米国 NIST NIST IR 7621 Rev. 2(初期ドラフト)プレドラフト意見募集|「小事業の情報セキュリティ: 基礎編」
こんにちは、丸山満彦です。
米国のNISTが2016年に改訂したNIST IR 7621 小事業 (small business) のための情報セキュリティ基礎編の改訂にあたり、意見を募集していますね。現在のIR 7621 Rev.1はNISTサイバーセキュリティフレームワークに沿って作成されているのと、改訂後の変更を取り入れる必要があり、改訂するようですね...
日本でも業務のサプライチェーンを保護することが必要となるため、委託先管理としてのサプライチェーンリスクも注目されていますが、そのさいにいわゆる中小企業のセキュリティ対策が重要となるのですが、こういうガイドも参考になるかもですね...
● NIST - ITL
NIST IR 7621 Rev. 2 (Initial Preliminary Draft) PRE-DRAFT Call for Comments | Small Business Information Security: The Fundamentals | NIST IR 7621 Rev. 2(初期ドラフト) プレドラフト意見募集|小事業の情報セキュリティ: 基礎編」 |
Announcement | 発表 |
Summary | 概要 |
NIST plans to update NIST IR 7621 Rev. 1, Small Business Information Security: The Fundamentals and is issuing this Pre-Draft Call for Comments to solicit feedback. The public is invited to provide input by 12 p.m. ET on May 16, 2024. | NISTは、NIST IR 7621 Rev.1「小事業の情報セキュリティ」を更新する予定である: このプレドラフトを公表し、意見を募集する。一般市民は、2024年5月16日午後12時(米国東部時間)までに意見を提出することが求められる。 |
Details | 詳細 |
Since NIST IR 7621 Revision 1 was published in November of 2016, NIST has developed new frameworks for cybersecurity and risk management and released major updates to critical resources and references. This revision will focus on clarifying publication audience, making the document more user-friendly, aligning with other NIST guidance, updating the narrative with current approaches to cybersecurity risk management, and updating appendices. Before revising, NIST invites the public to suggest changes that would improve the document’s effectiveness, relevance, and general use to better help the small business community understand and manage their cybersecurity risk. | 2016年11月にNIST IR 7621 Revision 1が発行されて以来、NISTはサイバーセキュリティとリスクマネジメントのための新たなフレームワークを開発し、重要なリソースや参考文献の大幅な更新を発表してきた。今回の改訂では、発行対象者の明確化、文書の使いやすさ、他のNISTガイダンスとの整合、サイバーセキュリティリスクマネジメントの最新のアプローチによる説明の更新、附属書の更新に重点を置く。改訂に先立ち、NIST は、小事業コミュニティがサイバーセキュリティ・リスクを理解し、マネジメントすることをより良く支援するために、この文書の有効性、妥当性、一般的な利用方法を改善するような変更点を提案するよう一般に呼びかけている。 |
NIST welcomes feedback and input on any aspect of NIST IR 7621 and additionally proposes a list of non-exhaustive questions and topics for consideration: | NISTは、NIST IR 7621のあらゆる側面に関するフィードバックや意見を歓迎し、さらに、検討のための非網羅的な質問とトピックのリストを提案する: |
・How have you used or referenced NIST IR 7621? | ・NIST IR 7621をどのように利用または参照したか? |
・What specific topics in NIST IR 7621 are most useful to you? | ・NIST IR 7621のどのようなトピックが最も有用か。 |
・What challenges have you faced in applying the guidance in NIST IR 7621? | ・NIST IR 7621のガイダンスを適用するにあたり、どのような課題に直面したか? |
・Is the document’s current level of specificity appropriate, too detailed, or too general? If the level of specificity is not appropriate, how can it be improved? | ・文書の現在の具体性のレベルは適切か、詳細すぎるか、一般的すぎるか。具体性のレベルが適切でない場合、どのように改善できるか。 |
・How can NIST improve the alignment between NIST IR 7621 and other frameworks and publications? | ・NIST IR 7621 と他のフレームワークや出版物との整合性をどのように改善できるか。 |
・What new cybersecurity capabilities, challenges, or topics should be addressed? | ・どのような新しいサイバーセキュリティ能力、課題、またはトピックを取り上げるべきか。 |
・What topics or sections currently in the document are out of scope, no longer relevant, or better addressed elsewhere? | ・現在文書に記載されているトピックやセクションのうち、適用範囲外であるもの、もはや適切でないもの、他で扱った方がよいものは何か。 |
・Are there other substantive suggestions that would improve the document? | ・その他、文書を改善するための実質的な提案はあるか。 |
・Are there additional appendices in NIST IR 7621, or resources outside NIST IR 7621, that would add value to the document? | ・NIST IR 7621の附属書、またはNIST IR 7621以外のリソースで、文書に付加価値を与えるものはあるか。 |
現在のIR 7621 Rev.1
・[PDF] IR 7621r1
目次...
