米国 NIST SP 800-171 改訂 3 版 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護とNIST SP 800-171A 改訂3版 管理対象非機密情報のセキュリティ要件の評価 (2024.05.14)
こんにちは、丸山満彦です。
NISTが、SP 800-171 改訂3版 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護 とSP 800-171A 改訂3版 管理対象非機密情報のセキュリティ要件の評価の確定版を公表していますね...
SP800-53が改正されたのに合わせた改訂ですが、2020年2月に第2版が公表されていますので、4年ちょっとでの改訂となります。
| 3.14. System and Information Integrity | 3.14. システムと情報の完全性 |
| 3.15. Planning | 3.15. 計画 |
| 3.16. System and Services Acquisition | 3.16. システムとサービスの取得 |
| 3.17. Supply Chain Risk Management | 3.17. サプライチェーンリスクマネジメント |
が新たに追加されています...
● NIST - ITL
・2024.05.14 NIST SP 800-171 Rev.3 Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations
| NIST SP 800-171 Rev. 3 Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations | NIST SP 800-171 改訂3版 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護 |
| Abstract | 概要 |
| The protection of Controlled Unclassified Information (CUI) is of paramount importance to federal agencies and can directly impact the ability of the Federal Government to successfully conduct its essential missions and functions. This publication provides federal agencies with recommended security requirements for protecting the confidentiality of CUI when the information is resident in nonfederal systems and organizations. The requirements apply to components of nonfederal systems that process, store, or transmit CUI or that provide protection for such components. The security requirements are intended for use by federal agencies in contractual vehicles or other agreements established between those agencies and nonfederal organizations. This publication can be used in conjunction with its companion publication, NIST Special Publication 800-171A, which provides a comprehensive set of procedures to assess the security requirements. | 管理対象非機密情報(CUI)の防御は、連邦政府機関にとって最も重要であり、連邦政府がその重要な任務と機能を成功裏に遂行する能力に直接影響を与える可能性がある。本書は、連邦機関に対し、情報が連邦機関以外のシステムおよび組織に常駐している場合に、CUIの機密性を保護するための推奨セキュリティ要件を提供する。要件は、CUIを処理、保管、または送信する連邦政府以外のシステムのコンポーネント、またはそのようなコンポーネントの保護を提供するコンポーネントに適用される。本セキュリティ要件は、連邦機関と非連邦機関との間で締結される契約書またはその他の合意において、連邦機関が使用することを意図している。本書は、その関連刊行物である NIST 特別刊行物 800-171A と併せて使用することができ、セキュリティ要件を評価するための包括的な手順を提供する。 |
・[PDF] NIST.SP.800-171r3
目次...
| 1. Introduction | 1. 序文 |
| 1.1 Purpose and Applicability | 1.1 目的と適用性 |
| 1.2 Organization of This Publication | 1.2 本出版物の構成 |
| 2. The Fundamentals | 2. 基礎 |
| 2.1. Security Requirement Assumptions | 2.1. セキュリティ要件の前提 |
| 2.2. Security Requirement Development Methodology | 2.2. セキュリティ要件の開発 |
| 3. The Security Requirements | 3. セキュリティ要件 |
| 3.1. Access Control | 3.1. アクセス制御 |
| 3.2. Awareness and Training | 3.2. 意識向上およびトレーニング |
| 3.3. Audit and Accountability | 3.3. 監査および説明責任 |
| 3.4. Configuration Management | 3.4. 構成管理 |
| 3.5 Identification and Authentication | 3.5. 識別および認証 |
| 3.6. Incident Response | 3.6. インシデント対応 |
| 3.7. Maintenance | 3.7. 保守 |
| 3.8. Media Protection | 3.8. 媒体保護 |
| 3.9. Personnel Security | 3.9. 職員のセキュリティ |
| 3.10. Physical Protection | 3.10. 物理的保護 |
| 3.11. Risk Assessment | 3.11. リスクアセスメント |
| 3.12. Security Assessment and Monitoring | 3.12. セキュリティアセスメントと監視 |
| 3.13. System and Communications Protection | 3.13. システムおよび通信の保護 |
| 3.14. System and Information Integrity | 3.14. システムおよび情報の完全性 |
| 3.15. Planning | 3.15. 計画 |
| 3.16. System and Services Acquisition | 3.16. システムとサービスの取得 |
| 3.17. Supply Chain Risk Management | 3.17. サプライチェーンのリスクマネジメント |
| References | 参考文献 |
| Appendix A. Acronyms | 附属書 A. 略語 |
| Appendix B. Glossary | 附属書 B. 用語集 |
| Appendix C. Tailoring Criteria | 附属書 C. テーラリング基準 |
| Appendix D. Organization-Defined Parameters | 附属書 D. 組織定義のパラメータ |
| Appendix E. Change Log | 附属書 E. 変更履歴 |
評価のほう...
