FIPS-199

 NIST によって策定されたこれら文書の中で最も重要な規格がFIPS-199「連邦政府の情報および情報システムに対するセキュリティ分類規格Standards for Security Categorization of Federal Information and Information Systems)」である。
 この規格は、FISMA規定する国家セキュリティシステム以外のシステムに対しては強制力があり、米国政府が、その国家セキュリティシステム以外のセキュリティ情報および情報システムを防衛するための重要な変更を提起している。なお、国家セキュリティシステム以外のセキュリティシステムには、国の重要インフラに匹敵する政府のシステムを含んでいる。
 FIPS-199 では、連邦政府の業務や情報資産をサポートする膨大な数の情報システムを保護するに際し、ある種の秩序や規律を導入するための初期段階の手続きを定めている。FIPS-199では、この重要性と損なわれやすさを、秘匿性(例:情報の不正な公開など)、完全性(例:情報の改ざんなど)または、可用性(例:DoSなど)を損うセキュリティ違反の発生により、政府機関の業務(ミッション、機能、印象および、評価)、政府機関の情報資産または人員が受ける潜在的影響に基づき分類している。この分類に基づきリスクマネージメントフレームワークを活用してそれぞれの情報システムに対し適切なセキュリティ管理策を適用し、その管理策が、どの程度まで正しく導入されているか、目的に沿って運用されているか、セキュリティ要件を満たすという点で必要な結果を出しているかを評価判断する手助けとなるものである。
 同様に、連邦政府機関の情報および情報システムの最低セキュリティ要件であるFIPS-200も政府機関に対して法的強制力を持ちリスクマネージメントフレームワークの一部として利用されている。政府機関がこの規格を遵守するために最初に行うべきことは、FIPS-199に従って自身の情報システムのセキュリティ分類を特定することである。
 次にNIST Special Publication(以下NIST SPと記述) 800-53に掲載のセキュリティ管理策のベースラインの中から、適切なものを選んで適用することである。政府機関においては、自身が選択したセキュリティ管理策のベースラインを、NIST SP800-53に記載の調整ガイダンスに従って調整できるといった、柔軟な対応が可能である。これによって政府機関は、自身のミッション要件や運用環境において、より適切なセキュリティ管理策を適用することができる。FIPS-200とNIST SP800-53の組み合わせは、連邦政府機関が、政府機関のあらゆる情報および情報システム(国家安全保障に関わる情報および情報システムを除く)に対して基礎レベルのセキュリティを確保することを求めている。

FISMAリスクマネージメントフレームワーク

« Back to Glossary Index

前の記事

FISMA

次の記事

FAR