FOREWORD | まえがき |
PURPOSE | 目的 |
1 BACKGROUND: WHAT IS INFORMATION SECURITY AND CYBERSECURITY? | 1 背景:情報セキュリティとサイバーセキュリティとは何か? |
1.1 WHY SMALL BUSINESSES? | 1.1 なぜ小事業なのか? |
1.2 ORGANIZATION OF THIS PUBLICATION | 1.2 本書の構成 |
2 UNDERSTANDING AND MANAGING YOUR RISKS | 2 リスクの理解とマネジメント |
2.1 ELEMENTS OF RISK | 2.1 リスクの要素 |
2.2 MANAGING YOUR RISKS | 2.2 リスクマネジメント |
• Identify what information your business stores and uses | ・自社がどのような情報を保管し、使用しているかを識別する |
• Determine the value of your information | ・情報の価値を決定する |
• Develop an inventory | ・インベントリを作成する |
• Understand your threats and vulnerabilities | ・脅威と脆弱性を理解する |
2.3 WHEN YOU NEED HELP | 2.3 助けが必要な場合 |
3 SAFEGUARDING YOUR INFORMATION | 3 情報を保護する |
3.1 IDENTIFY | 3.1 識別 |
• Identify and control who has access to your business information | ・誰が自社のビジネス情報にアクセスできるかを識別し、管理する |
• Conduct Background Checks | ・身元調査を実施する |
• Require individual user accounts for each employee | ・各従業員に個別のユーザーアカウントを要求する |
• Create policies and procedures for information security | ・情報セキュリティに関する方針と手順を作成する |
3.2 PROTECT | 3.2 防御 |
• Limit employee access to data and information | ・従業員のデータや情報へのアクセスを制限する |
• Install Surge Protectors and Uninterruptible Power Supplies (UPS) | ・サージプロテクターと無停電電源装置(UPS)を設置する |
• Patch your operating systems and applications | ・オペレーティング・システムとアプリケーションにパッチを当てる |
• Install and activate software and hardware firewalls on all your business networks | ・すべてのビジネスネットワークにソフトウェアとハードウェアのファイアウォールをインストールし、有効化する |
• Secure your wireless access point and networks | ・ワイヤレス・アクセス・ポイントとネットワークを保護する |
• Set up web and email filters | ・ウェブ・フィルタと電子メール・フィルタを設定する |
• Use encryption for sensitive business information | ・機密性の高いビジネス情報は暗号化する |
• Dispose of old computers and media safely | ・古いコンピュータやメディアを安全に廃棄する |
• Train your employees | ・従業員を教育する |
3.3 DETECT | 3.3 検出 |
• Install and update anti-virus, -spyware, and other –malware programs | ・アンチウイルス、スパイウェア、その他のマルウェアプログラムをインストールし、更新する |
• Maintain and monitor logs | ・ログを維持・監視する |
3.4 RESPOND | 3.4 対応 |
• Develop a plan for disasters and information security incidents | ・災害や情報セキュリティインシデントに対する計画を策定する |
3.5 RECOVER | 3.5 復旧 |
• Make full backups of important business data/information | ・重要なビジネスデータ/情報の完全バックアップを取る |
• Make incremental backups of important business data/information | ・重要な業務データ/情報の増分バックアップを取る |
• Consider cyber insurance | ・サイバー保険を検討する |
• Make improvements to processes / procedures / technologies | ・プロセス/手順/技術の改善を行う |
4 WORKING SAFELY AND SECURELY | 4 安全かつ確実に作業する |
• Pay attention to the people you work with and around | ・一緒に働く人や周囲の人に注意を払う |
• Be careful of email attachments and web links | ・電子メールの添付ファイルやウェブリンクに注意する |
• Use separate personal and business computers, mobile devices, and accounts | ・個人用と業務用のコンピュータ、モバイルデバイス、アカウントを使い分ける |
• Do not connect personal or untrusted storage devices or hardware into your computer, mobile device, or network | ・個人用または信頼できないストレージデバイスやハ ードウェアをコンピュータ、モバイルデバイス、ネッ トワークに接続しない |
• Be careful downloading software | ・ソフトウェアのダウンロードに注意する |
• Do not give out personal or business information | ・個人情報やビジネス情報を提供しない |
• Watch for harmful pop-ups | ・有害なポップアップに注意する |
• Use strong passwords | ・強力なパスワードを使用する |
• Conduct online business more securely | ・オンラインビジネスをより安全に行う |
APPENDIX A— GLOSSARY AND LIST OF ACRONYMS | 附属書 A - 用語集および頭字語リスト |
APPENDIX B— REFERENCES | 附属書 B - 参考文献 |
APPENDIX C— ABOUT THE FRAMEWORK FOR IMPROVING CRITICAL INFRASTRUCTURE CYBERSECURITY | 附属書 C - 重要インフラのサイバーセキュリティ改善のためのフレームワークについて |
APPENDIX D— WORKSHEETS | 附属書 D - ワークシート |
• Identify and prioritize your information types | ・情報の種類を識別し、優先順位を付ける |
• Develop an Inventory | ・インベントリを作成する |
• Identify Threats, Vulnerabilities, and the Likelihood of an Incident | ・脅威、脆弱性、インシデントの可能性を識別する |
• Prioritize your mitigation activities | ・低減活動の優先順位を決める |
APPENDIX E— SAMPLE POLICY & PROCEDURE STATEMENTS | 附属書 E - 方針・手順書のサンプル |
« Five Eyes 中国国家主導のサイバー活動: 重要インフラリーダーのための行動 (2024.03.19) | Main | 米国 FedRAMP 意見募集 ペネトレーション・テスト・ガイダンス Version 4.0(案) (2024.03.04) »
Comments