NIST CSF サポートの概念
NIST CSF ガイダンスから開発されたこれらの概念を理解してください。
| コンセプト | 説明 |
|---|---|
| ターゲット | ターゲットは、NIST Cybersecurity Framework (CSF) ユースケースアクセラレーター および関連するすべての概念の基盤です。 ターゲットは、ServiceNow® GRC 製品といくつかのユースケースアクセラレーターの間で共有されるテーブルです。これらは、コア GRC アプリケーションのエンティティの概念に似ています。オプションでプロファイルにリンクされますが、ユースケースアクセラレーターに固有の属性に使用されます。 |
| 重要なインフラストラクチャ (または NIST CSF アプリケーションの使用で重要) | サイバーセキュリティ、国家経済の安全保障、および国民の健康または安全に重大な影響を与える重要な物理または仮想システムおよび資産。 |
| 実装階層 | 組織がサイバーセキュリティリスクとそれらのリスクを管理するために使用するプロセスを表示するために役立ちます。 階層は、サイバーセキュリティ目標を達成するために優先されます。NIST CSF アプリケーションを使用すると、組織はターゲットテーブルの階層属性を使用する実装階層ビューからターゲットを評価できます。 |
| サイバーセキュリティアクティビティ | サイバーセキュリティのポリシーと要件は ServiceNow® GRC ポリシーとコンプライアンス管理 アプリケーション内に存在します。アプリケーションは、サイバーセキュリティプラクティスを強化し、セキュリティコンプライアンスを向上させるために達成する必要がある、サイバーセキュリティの成果を理解するためのガイドラインを提供します。 NIST CSF アプリケーションのこれらのアクティビティは、ターゲット、機能、およびカテゴリの組み合わせです。NIST CSF アクティビティは、ギャップ、非準拠コントロール、リスク、問題、失敗したインジケーター、アクション計画、およびいつ対処するかについての詳細なインサイトを提供するターゲットのサイバーセキュリティ要件を評価します。また、組織がセキュリティコンプライアンスの状況を強化するためにも役立ちます。 |
| 機能 | 機能は、基本的なサイバーセキュリティアクティビティを最上位レベルで整理します。これらの機能は、識別、保護、検出、応答、復旧、および統制です。情報を整理し、リスク管理の意思決定を可能にし、脅威に対処し、サイバーセキュリティリスクの管理を改善するためにそれ以前のアクティビティから学ぶことで、組織を支援します。 NIST CSF では、機能がアクティビティに関連するサイバーセキュリティの成果を選択し、整理します。 |
| カテゴリ | カテゴリは、サイバーセキュリティの成果をグループに分類する機能の下位区分です。カテゴリの例:資産管理、ID 管理とアクセス制御、およびディスカバリープロセス。 サブカテゴリは、カテゴリを技術的および管理アクティビティの特定の成果に分割するために使用されます。これらは、各カテゴリの成果の達成をサポートできるようにする一連の結果を提供します。サブカテゴリの例としては、「外部情報システムのカタログ化」、「保存データの保護」、「検出システムからの通知の調査」などがあります。 フレームワークコアは、各機能の基礎となるカテゴリとサブカテゴリをサイバーセキュリティポリシーとして、その詳細をポリシーステートメントとして特定します。NIST CSF カテゴリは、ターゲットのサイバーセキュリティアクティビティを定義し、関連付けられたサブカテゴリを使用してサイバーセキュリティ要件を評価して追加のインサイトを提供します。 |
| 実装ステータス | サイバーセキュリティアクティビティのステータス (実装済みか、将来に向けて計画済みか)。サイバーセキュリティアクティビティの実装ステータスは文書化することができます。 |
| ギャップ | サイバーセキュリティアクティビティで識別されたターゲットのプロファイルに対しコントロールが設定されていない、サイバーセキュリティポリシーのコントロール目標。 |
| 非準拠コントロール | 実装の問題のために非準拠と見なされ、ターゲットのエンティティに対して検出され、サイバーセキュリティアクティビティで特定されたサイバーセキュリティコントロール。 |
| リスク | ターゲットエンティティに実装されたコントロールに関連付けられた、サイバーセキュリティアクティビティで特定されたリスク。 |
| 問題 | ターゲットエンティティのコントロールとリスクに関連した、サイバーセキュリティアクティビティで特定された問題。 |
| 失敗したインジケーター | ターゲットエンティティに実装されたコントロールとリスクに関連した、サイバーセキュリティアクティビティで特定された、失敗したインジケーター。 |
| アクションプラン | ターゲットのエンティティの問題に関連した、サイバーセキュリティアクティビティで特定されたアクションプラン。 |