SP 800-53

 SP 800-53 (Security and Privacy Controls) NISTのサイバーセキュリティ管理策の中核的規程。網羅的にあらゆる管理策を整理したもの。


 2013年4月に、NIST SP 800-53の改訂4版を公開した。このガイドラインは、米国防総省、情報機関、国家安全保障システム委員会、国土安全保障省、および国家安全保障省の間の進行中の情報セキュリティパートナーシップの一環である共同タスクフォース改革イニシアティブ・インターアクション・ワーキンググループによって開発され、維持されている。
 本ガイドラインは、常に変化する技術や 脅威空間を反映して更新された。該当分野には、例えば、モバイルやクラウドコンピューティング、インサイダー脅威、アプリケーション・セキュリティ、サプライチェーン・リスク、APT攻撃(持続的標的型攻撃)、及び情報システムの信頼性・保証・回復力に固有の課題が含まれる。
 本ガイドラインには更に、プライバシー管理策とそれに関連した実装ガイダンスに関する新たな附録(附録J)が含まれる。附録Jは、個人プライバシーに影響を与えるシステム、プロセス、又はプログラム評価考察に使用される、広く受け入れられている明確な原則のフレームワークのFair Information Practice Principles (FIPPs、公正情報行動原則)に基づいている。本ガイドラインは、包括的な一連のセキュリティ管理策セキュリティ管理策の3つのベースライン(低・中・高影響)、また、組織の目標、運用環境、および使用技術に応じ特定のニーズに対する適切なベースラインを調整(tailoring)するためのガイダンスを提供する。情報システムの機密性、完全性、及び/又は可用性に対するリスクが高まるにつれ、システムを保護する追加の管理策の必要性もそれに応じて高まる可能性がある。本ガイドラインは、セキュリティ管理策を選択するプロセスの開始点としてセキュリティ管理策のベースラインを設けている。ベースラインは、FIPS 199及びFIPS 200に記載される、情報システムのセキュリティ分類と、関連する影響レベルに基づいて選択される。別のガイドラインのSP 800-53A「Guide for Assessing the Security Controls in Federal Information Systems and Organizations(連邦政府情報システムと組織のセキュリティ管理策評価ガイド)」は、セキュリティ管理策の定期的な評価を促進する具体的なガイドラインを設けて、管理策が正確に実装され、意図した通りに機能し、組織のセキュリティ要件を満たしていることを保証する。(2017)

« Back to Glossary Index

前の記事

CUI

次の記事

SP 800-63