リスク管理フレームワーク
US federal government guideline
RMF 7ステッププロセス

リスク管理フレームワーク(RMF)は、情報システム(コンピュータおよびネットワーク)のセキュリティ確保を支援するためのリスク管理に関する米国連邦政府のガイドライン、標準、およびプロセスです。RMFは米国国立標準技術研究所(NIST)によって開発され、情報セキュリティ、プライバシー、およびリスク管理活動をシステム開発ライフサイクルに統合する構造化されたプロセスを提供します[1] [2] RMFは、システムの運用権限(ATO)取得において重要な要素です。

概要

RMFを概説した主要な文書はNIST特別出版物800-37です。[1] [3] RMFの手順は、NIST特別出版物800-53を含むいくつかの他のNIST標準およびガイドラインにリンクしています。

RMF プロセスには次の手順が含まれます。

  • 組織レベルとシステムレベルの両方でセキュリティとプライバシーのリスクを管理するための状況を確立し、優先順位を設定することで、RMFの実行準備をします。 [4] [5]
  • 影響分析に基づいて、情報システムとそれが処理、保存、送信するデータを分類します。 [6] [7] [8]
  • 情報システムのセキュリティ分類に基づき、ベースラインとなるセキュリティ管理策を選択する。組織のリスク評価と具体的な地域状況に基づき、必要に応じてベースライン管理策を調整・補完する。必要に応じて、このステップでオーバーレイを追加する。 [2] [9]
  • 前のステップで特定したセキュリティ制御を実装します。 [2]
  • 評価:第三者の評価者が、統制が適切に実施され、効果的であるかどうかを評価します。[10]
  • 認可:評価結果に基づき、システム運用認可(ATO)が付与または拒否されます。特定の問題が解決されていない場合、ATOは延期される場合があります。通常、ATOは最長3年間付与され、その後は再度手続きを行う必要があります。[1]
  • プロセスの前半で概説したように、セキュリティ管理を継続的に監視して、継続的な有効性を確保します。 [5]

歴史

2002年連邦情報セキュリティ管理法( FISMA 2002)は、情報セキュリティの向上を通じて米国の経済と国家の安全保障を守るために制定されました[11]

その後、議会は2014年連邦情報セキュリティ近代化法(FISMA 2014)を可決し、国土安全保障省(DHS)に連邦情報セキュリティに関するより大きな権限を与え、連邦政府機関の情報セキュリティ慣行の管理における行政管理予算局(OMB)の義務を定義することで、当初の法律を強化しました。[12]

FISMAは、情報および情報システムを不正アクセス、使用、開示、妨害、改ざん、破壊から保護し、機密性、完全性、可用性を確保することを義務付けています。[13] FISMA 2002の第3条では、NISTに情報セキュリティおよびリスク管理の標準、ガイドライン、要件の策定を課しました。[6] [7] [8] [9]

RMFは、NIST特別出版物800-37で概説され、2010年2月に初めて公開され、組織がサイバーセキュリティリスクを管理し、2014年の連邦情報セキュリティ近代化法1974年のプライバシー法連邦情報処理標準など、さまざまな米国の法律や規制に準拠できるように設計されています。[1] 2019年12月には、NIST特別出版物800-37の改訂2が公開され、全体的なプロセスに準備ステップが導入されました。

リスク

情報システムは、そのライフサイクル全体を通じて、セキュリティ体制に影響を与える様々な種類のリスクに直面します。RMFプロセスは、これらのリスクの早期発見と解決を支援します。リスクは、大きく分けて、インフラストラクチャ、プロジェクト、アプリケーション、情報資産、事業継続、アウトソーシング、外部、戦略リスクに分類できます。インフラストラクチャリスクは、コンピュータとネットワークの信頼性に関連し、プロジェクトリスクは、予算、スケジュール、システム品質に関連します。アプリケーションリスクは、システムのパフォーマンスと容量に関連します。情報資産リスクは、データの損失や不正な開示の可能性に関係します。事業継続リスクは、システムの信頼性と稼働時間の維持に重点を置きます。アウトソーシングリスクは、サードパーティのサービスプロバイダーがシステムに与える影響に関連します。[14]

外部リスクとは、情報システムの制御範囲外にあり、システムのセキュリティに影響を及ぼす可能性のある要因です。戦略リスクは、情報システムの機能が、システムがサポートするビジネス戦略と整合する必要があることに関連しています。[15]

リビジョン2の更新

RMF改訂2への更新の主な目的は次のとおりです。[16]

  • 経営幹部(C-suite)レベルのリスク管理活動とシステムおよび運用レベルのリスク管理活動の間のコミュニケーションを改善します。
  • より効果的かつ費用効率の高いRMF実行を促進するために、あらゆるレベルで重要なリスク管理準備活動を制度化する。
  • NIST サイバーセキュリティ フレームワークを RMF と連携させ、確立された NIST リスク管理プロセスを通じて実装する方法を示します。
  • プライバシー保護の責任をより適切に果たすために、プライバシーリスク管理をRMFに統合します。
  • NIST SP 800-160第1巻[17]のシステムエンジニアリングプロセスをRMFの関連タスクと整合させることにより、信頼性が高く安全なソフトウェアとシステムの開発を促進する。
  • セキュリティ関連のサプライチェーンリスク管理 (SCRM) の概念を RMF に組み込み、偽造コンポーネント、改ざん、悪意のあるコードの挿入、システム開発ライフサイクル (SDLC) 全体にわたる不適切な製造方法などのリスクに対処します。
  • 組織が生成した制御選択アプローチが従来のベースライン制御選択アプローチを補完することを可能にし、NIST SP 800-53改訂5の統合制御カタログの使用をサポートします。[2]

