュリティリスクとプライバシーリスクの関係
2.3.2. Privacy and Information Types	2.3.2. プライバシーと情報の種類
2.3.3. Privacy Considerations During Security Categorization	2.3.3. セキュリティ分類の際のプライバシーの考慮事項
2.4. Impact Assessment	2.4. 影響評価
2.4.1. Impact Levels	2.4.1. 影響レベル
2.4.2. Impact and the Information Lifecycle	2.4.2. 影響と情報のライフサイクル
2.5. Role in the System Develop Lifecycle (SDLC)	2.5. システム開発ライフサイクル（SDLC）における役割
2.6. Uses of Categorization Information	2.6. 分類情報の用途
3. Assignment of Impact Levels and Security Categorization	3. 影響レベルの割り当てとセキュリティ分類
3.1. Step 1: Identify Information Types	3.1. ステップ1：情報の識別
3.2. Step 2: Determine Information Type Impact Level	3.2. ステップ2：情報タイプの影響レベルを決定する
3.3. Step 3: Assign System Security Category	3.3. ステップ3：システムセキュリティカテゴリーを割り当てる
3.4. Step 4: Document the Security Categorization Process	3.4. ステップ4: セキュリティ分類プロセスを文書化する。
References	参考文献
Appendix A. Glossary	附属書A. 用語集
Appendix B. Information Types Taxonomy and Provisional Impact Levels	附属書B. 情報タイプ分類法と暫定的な影響レベル
B.1. Business Reference Model Taxonomy Background	B.1. ビジネス参照モデル分類法の背景
B.2. NARA CUI Registry Background	B.2. NARA CUIレジストリの背景
Appendix C. Change Log	附属書C. 変更ログ