・2024.05.14 NIST SP 800-171A Rev. 3 Assessing Security Requirements for Controlled Unclassified Information
| NIST SP 800-171A Rev. 3 Assessing Security Requirements for Controlled Unclassified Information | NIST SP 800-171A 改訂3版 管理対象非機密情報のセキュリティ要件の評価 |
| Abstract | 概要 |
| The protection of Controlled Unclassified Information (CUI) is of paramount importance to federal agencies and can directly impact the ability of the Federal Government to successfully conduct its essential missions and functions. This publication provides organizations with assessment procedures and a methodology that can be used to conduct assessments of the security requirements in NIST Special Publication 800-171, Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations. The assessment procedures are flexible and can be customized to the needs of organizations and assessors. Assessments can be conducted as independent, third-party assessments or as government-sponsored assessments. The assessments can be applied with various degrees of rigor based on customer-defined depth and coverage attributes. | 管理対象非機密情報(CUI)の保護は、連邦政府機関にとって最も重要であり、連邦政府がその重要な任務と機能を成功裏に遂行する能力に直接影響を与える可能性がある。本書は、NIST特別刊行物800-171「非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護」のセキュリティ要件の評価を実施するために使用できる評価手順および手法を組織に提供する。評価手順は柔軟であり、組織や評価者のニーズに合わせてカスタマイズすることができる。アセスメントは、独立したサードパーティによるアセスメントとして実施することも、政府主催のアセスメントとして実施することもできる。アセスメントは、顧客が定義した深さとカバレッジの属性に基づいて、さまざまな厳しさで適用することができる。 |
・[PDF] NIST.SP.800-171Ar3
こちらのウェブページにも追加されています...
・Cybersecurity and Privacy Reference Tool CPRT
参考
NIST文書の翻訳がいくつかあります...
● IPA
● まるちゃんの情報セキュリティ気まぐれ日記
SP800-53, 171, 172関係...
・2023.05.13 米国 NIST 意見募集 SP 800-171 Rev.3(ドラフト) 非連邦政府組織およびシステムにおける管理対象非機密情報の保護
・2022.07.21 NIST SP 800-171 Rev. 3 (ドラフト) 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護の作成に向けた意見募集
・2022.03.18 NIST SP 800-172A 管理対象非機密情報に対する強化版セキュリティ要件の評価
・2022.03.18 NIST SP 800-172A 管理対象非機密情報に対する強化版セキュリティ要件の評価
・2022.01.27 NIST SP 800-53A Rev. 5 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価
・2021.08.06 NIST SP 800-53A Rev. 5 (Draft) 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価
・2021.07.19 IPA NIST文書SP800-53 rev.5「組織と情報システムのためのセキュリティおよびプライバシー管理策」及びSP800-53B「組織と情報システムのための管理策ベースライン」の翻訳版を公開
・2021.04.28 NIST SP 800-172A 管理対象非機密情報 (CUI) に対する強化版セキュリティ要件の評価
・2020.10.30 NIST SP 800-53B Control Baselines for Information Systems and Organizations 情報システムと組織のコントロールベースライン
少し前...
・2012.03.01 NIST Draft SP 800-53 Rev. 4 Security and Privacy Controls for Federal Information Systems and Organizations
・2011.07.22 NIST Draft SP 800-53 Appendix J DRAFT Privacy Control Catalog
・2010.05.10 NIST SP800-53関係の情報
国防総省の委託先の管理の話...
・2024.01.03 米国 国防総省 パブコメ サイバーセキュリティ成熟度認証規則案 (2023.12.26)
・2023.12.11 米国 国防総省 内部監察官室 請負業者ネットワーク上の国防総省管理対象非機密情報保護に関するサイバーセキュリティの共通の不備 (2023.12.04)
・2021.12.11 米国 GAO 国防省の委託事業者のサイバーセキュリティについての認証フレームワークの改善
・2021.12.10 米国 CMMC Ver.2.0
・2021.11.07 米国 DoD サイバーセキュリティ成熟度モデル認証(CMMC)プログラムの戦略的方向性 - CMMC2.0
・2020.10.02 米国国防省がCMMCの暫定規則(DFARS Case 2019-D041)を公表し、意見募集を行っています
・2020.05.01 Cybersecurity成熟度モデル認証制度は普及するか、しないか・・・
・2020.03.31 CMMC概要 An Introduction to the Cybersecurity Maturity Model Certification (CMMC)
・2020.03.09 Cybersecurity Maturity Model Certification (CMMC) Version 1.0
« 米国 NIST IR 8498(初公開ドラフト) スマートインバータのサイバーセキュリティ: 住宅用および商用簡易太陽光発電システムのガイドライン (2024.05.10) | Main | 英国 科学技術革新省 先進AIの安全性に関する国際科学報告書 »
Comments