NIST 特別刊行物 800-53 (第 4 版) レポート

問題点

NIST は、連邦政府機関が連邦情報セキュリティー・マネジメント法 (2002)(FISMA) を実装するのを支援するための標準、ガイドライン、およびその他の文書を作成し、発行します。これらは、すべての機関の運営および資産に対して適切な機密保護を提供するためのもので、最低限のセキュリティー要件が含まれていますが、このような標準およびガイドラインは国家のセキュリティー・システムに適用されるものではありません。連邦情報処理標準 (FIPS) は、FISMA に従って NIST によって開発されます。FISMA からの要求により、連邦政府機関はこれらの標準に準拠する必要があります。ガイダンス文書および勧告は、NIST Special Publication (SP) 800 シリーズで発行されています。行政管理予算局 (OMB) のポリシーでは、国家のセキュリティー・プログラムおよびシステム以外については、各機関は NIST ガイダンスに従わなければならないことが明記されています。

連邦政府の情報および情報システムに対する最低限のセキュリティー要求事項 (FIPS 200) は、FISMA に対応して作成された、必須で適用免除不能な標準です。連邦政府の標準に準拠するために、連邦政府機関は、最初に情報システムのセキュリティー・カテゴリーを連邦政府情報システムのセキュリティー・カテゴリー化の標準である FIPS 199 の規定に従って判別し、次に NIST SP 800-53 の基本的なセキュリティー管理のうち、該当するセットを適用する必要があります。連邦政府機関のリスク評価は、機関の運営、機関の資産、または個人を保護するために追加の制御が必要かどうかを判別することで、セキュリティー管理セットを検証します。その結果のセキュリティー管理セットは、連邦政府機関および請負業者のための「セキュリティー・デュー・ディリジェンス」のレベルを設定します

連邦政府機関は、OMB または NIST による指示がない限りは、発行日の 1 年以内に NIST セキュリティー標準およびガイドラインに準拠することが期待されています。(NIST SP の改訂に対する 1 年の準拠日は、新規の資料または更新された資料 (あるいはその両方) にのみ適用されます。)