改訂2では、セキュリティとプライバシーのリスク管理プロセスの有効性、効率性、費用対効果を高めるために、新しい「準備」ステップ(ステップ0)も導入されました。[16]

参照

参考文献

  1. ^ abcd Joint Task Force(2018年12月)、SP 800-37 Rev. 2 - 情報システムおよび組織のリスク管理フレームワーク:セキュリティとプライバシーのためのシステムライフサイクルアプローチNISTdoi:10.6028 / NIST.SP.800-37r2
  2. ^ abcd Joint Task Force(2020年9月)、SP 800-53 Rev. 5 - 情報システムおよび組織のセキュリティとプライバシー管理NISTdoi10.6028/NIST.SP.800-53r5
  3. ^ Joint Task Force(2010年2月)、SP 800-37 Rev. 1 - 連邦情報システムへのリスク管理フレームワークの適用ガイド:セキュリティライフサイクルアプローチNISTdoi10.6028/NIST.SP.800-37r1
  4. ^ Joint Task Force Transformation Initiative(2012年9月)、SP 800-30 Rev. 1 - リスク評価の実施ガイドNISTdoi10.6028/NIST.SP.800-30r1
  5. ^ ab Dempsey, Kelley; Chawla, Nirali; Johnson, L.; Johnston, Ronald; Jones, Alicia; Orebaugh, Angela; Scholl, Matthew; Stine, Kevin (2011年9月) SP 800-137 - 連邦情報システムおよび組織向けの情報セキュリティ継続的モニタリング (ISCM)NISTdoi : 10.6028/NIST.SP.800-137
  6. ^ ab Stine, Kevin; Kissel, Richard; Barker, William; Fahlsing, Jim; Gulick, Jessica (2008年8月)、SP 800-60 Vol. 1 Rev. 1 - 情報の種類と情報システムをセキュリティカテゴリにマッピングするためのガイドNISTdoi : 10.6028/NIST.SP.800-60v1r1
  7. ^ ab Stine, Kevin; Kissel, Richard; Barker, William; Lee, Annabelle; Fahlsing, Jim (2008年8月)、SP 800-60 Vol. 2 Rev. 1 - 情報の種類と情報システムをセキュリティカテゴリにマッピングするためのガイド:付録NISTdoi10.6028/NIST.SP.800-60v2r1
  8. ^ ab NIST (2004年2月)、FIPS 199 - 連邦情報および情報システムのセキュリティ分類の標準doi : 10.6028/NIST.FIPS.199
  9. ^ ab NIST (2006年3月)、FIPS 200 - 連邦情報および情報システムの最低セキュリティ要件doi :10.6028/NIST.FIPS.200
  10. ^ 合同タスクフォース(2022年1月)、SP 800-53A Rev. 5 - 情報システムおよび組織におけるセキュリティとプライバシー管理の評価NISTdoi10.6028/NIST.SP.800-53Ar5
  11. ^ Pub. L.  107–347 (テキスト) (PDF)
  12. ^ 「連邦情報セキュリティ近代化法」CISA . 2024年7月26日閲覧
  13. ^ Pub. L.  113–283 (テキスト) (PDF)
  14. ^ 鮫島正之; 矢島秀夫 (2012).情報システムの変更分析による事業継続のためのITリスクマネジメントフレームワーク. IEEE国際システム・人間・サイバネティクス会議 (SMC). pp.  1670– 1674. doi :10.1109/ICSMC.2012.6377977.
  15. ^ Ji, Zhigang (2009).企業情報システムに基づくリスクフレームワークに関する実証的研究. 2009年国際未来バイオメディカル情報工学会議 (FBIE). pp.  187– 190. doi :10.1109/FBIE.2009.5405879.
  16. ^ ab コンピュータセキュリティ部門、情報技術研究所 (2018年12月18日). 「RMFアップデート:NISTがSP 800-37 Rev. 2を公開 | CSRC」. CSRC | NIST . 2021年7月26日閲覧
  17. ^ Ross, Ron; McEvilley, Michael; Winstead, Mark (2022年11月)、SP 800-160 Vol. 1 Rev. 1 - Engineering Trustworthy Secure Systemsdoi : 10.6028/NIST.SP.800-160v1r1
  • リスク管理フレームワークの概要
  • RMF コントロール インデクサー
  • NIST サイバーセキュリティ フレームワーク (CSF)
  • 注意義務リスク分析 (DoCRA) 標準 - 許容可能なリスク レベルを定義し、適切なセキュリティを確立するための実践。
Retrieved from "https://en.wikipedia.org/w/index.php?title=Risk_Management_Framework&oldid=1310221062"